通过

规划 Microsoft Entra ID 中的防网络钓鱼无密码身份验证部署

  • 项目

在环境中部署和操作防网络钓鱼无密码身份验证时,我们建议采用基于用户角色的方法。 对于某些用户角色,不同的防网络钓鱼无密码方法比其他方法更有效。 本部署指南可帮助你了解哪些类型的方法和推广计划适合你环境中的用户角色。 防网络钓鱼无密码部署方法通常有 6 个步骤,大致按顺序进行,但在继续执行其他步骤之前不必 100% 完成:

确定用户角色

确定与组织相关的用户角色。 此步骤对项目至关重要,因为不同的角色具有不同的需求。 Microsoft 建议你考虑并评估至少 4 个组织中的通用用户角色。

用户角色 说明
信息工作者
  • 例如营销、财务或人力资源等办公室生产力员工。
  • 其他类型的信息工作者可能是需要特殊控制的高管和其他高敏感度工作者
  • 通常与其移动和计算设备保持 1:1 的关系
  • 可能会自带设备 (BYOD),尤其是移动设备
    		•
    一线工作者
  • 例如零售店员工、工厂工人、制造工人
  • 通常只能在共享设备或展台上工作
  • 可能不允许携带移动电话
    		•
    IT 专业人员/DevOps 工作者
  • 例如本地 Active Directory、Microsoft Entra ID 或其他特权帐户的 IT 管理员。 其他例子包括管理和部署自动化的 DevOps 工作者或 DevSecOps 工作者。
  • 通常有多个用户帐户,包括一个“普通”用户帐户以及一个或多个管理帐户
  • 通常使用远程桌面协议 (RDP) 和安全外壳协议 (SSH) 等远程访问协议来管理远程系统
  • 可能在禁用蓝牙的锁定设备上工作
  • 可能使用辅助帐户运行非交互式自动化和脚本
    		•
    高度管控的工作者
  • 例如受行政命令 14028 要求约束的美国联邦政府工作人员、州和地方政府工作人员或受特定安全法规约束的工作人员
  • 通常与其设备保持 1:1 的关系,但这些设备必须符合特定的监管控制要求并进行身份验证
  • 可能不允许在安全区域使用移动电话
  • 可能在没有互联网连接的情况下进入实体隔离环境
  • 可能在禁用蓝牙的锁定设备上工作
    		•

    Microsoft 建议在整个组织内广泛部署防网络钓鱼无密码身份验证。 传统上,信息工作者是最容易上手的用户角色。 解决影响 IT 专业人员的问题时,不要延迟为信息工作者推出安全凭据。 采取“勿以善小而不为”的方法,尽可能多地部署安全凭据。 随着越来越多的用户使用防网络钓鱼的无密码凭据登录,就会减少环境的攻击面。

    Microsoft 建议定义角色,然后将每个角色放入专门针对该用户角色的 Microsoft Entra ID 组中。 这些组将在以后的步骤中使用,以便向不同类型的用户推出凭据,并在开始强制使用防网络钓鱼无密码凭据时使用。

    规划设备就绪状态

    设备是任何成功防网络钓鱼无密码部署的一个重要方面,因为防网络钓鱼密码凭据的目标之一就是利用现代设备的硬件来保护凭据。 首先,熟悉 Microsoft Entra ID 的 FIDO2 可支持性

    通过修补更新到每个操作系统的最新支持版本,确保设备已为防网络钓鱼无密码做好准备。 Microsoft 建议设备至少运行以下版本:

    • Windows 10 22H2(适用于 Windows Hello 企业版)
    • Windows 11 22H2(使用通行密钥时获得最佳用户体验)
    • macOS 13 Ventura
    • iOS 17
    • Android 14

    这些版本为通行密钥、Windows Hello 企业版和 macOS 平台凭据等本机集成的功能提供最佳支持。 较旧的操作系统可能需要 FIDO2 安全密钥等外部验证器来支持防网络钓鱼无密码身份验证。

    注册用户以获取防网络钓鱼凭据

    凭据注册和引导是防网络钓鱼无密码部署项目中第一个面向最终用户的主要活动。 本部分介绍便携式凭据和本地凭据的推出。

    凭据 说明 优点
    便携式 跨设备使用。 可以使用便携式凭据登录到其他设备,或在其他设备上注册凭据。 对大多数用户来说,这是需要注册的最重要的凭据类型,因为它们可以跨设备使用,并在许多应用场景中提供防网络钓鱼身份验证。
    本地 可以使用本地凭据在设备上进行身份验证,而无需依赖外部硬件,例如使用 Windows Hello 企业版生物识别技术登录到同一台 PC 上 Microsoft Edge 浏览器中的应用 与便携式凭据相比,它们有两大优势:
  • 它们提供冗余。 如果用户丢失了其便携设备、忘在家里或出现其他问题,则本地凭据会为其提供继续在其计算设备上工作的备用方法。
  • 它们提供出色的用户体验。 使用本地凭据时,用户无需从口袋中掏出手机、扫描 QR 代码或执行其他会降低身份验证速度和增加摩擦的任务。 本地可用的防网络钓鱼凭据可帮助用户在他们经常使用的设备上更轻松地登录。
    		•
    • 对于新用户,注册和引导过程需要用户没有现有的企业凭据,并验证其身份。 其将用户引导到第一个便携式凭据,并使用该便携式凭据在每个计算设备上引导其他本地凭据。 注册后,管理员可在 Microsoft Entra ID 中对用户强制执行防网络钓鱼身份验证。
    • 对于现有用户,此阶段可让用户直接在其现有设备上注册防网络钓鱼无密码身份验证,或使用现有 MFA 凭据引导防网络钓鱼无密码凭据。 最终目标与新用户相同 - 大多数用户应至少拥有一个便携式凭据,然后在每个计算设备上拥有本地凭据。 如果你是为现有用户部署防网络钓鱼无密码身份验证的管理员,则可以跳到“载入步骤 2:引导便携式凭据”部分

    在开始之前,Microsoft 建议为租户中的企业用户启用通行密钥和其他凭据。 如果用户有自行注册强凭据的动机,则允许它是有益的。 至少应启用通行密钥 (FIDO2) 策略,以便用户可以注册通行密钥和安全密钥(如果愿意的话)。

    本部分重点介绍阶段 1-3:

    显示规划过程前三个阶段的图示。

    用户应至少注册两种身份验证方法。 注册另一种方法后,如果主要方法出现问题(例如设备丢失或被盗),则用户可以使用备用方法。 例如,用户最好在其手机上和本地工作站上(Windows Hello 企业版中)都注册通行密钥。

    注意

    始终建议用户至少注册两种身份验证方法。 这可确保在用户的主要方法出现问题(例如设备丢失或被盗)时有备用方法可用。 例如,用户最好在其手机上和本地工作站上(Windows Hello 企业版中)都注册通行密钥。

    注意

    本指导适用于 Microsoft Entra ID 中对通行密钥的现有支持,其中包括 Microsoft Authenticator 中的设备绑定通行密钥和物理安全密钥上的设备绑定通行密钥。 Microsoft Entra ID 计划添加对同步通行密钥的支持。 有关更多信息,请参阅公共预览版:在 Microsoft Entra ID 中扩展通行密钥支持。 该内容可用后,本指南将更新为包含同步通行密钥指导。 例如,许多组织可能会受益于依赖上图中第 3 阶段的同步,而无需启动全新的凭据。

    载入步骤 1:身份验证

    对于尚未证明其身份的远程用户,企业载入是一项重大挑战。 Microsoft Entra 验证 ID 可以帮助想要进行高保证 ID 验证的客户。 它可以使用基于政府颁发 ID 的证明作为建立用户标识信任的一种方式。

    在此阶段,用户可能会定向到身份验证合作伙伴服务。 他们将经历由组织和组织选择的验证伙伴服务确定的证明过程。 在此过程结束时,用户将获得一个临时访问密码 (TAP),他们可以使用该密码引导其第一个便携式凭据。

    请参阅以下指南以启用 Microsoft Entra 验证 ID 载入和 TAP 颁发:

    注意

    Microsoft Entra 验证 ID 是 Microsoft Entra Suite 许可证的一部分。

    有些组织可能会选择 Microsoft Entra 验证 ID 以外的其他方法来载入用户并颁发其第一个凭据。 Microsoft 建议这些组织仍然使用 TAP 或其他无需密码即可让用户登录的方法。 例如,可以使用 Microsoft Graph API 预配 FIDO2 安全密钥

    载入步骤 2:引导便携式凭据

    要引导现有用户使用防网络钓鱼无密码凭据,请先确定用户是否已注册传统 MFA。 注册了传统 MFA 方法的用户可能会成为防网络钓鱼无密码注册策略的目标。 他们可以使用传统 MFA 注册第一个便携式防网络钓鱼凭据,然后再根据需要继续注册本地凭据。

    对于新用户或没有 MFA 的用户,通过一个流程向用户发放临时访问密码 (TAP)。 发放 TAP 可以使用与为新用户提供其第一个凭据相同的方式,也可以使用 Microsoft Entra 验证 ID 集成。 用户拥有 TAP 后,即可引导其第一个防网络钓鱼凭据。

    用户的第一个无密码凭据必须是可用于在其他计算设备上进行身份验证的便携式凭据,这一点很重要。 例如,通行密钥可用于在 iOS 手机上进行本地身份验证,但也可用于在 Windows PC 上使用跨设备身份验证流进行身份验证。 此跨设备功能允许使用便携式通行密钥在 Windows PC 上引导 Windows Hello 企业版。

    同样重要的是,用户经常使用的每台设备都要有一个本地可用凭据,这样才能给用户带来尽可能最流畅的用户体验。 本地可用的凭据缩短了进行身份验证所需的时间,因为用户不需要使用多个设备,而且步骤也更少。 使用步骤 1 中的 TAP 注册可引导这些其他凭据的便携式凭据,使用户能够在其可能拥有的多个设备上本机使用防网络钓鱼凭据。

    下表列出了针对不同角色的建议:

    用户角色 建议的便携式凭据 备用便携式凭据
    信息工作者 通行密钥(Authenticator 应用) 安全密钥、智能卡
    一线工作者 安全密钥 通行密钥(Authenticator 应用)、智能卡
    IT 专业人员/DevOps 工作者 通行密钥(Authenticator 应用) 安全密钥、智能卡
    高度管控的工作者 证书(智能卡) 通行密钥(Authenticator 应用)、安全密钥

    使用以下指导为组织的相关用户角色启用建议和替代的便携式凭据:

    方法 指导
    通行密钥
  • Microsoft 建议用户直接登录 Microsoft Authenticator 以在应用中引导通行密钥。
  • 用户可以使用 TAP 直接在其 iOS 或 Android 设备上登录 Microsoft Authenticator。
  • Microsoft Entra ID 中默认禁用通行密钥。 可以在身份验证方法策略中启用通行密钥
  • 在 Android 或 iOS 设备上的 Authenticator 中注册通行密钥
    		•
    安全密钥
  • Microsoft Entra ID 中默认关闭安全密钥。 可以在身份验证方法策略中启用 FIDO2 安全密钥
  • 请考虑使用 Microsoft Entra ID 预配 API 代表用户注册密钥。 有关详细信息,请参阅使用 Microsoft Graph API 预配 FIDO2 安全密钥
    		•
    智能卡和基于证书的身份验证 (CBA)
  • 与通行密钥或其他方法相比,基于证书的身份验证配置更为复杂。 仅在必要时才考虑使用该方法。
  • 如何配置 Microsoft Entra 基于证书的身份验证
  • 请确保配置本地 PKI 和 Microsoft Entra ID CBA 策略,以便用户真正完成多重身份验证才能登录。 该配置通常需要智能卡策略对象标识符 (OID) 和必要的相关性绑定设置。 有关更多高级 CBA 配置,请参阅了解身份验证绑定策略
    		•

    载入步骤 3:在计算设备上引导本地凭据

    用户注册便携凭据后,就可以在他们经常使用的每台计算设备上以 1:1 的关系引导其他凭据,这有利于他们的日常用户体验。 这种凭据对于信息工作者和 IT 专业人员来说很常见,但对于共享设备的一线工作者来说并不常见。 仅共享设备的用户应仅使用便携式凭据。

    组织需要确定在此阶段每种用户角色首选哪种类型的凭据。 Microsoft 建议:

    用户角色 建议的本地凭据 - Windows 建议的本地凭据 - macOS 建议的本地凭据 - iOS 建议的本地凭据 - Android 建议的本地凭据 - Linux
    信息工作者 Windows Hello 企业版 平台单一登录 (SSO) 安全 Enclave 密钥 通行密钥(Authenticator 应用) 通行密钥(Authenticator 应用) 不适用(改用便携式凭据)
    一线工作者 不适用(改用便携式凭据) 不适用(改用便携式凭据) 不适用(改用便携式凭据) 不适用(改用便携式凭据) 不适用(改用便携式凭据)
    IT 专业人员/DevOps 工作者 Windows Hello for Business 平台 SSO 安全 Enclave 密钥 通行密钥(Authenticator 应用) 通行密钥(Authenticator 应用) 不适用(改用便携式凭据)
    高度管控的工作者 Windows Hello 企业版或 CBA 平台 SSO 安全 Enclave 密钥或 CBA 通行密钥(Authenticator 应用)或 CBA 通行密钥(Authenticator 应用)或 CBA 不适用(改用智能卡)

    使用以下指导为组织的相关用户角色在环境中启用建议的本地凭据:

    方法 指南
    Windows Hello for Business
  • Microsoft 建议使用云 Kerberos 信任方法来部署 Windows Hello 企业版。 有关更多信息,请参阅云 Kerberos 信任部署指南。 云 Kerberos 信任方法适用于将用户从本地 Active Directory 同步到 Microsoft Entra ID 的任何环境。 它可以帮助已加入 Microsoft Entra 或 Microsoft Entra 混合加入的 PC 上的同步用户。
  • 仅当 PC 上的每个用户都以自己身份登录到该 PC 时,才应使用 Windows Hello 企业版。 其不应在使用共享用户帐户的展台设备上使用。
  • Windows Hello 企业版每个设备最多支持 10 个用户。 如果共享设备需要支持更多用户,请改用便携式凭据,例如安全密钥。
  • 生物识别是可选的,但建议使用。 有关更多信息,请参阅准备用户预配和使用 Windows Hello 企业版
    		•
    平台 SSO 安全 Enclave 密钥
  • 平台 SSO 支持 3 种不同的用户身份验证方法(安全 Enclave 密钥、智能卡和密码)。 部署安全 Enclave 密钥方法可在 Mac 上镜像 Windows Hello 企业版。
  • 平台 SSO 要求 Mac 在移动设备管理 (MDM) 中注册。 有关 Intune 的具体说明,请参阅在 Microsoft Intune 中为 macOS 设备配置平台 SSO
  • 如果在 Mac 上使用其他 MDM 服务,请参阅 MDM 供应商的文档。
    		•
    通行密钥
  • Microsoft 建议在 Microsoft Authenticator 中使用相同的设备注册选项引导通行密钥(而不是跨设备注册选项)。
  • 用户可使用 TAP 直接在其 iOS 或 Android 设备上登录 Microsoft Authenticator。
  • Microsoft Entra ID 中默认禁用通行密钥,请在身份验证方法策略中启用通行密钥。 有关更多信息,请参阅在 Microsoft Authenticator 中启用通行密钥
  • 在 Android 或 iOS 设备上的 Authenticator 中注册通行密钥。
    		•

    角色特定的注意事项

    每个角色在抗网络钓鱼无密码部署期间通常都会面临各自的挑战和注意事项。 确定需要包含哪些角色时,应将这些注意事项纳入部署项目规划中。 以下链接针对每个角色提供了特定的指导:

    推动使用防网络钓鱼凭据

    此步骤介绍如何让用户更轻松地采用防网络钓鱼凭据。 应测试部署策略、规划推出,并将计划传达给最终用户。 然后,可以在整个组织内强制实施防网络钓鱼凭据之前创建报告并监视进度。

    测试部署策略

    Microsoft 建议使用一组测试和试点用户测试在上一步中创建的部署策略。 此阶段应包括以下步骤:

    • 创建测试用户和早期采用者的列表。 这些用户应代表不同的用户角色,而不仅仅是 IT 管理员。
    • 创建 Microsoft Entra ID 组,并将测试用户添加到该组。
    • 在 Microsoft Entra ID 中启用身份验证方法策略,并将测试组的范围限定为所启用的方法。
    • 使用身份验证方法活动报告衡量试点用户的注册推出。
    • 创建条件访问策略,对每种操作系统类型强制使用防网络钓鱼无密码凭据,并将试点组作为目标。
    • 使用 Azure Monitor 和工作簿衡量强制实施是否成功。
    • 收集用户对推出是否成功的反馈。

    计划推出策略

    Microsoft 建议哪些用户角色最适合部署来推动使用。 通常情况下,这意味着按照以下顺序为用户进行部署,但可能会根据组织的具体情况发生变化:

    1. 信息工作者
    2. 一线工作者
    3. IT 专业人员/DevOps 工作者
    4. 高度管控的工作者

    使用以下各部分为每个角色组创建最终用户沟通、确定范围并推出通行密钥注册功能,以及跟踪推出进度的用户报告和监视。

    计划最终用户沟通

    Microsoft 为最终用户提供沟通模板。 身份验证推出材料包括可自定义的海报和电子邮件模板,用于通知用户防网络钓鱼无密码身份验证部署。 使用以下模板与用户进行沟通,让他们了解防网络钓鱼无密码身份验证部署:

    应多次重复沟通,以帮助吸引尽可能多的用户。 例如,组织可以选择使用以下模式宣传不同的阶段和时间表:

    1. 距离强制实施还有 60 天:宣传防网络钓鱼身份验证方法的价值,鼓励用户主动注册
    2. 距离强制实施还有 45 天:重复消息
    3. 距离强制实施还有 30 天:传达 30 天后将开始强制实施防网络钓鱼措施的消息,鼓励用户主动注册
    4. 距离强制实施还有 15 天:重复消息,告知用户如何联系技术支持
    5. 距离强制实施还有 7 天:重复消息,告知用户如何联系技术支持
    6. 距离强制实施还有 1 天:通知用户将在 24 小时后强制实施,并告知用户如何联系技术支持

    Microsoft 通过电子邮件以外的其他渠道与用户沟通。 其他选择可能包括 Microsoft Teams 消息、休息室海报和拥护者计划,在这些计划中,经过培训的所选员工会向他们的同伴宣传该计划。

    报告和监视

    Microsoft Entra ID 报告(例如身份验证方法活动Microsoft Entra 多重身份验证的登录事件详细信息)提供技术和业务见解,可帮助你衡量和推动采用。

    从身份验证方法活动仪表板,可以查看注册和使用情况。

    • “注册”显示支持防网络钓鱼无密码身份验证以及其他身份验证方法的用户数量。 可以看到图表,显示用户注册了哪些身份验证方法,以及每种方法最近的注册情况。
    • “使用情况”显示用于登录的身份验证方法。

    业务和技术应用程序所有者应根据组织要求拥有和接收报告。

    • 使用身份验证方法注册活动报告跟踪防网络钓鱼无密码凭据的推出情况。
    • 使用身份验证方法登录活动报告和登录日志跟踪用户对防网络钓鱼无密码凭据的采用情况。
    • 使用登录活动报告跟踪用于登录多个应用程序的身份验证方法。 选择用户行;选择“身份验证详细信息”以查看身份验证方法及其相应的登录活动。

    发生以下情况时,Microsoft Entra ID 会向审核日志中添加条目:

    • 管理员更改身份验证方法。
    • 用户在 Microsoft Entra ID 中对其凭据进行任何类型的更改。

    Microsoft Entra ID 将大多数审核数据保留 30 天。 建议保留更长时间以满足审核、趋势分析和其他业务需求。

    在 Microsoft Entra 管理中心或 API 中访问审核数据,并将其下载到分析系统中。 如果需要更长的保留期,请在 Microsoft Sentinel、Splunk 或 Sumo Logic 等安全信息和事件管理 (SIEM) 工具中导出和使用日志。

    监视技术支持票证量

    IT 技术支持可以提供有关部署进展情况的宝贵信号,因此 Microsoft 建议在执行防网络钓鱼无密码部署时跟踪技术支持票证量。

    技术支持票证量增加时,应降低部署、用户沟通和强制操作的速度。 票证量减少时,可以重新增加这些活动。 使用此方法需要保持推出计划的灵活性。

    例如,可以按日期范围而非具体日期分阶段执行部署和强制措施:

    1. 6 月 1 日至 15 日:第 1 波群体注册部署和活动
    2. 6 月 16 日至 30 日:第 2 波群体注册部署和活动
    3. 7 月 1 日至 15 日:第 3 波群体注册部署和活动
    4. 7 月 16 日至 31 日:已启用第 1 波群体强制措施
    5. 8 月 1 日至 15 日:已启用第 2 波群体强制措施
    6. 8 月 16 日至 31 日:已启用第 3 波群体强制措施

    执行这些不同阶段时,可能需要根据打开的技术支持票证数量增加而减慢速度,然后在数量减少时恢复。 要执行此策略,Microsoft 建议为每个阶段创建一个 Microsoft Entra ID 安全组,并逐个将每个组添加到策略中。 这种方法有助于避免支持团队不堪重负。

    为登录强制实施防网络钓鱼方法

    本部分重点介绍阶段 4。

    突出显示部署强制实施阶段的图示。

    防网络钓鱼无密码部署的最终阶段是强制使用防网络钓鱼凭据。 在 Microsoft Entra ID 中执行此操作的主要机制是条件访问身份验证强度。 Microsoft 建议根据用户/设备对方法对每个角色强制实施。 例如,强制实施推出可以遵循以下模式:

    1. Windows 和 iOS 上的信息工作者
    2. macOS 和 Android 上的信息工作者
    3. iOS 和 Android 上的 IT 专业人员
    4. iOS 和 Android 上的 FLW
    5. Windows 和 macOS 上的 FLW
    6. Windows 和 macOS 上的 IT 专业人员

    Microsoft 建议使用租户的登录数据生成所有用户/设备对的报告。 可以使用 Azure Monitor 和工作簿等查询工具。 至少尝试找出与这些类别匹配的所有用户/设备对。

    为每个用户创建一个列表,列出他们在工作中经常使用的操作系统。 将该列表映射到该用户/设备对的防网络钓鱼登录强制实施准备情况。

    操作系统类型 准备强制实施 未准备强制实施
    Windows 10+ 8.1 及更早版本、Windows Server
    iOS 17+ 16 及更早版本
    Android 14+ 13 及更早版本
    macOS 13+ (Ventura) 12 及更早版本
    VDI 视具体情况而定1 视具体情况而定1
    其他 视具体情况而定1 视具体情况而定1

    1 对于设备版本尚未准备好立即强制实施的每个用户/设备对,确定如何解决强制实施防网络钓鱼的需求。 对于旧版操作系统、虚拟桌面基础结构 (VDI) 和 Linux 等其他操作系统,请考虑以下选项:

    • 使用外部硬件(FIDO2 安全密钥)强制实施防网络钓鱼
    • 使用外部硬件(智能卡)强制实施防网络钓鱼
    • 使用远程凭据(例如跨设备身份验证流中的通行密钥)强制实施防网络钓鱼
    • 使用 RDP 隧道(尤其是 VDI)内的远程凭据强制实施防网络钓鱼

    关键任务是通过数据衡量哪些用户和角色已准备好在特定平台上强制实施。 对准备好强制实施的用户/设备对开始强制实施行动,以“止血”并减少环境中出现的可网络钓鱼身份验证的数量。

    然后再转向需要准备工作的用户/设备对的其他应用场景。 逐一处理用户/设备对列表,直至全面强制实施防网络钓鱼身份验证。

    创建一组 Microsoft Entra ID 组以逐步推出强制实施。 如果采用分阶段的推出方法,则重复使用上一步中的组。

    使用特定的条件访问策略定位每个组。 此方法可帮助你按用户/设备对逐步推出强制实施控制。

    策略 策略中针对的组名 策略 - 设备平台条件 策略 - 授权控制
    1 Windows 防网络钓鱼无密码准备就绪用户 Windows 需要身份验证强度 – 防钓鱼 MFA
    2 macOS 防网络钓鱼无密码准备就绪用户 macOS 需要身份验证强度 – 防钓鱼 MFA
    3 iOS 防网络钓鱼无密码准备就绪用户 iOS 需要身份验证强度 – 防钓鱼 MFA
    4 Android 防网络钓鱼无密码准备就绪用户 Android 需要身份验证强度 – 防钓鱼 MFA
    5 其他防网络钓鱼无密码准备就绪用户 除 Windows、macOS、iOS 或 Android 之外的任何平台 需要身份验证强度 – 防钓鱼 MFA

    确定每个用户的设备和操作系统是已准备就绪,还是没有该类型的设备,然后将其添加到每个组。 在推出结束时,每个用户都应加入其中一个组。

    应对无密码用户的风险

    Microsoft Entra ID 标识保护可帮助组织检测、调查和修正基于标识的风险。 Microsoft Entra ID 保护可为用户提供重要且有用的检测,即使这些用户转而使用防网络钓鱼无密码凭据后也是如此。 例如,针对防网络钓鱼用户的一些相关检测包括:

    • 来自匿名 IP 地址的活动
    • 管理员确认用户遭入侵
    • 异常令牌
    • 恶意 IP 地址
    • Microsoft Entra 威胁情报
    • 可疑浏览器
    • 中间攻击者
    • 可能尝试访问主刷新令牌 (PRT)
    • 以及其他:映射到 riskEventType 的风险检测

    Microsoft 建议 Microsoft Entra ID 保护客户采取以下措施,以最好地保护其防网络钓鱼无密码用户:

    1. 查看 Microsoft Entra ID 保护部署指导:规划 ID 保护部署
    2. 配置风险日志以导出到 SIEM
    3. 调查并处理任何中等用户风险
    4. 配置条件访问策略以阻止高风险用户

    部署 Microsoft Entra ID 保护后,请考虑使用条件访问令牌保护。 随着用户使用防网络钓鱼无密码凭据登录,攻击和检测也将不断发展。 例如,当用户凭据不再容易被网络钓鱼时,攻击者可能会转而尝试从用户设备外泄令牌。 令牌保护通过将令牌绑定到所发放设备的硬件上,有助于降低这种风险。

    后续步骤

    Microsoft Entra ID 防网络钓鱼无密码身份验证部署中特定角色的注意事项