配置 Essential 8 MFA 条件访问策略

本文提供有关在 Microsoft Entra ID 中配置条件访问策略以满足给定成熟度级别要求的指导。

注意

• 不要为以下 MFA 策略创建任何排除项 (例如，不要根据位置、设备状态) 排除。
• 当适用于企业的 Windows 应用商店应用程序需要 MFA 时，Windows 许可激活存在一个已知问题。 临时解决方法是从条件访问策略中排除此应用程序。

创建条件访问策略。

1. 浏览到Microsoft Entra 管理中心>Microsoft Entra 管理中心。
2. 选择“ 保护>条件访问>”“创建新策略”。
3. 为所需的成熟度级别配置策略。
4. 将 “启用策略” 设置为“ 打开”，选择“ 创建”。

成熟度级别 1

• 名称： ACSC Essential 8 MFA – 成熟度级别 1
• 用户：
  • 包括： 所有用户
• 云应用：
  • 包括： 所有云应用
• 条件： 无
• 授予： 需要身份验证强度
  • 选择在 配置 Essential8 MFA 身份验证强度中创建的为成熟度级别 1 定义的身份验证强度。

成熟度级别 2 & 3

• 名称： ACSC Essential 8 MFA – 成熟度级别 2 & 3
• 用户：
  • 包括： 所有用户
• 云应用：
  • 包括： 所有云应用
• 条件： 无
• 授予： 需要身份验证强度
  • 选择在 配置 Essential8 MFA 身份验证强度中创建的为成熟度级别 2 & 3 定义的身份验证强度。

Microsoft 建议

除了成熟度级别条件访问策略外，我们还建议实现以下控制措施。

需要合规或混合联接的设备

可以通过将登录限制为合规或Microsoft Entra混合加入的设备（ (桌面和移动) ）在任何成熟度级别实现网络钓鱼防护。 此控制建议用于所有成熟度级别，并且必须应用于组织拥有的所有设备。 如果可能，还应应用此控件，将自己的设备 (BYOD) 设备。

按照本指南操作，以启用要求兼容或Microsoft Entra混合联接的设备：

• 条件访问 - 需要合规或混合联接的设备

阻止旧身份验证

旧式身份验证协议不支持新式身份验证，因此容易受到凭据盗窃攻击。 建议阻止旧式身份验证协议，以降低凭据被盗攻击的风险。

若要阻止旧式身份验证，请按照以下指南操作：

• 使用条件访问阻止Microsoft Entra ID中的旧身份验证

防范休眠帐户的多重身份验证接管

未注册多重身份验证的休眠帐户容易受到多重身份验证接管攻击。 建议配置 MFA 注册策略，以确保用户设置多重身份验证作为用户载入流的一部分。

通过定期查看多重身份验证注册活动报告，确定未注册多重身份验证的休眠帐户。 标识治理解决方案（如Microsoft Entra ID 治理）可用于自动审查休眠帐户。

• 如何：配置Microsoft Entra多重身份验证注册策略 -身份验证方法活动

Microsoft Entra安全默认值

Microsoft Entra没有 Microsoft Entra ID P1 或 P2 许可证的租户可以通过启用Microsoft Entra安全默认值来实现 ACSC Essential Eight 成熟度级别 1。

有关启用安全默认值的指南，请参阅在 Microsoft Entra ID 中提供默认安全级别。

后续步骤

• 配置 Essential Eight MFA 日志记录
• 用于访问服务器和旧应用程序的多重身份验证