非特權帳戶缺少 MFA
Medium
語系:
說明
多因素驗證 (MFA) 或之前的雙因素驗證 (2FA) 可為帳戶提供強大保護,防止出現弱式密碼或易遭洩漏的密碼。建議的安全性最佳做法和標準是啟用 MFA,即使是非特權帳戶亦是如此。
攻擊者透過任意方式取得使用者密碼後,MFA 會透過要求額外因素 (例如具有時效性的行動應用程式代碼、實體權杖、生物特徵等) 來阻止驗證。
如果帳戶未註冊 MFA 方法,或者您未註冊 MFA 方法而強制執行 MFA,本曝險指標會向您發出警示。上述兩種情況都可能會使擁有密碼的攻擊者註冊自己的 MFA 方法,而造成安全性風險。然而,本曝險指標無法報告 Microsoft Entra ID 是否強制執行 MFA,因為視動態標準而定,條件存取原則可能需要 MFA。
您也可以使用 Entra ID 中的「驗證方法活動」和「MFA 報告」功能。
有關特權帳戶的資訊,另請參閱相關的「特權帳戶缺少 MFA」IOE。
解決方案
回報的所有使用者都必須註冊 MFA 方法並強制執行 MFA,以加強對於密碼攻擊的防護。
針對 Microsoft Entra ID,Microsoft 提供了叫做 Require MFA for all users 的條件存取原則範本。在使用者遵循 MFA 強制執行要求首次進行驗證時,此原則會提醒他們註冊 MFA 方法。我們建議您遵循「規劃條件式存取部署」Microsoft 說明文件中的說明。
閱讀 Microsoft Entra 驗證說明文件的此章節 (也請查看相關頁面),深入瞭解 Microsoft Entra MFA。