使用Microsoft Entra实现 ACSC Essential 8 MFA 成熟度级别 1
MFA 成熟度级别 1 ACSC 定义
- 多重身份验证用于向处理、存储或传达其组织的敏感数据的组织联机服务对用户进行身份验证。
- 多重身份验证用于向处理、存储或传达其组织的敏感数据的第三方联机服务对用户进行身份验证。
- 多重身份验证 (可用) 用于向处理、存储或传达其组织的非敏感数据的第三方联机服务对用户进行身份验证。
- 多重身份验证使用:用户拥有和用户知道的内容,或用户拥有的、用户知道或已解锁的内容。
超出范围
成熟度级别 1 的以下 ACSC 要求与客户标识相关,在本指南中不适用于员工标识Microsoft Entra。
- 多重身份验证用于向处理、存储或传达其 组织的敏感客户数据的第三方在线客户服务对用户进行身份验证。
- 多重身份验证用于向处理、存储或传达敏感客户数据的联机客户服务对客户进行身份验证。
MFA 成熟度级别 1 概述
- 用户包括有权访问组织数据的所有用户。 这些用户可以是合作伙伴组织的员工、承包商和来宾。
- 无论用户从何处登录,都应提示用户进行 MFA。
- 实现 MFA 的条件访问策略不应基于用户的位置包含排除项。 例如, (不包括从公司局域网) 登录的用户的 MFA。
允许的验证器类型
任何 ISM 允许的多重验证器都可用于实现成熟度级别 1。
| Microsoft Entra身份验证方法 | 验证器类型 |
|---|---|
| 建议的方法 | |
多重软件证书 (PIN 保护)
使用软件受信任的平台模块 (TPM) Windows Hello 企业版 |
多重加密软件 |
|
硬件保护证书 (智能卡/安全密钥/TPM)
设备绑定) (密钥 -> FIDO 2 安全密钥-> 使用硬件 TPM Windows Hello 企业版-> Microsoft Authenticator 中的密钥 (设备绑定) |
多重加密硬件 |
|
Microsoft Authenticator 应用 (无密码) |
多重带外 |
| 其他方法 | |
| Password AND - Microsoft Authenticator 应用 (推送通知) - 或 - 电话 (短信) |
记忆机密 AND 单因素带外 |
| Password AND - OATH 硬件令牌 (预览) - 或 - Microsoft OTP) (Authenticator 应用 - 或 - OATH 软件令牌 |
记忆机密 AND 单因素 OTP |
| Password AND - 单因素软件证书 - 或 - Microsoft Entra加入软件 TPM - 或 - Microsoft Entra混合联接软件 TPM - 或 - 合规的移动设备 |
记忆机密 AND 单因素加密软件 |
| Password AND - Microsoft Entra硬件 TPM 联接 - 或 - Microsoft Entra混合联接硬件 TPM |
记忆机密 AND 单因素加密硬件 |
Microsoft Entra成熟度级别 1 不允许的身份验证方法
- 短信登录
- Email OTP
将组织和第三方应用与Microsoft Entra ID集成
若要将开发人员构建的组织应用与Microsoft Entra ID集成,请参阅。
若要将第三方应用与Microsoft Entra ID集成,请参阅。