特權帳戶缺少 MFA

由於 Microsoft 的資料可用性限制，因此本曝險指標 (IoE) 無法在缺乏 Microsoft Entra ID P1 或 P2 授權的情況下運作。因此，該指標在 Entra ID Free 租用戶上將不會出現任何結果。

多因素驗證 (MFA) 或之前的雙因素驗證 (2FA) 可為帳戶提供強大保護，防止出現弱式密碼或易遭洩漏的密碼​。建議的安全性最佳做法和標準是啟用 MFA，尤其是針對特權帳戶。 攻擊者透過任意方式取得特權使用者密碼後，MFA 會透過要求額外因素 (例如行動應用程式時效性代碼、實體權杖、生物特徵等) 來阻止驗證。

如果帳戶未註冊 MFA 方法，或者您未註冊 MFA 方法而強制執行 MFA，本曝險指標會向您發出警示。上述兩種情況都可能會使擁有密碼的攻擊者註冊自己的 MFA 方法，進而造成安全性風險。然而，本曝險指標無法報告 Microsoft Entra ID 是否強制執行 MFA，因為視動態標準而定，條件式存取原則可能需要 MFA。

您也可以使用 Entra ID 中的「驗證方法活動」和「MFA 報告」功能。

有關非特權帳戶的資訊，另請參閱相關的曝險指標 (IoE)「非特權帳戶缺少 MFA」。

系統會略過已停用的使用者，因為攻擊者無法立即對其進行濫用。此外，由於 Microsoft Graph API 的限制，該 API 針對已停用使用者報告的 MFA 狀態可能不正確。

報告中的所有特權使用者都必須註冊 MFA 方法並強制執行 MFA​，以提高對密碼攻擊的防護能力，這也是 Microsoft 在「Microsoft Entra 角色的最佳做法」中建議採取的措施:「3. 為所有管理員帳戶啟用多因素驗證。根據我們的研究，採用多因素驗證 (MFA) 後，帳戶受到入侵的可能性會降低 99.9%。」

針對 Microsoft Entra ID，Microsoft 提供了叫做 Require MFA for administrators 的條件式存取原則範本。在使用者遵循 MFA 強制執行要求首次進行驗證時，此原則會提醒他們註冊 MFA 方法。我們建議您遵循 Microsoft 說明文件「規劃條件式存取部署」中的說明。具體而言，如果使用 Microsoft Entra Connect 或 Microsoft Entra Cloud Sync 等混合型身分管理解決方案，必須將相關服務帳戶 從原則中排除，因為帳戶無法符合條件式存取原則的要求。使用「排除使用者」動作並直接排除服務帳戶，或勾選「目錄角色」選項並選取「目錄同步處理帳戶」角色。

請注意，根據 Microsoft 說明文件「在 Microsoft Entra ID 中管理緊急存取帳戶」中的建議，您應備有一個或兩個具有特殊權限的急用帳戶，使用與普通管理帳戶不同的 MFA 方法。

閱讀 Microsoft Entra 驗證說明文件的此章節 (也請查看相關頁面)，深入瞭解 Microsoft Entra MFA。

名稱: 特權帳戶缺少 MFA

代碼名稱: MISSING-MFA-FOR-PRIVILEGED-ACCOUNT

嚴重性: High

類型: Microsoft Entra ID Indicator of Exposure