可存取 M365 服務的特權 Entra 帳戶

當您使用特權帳戶進行日常活動 (例如讀取網際網路的電子郵件或檔案) 時，會增加該帳戶受到入侵的風險。 威脅執行者經常透過電子郵件傳送網路釣魚檔案，或利用 Web 瀏覽器中的偷渡式下載攻擊，取得環境的初始存取權。 如果攻擊者針對管理員使用這類攻擊方法，則可能會引發嚴重後果，導致 Entra 基礎架構、其帳戶和資源直接遭到全面入侵。

此曝險指標會檢查與 Microsoft 365 應用程式和服務相關的服務方案 (即授權) 是否已指派給特權帳戶，但實際上只應適用於一般帳戶。此偵測啟發式旨在識別出只有一個帳戶，而非兩個獨立帳戶 (標準帳戶和特權帳戶) 的管理員。 此偵測方法可能會產生誤報，例如當管理員已經擁有單獨的標準帳戶和特權帳戶，並且兩者都分配了服務方案時就可能發生。如果您透過提供的選項進行調查後確認為誤報，則可以略過此項結果。然而即使在這種情況下，透過特權帳戶使用 Microsoft 365 應用程式和服務也會增加該帳戶受到入侵的可能性，因此仍建議避免。

本曝險指標 (IoE) 會驗證以下 Microsoft 365 服務:

• Exchange Online
• Microsoft 365 Apps
• Office 網頁版
• SharePoint Online
• Microsoft Teams
• 商務用 Skype Online

此曝險指標 (IoE) 還會考慮 Microsoft 365 服務的各種服務方案版本，例如商業版、教育版、政府版等。

您必須確保在 Entra ID 中執行系統管理工作的使用者擁有各種類型的帳戶，通常是兩種，分別是供日常使用的標準帳戶，以及專門用於管理活動的獨立特權帳戶。 您應使用無特權的標準帳戶執行有風險的日常網際網路操作或開啟未受信任檔案。 您應該開設一個獨立的特權帳戶並限制其服務方案，只納入必要且有需要的內容，以專注於系統管理工作。此方法遵循 Microsoft 的指導方針，即為管理員實施帳戶隔離，這也是 Microsoft 建議的做法。

總而言之，請遵循兩個修復步驟:

1. 為具有管理員等特權的使用者建立單獨的管理員帳戶，也就是本曝險指標 (IoE) 的主要目標。將特權指派給上述專用特權帳戶，而非管理員的一般帳戶。系統管理作業僅可使用特權帳戶執行。這是 Microsoft 建議的常見網路安全最佳做法，同時也符合國家網路安全組織與合規性標準的要求。
2. 完成帳戶隔離後，請檢查特權帳戶是否僅獲派有限的服務方案。由於這些帳戶只會用於執行系統管理工作，因此不需要 Microsoft 365 應用程式和服務的存取權，這也有助於降低其曝險程度。此步驟可使特權帳戶符合本曝險指標 (IoE) 的要求。 針對管理工作不需要的 Microsoft 365 應用程式和服務停用服務方案，尤其是在特權帳戶中。保留實用的安全性授權，例如 Entra ID P1/P2。根據貴組織的授權 (例如 Microsoft 365 E3/E5) 停用部分服務方案 (例如 Exchange Online)，而保留其他服務方案 (Entra ID P1/P2)。請參閱相關 Microsoft 指南「在 Microsoft Entra ID 中變更使用者或群組授權指派」。

維護各自獨立的標準帳戶和特權帳戶後，會衍生出其他安全相關注意事項，您應該一併解決:

• 在密碼管理方面，請確保管理員為其標準帳戶和特權帳戶設定不同的密碼。使用相同的密碼無法達到帳戶隔離的目的，因為這樣一來攻擊者只要破解標準帳戶的憑證就能入侵特權帳戶。
• 確保使用者不會使用同一部電腦存取不同的帳戶。透過提供專用安全裝置來保護特權帳戶，該裝置僅用於特權操作。此概念稱為「特殊權限存取工作站 (PAW)」或「特殊權限存取裝置」。請參閱 Microsoft 的說明文件「特權存取中的裝置安全性」。

名稱: 可存取 M365 服務的特權 Entra 帳戶

代碼名稱: PRIVILEGED-ENTRA-ACCOUNT-WITH-ACCESS-TO-M365-SERVICES

嚴重性: Medium

類型: Microsoft Entra ID Indicator of Exposure