未強制執行的風險使用者

Microsoft Entra ID Protection (前稱 Identity Protection) 可識別 Entra ID 中的風險使用者，且需要 Microsoft Entra ID P2 授權才能執行。正如關於風險偵測的 Microsoft 說明文件中所述，風險偵測有兩種類型:

• 登入風險偵測，已在專用的曝險指標 (IoE)「有風險登入不需要 MFA」中處理
• 使用者風險偵測

在以下情況中，系統可能會判定使用者有風險:

• 使用者有一個或多個風險登入。
• 在其帳戶上偵測到一個或多個 風險，例如 洩漏的憑證或異常使用者活動。

目前有三個風險等級:

• 高
• 中
• 低

請使用條件式存取原則，以在系統識別出有風險的使用者時強制執行安全措施。

根據 BOD 25-01 的強制要求，CISA 發表之「Microsoft Entra ID 的 M365 安全設定基準」中的 MS.AAD.2.1v1 原則規定:「偵測結果為高風險的使用者必須予以封鎖」。根據 CISA 指導方針，本曝險指標 (IoE) 會確保至少有一個條件式存取原則包含下列設定:

• 「使用者」設定為包含「所有使用者」
• 。「目標資源」設定為「所有資源」。
• 「條件 > 使用者風險」 設定為「是」，並選取「高度」風險等級。
• 「授予」設定為「封鎖存取」。
• 「啟用原則」設定為「開啟」(而非「關閉」或「僅報告」)。

相反地，如果您選擇遵循 Microsoft 的建議，則本曝險指標 (IoE) 會確保至少有一個條件式存取原則包含下列設定：

• 將「使用者」設定為包含「所有使用者」。
• 將「目標資源」設定為「所有資源」。
• 將「條件 > 使用者風險」設定為「是」，然後選取「高」風險等級。
• 「授予 」設定為「需要變更密碼」。
• 「啟用原則」設定為「開啟」(不是「關閉」或「僅限報告」)。

租用戶必須存在已啟用的條件式存取原則 (CAP)，以保護其不受所有識別為高風險的使用者攻擊。

Tenable 建議僅封鎖高風險等級的使用者，以盡可能地減少業務中斷。 CISA 和 Microsoft 對於如何防範此風險有不同的意見:

• 根據 BOD 25-01 的強制要求，CISA發表之「Microsoft Entra ID 的 M365 安全設定基準」中的 MS.AAD.2.1v1 原則建議完全封鎖風險使用者。
• 反之，Microsoft 則建議要求變更密碼，藉此觸發自我修復功能。

Tenable 建議遵循 CISA 指導方針，因為這是最安全的做法。不過，由於這也是限制性最高的做法，因此您可以使用曝險指標 (IoE) 中提供的選項輕鬆切換至 Microsoft 建議。

為此，您可以依下列方法建立 CAP:

• 套用在此曝險指標 (IoE) 說明中指定的設定來修改現有 CAP。
• 建立專用 CAP，並根據曝險指標 (IoE) 說明中的規格設定。

如果您遵循 Microsoft 的建議而非 CISA 指導方針，您也可以使用 Microsoft 的「高風險使用者需要變更密碼 」CAP 範本。當您啟用遵循 Microsoft 建議的選項時，此範本符合本曝險指標 (IoE) 中列出的所有標準。

請注意: Microsoft 和 Tenable 都建議您將部分帳戶排除在條件式存取原則之外，以避免整體租用戶遭到鎖定或引發意外的副作用。Tenable 也建議您遵照 Microsoft 說明文件「規劃條件式存取部署」的指引，以確保妥善規劃、管理變更，並減少帳戶遭到鎖定的風險。具體而言，如果使用 Microsoft Entra Connect 或 Microsoft Entra Cloud Sync 等混合型身分管理解決方案，必須將相關服務帳戶 從原則中排除，因為帳戶無法符合條件式存取原則的要求。使用「排除使用者」動作並直接排除服務帳戶，或勾選「目錄角色」選項並選取「目錄同步處理帳戶」角色。

設定 CAP 對於防止入侵而言極為重要，但其並不能取代對所報告風險的鑑識調查。如果您有興趣深入瞭解，Microsoft 提供了調查指南。

名稱: 未強制執行的風險使用者

代碼名稱: RISKY-USERS-WITHOUT-ENFORCEMENT

嚴重性: Medium

類型: Microsoft Entra ID Indicator of Exposure