設定 Essential Eight MFA 條件式存取原則

本文提供在 Microsoft Entra ID 中設定條件式存取原則以符合指定成熟度層級需求的指引。

注意事項

• 請勿針對下列 MFA 原則建立任何排除 (例如，請勿根據位置、裝置狀態) 來排除。
• 當商務用 Windows 市集應用程式需要 MFA 時，Windows 授權啟用有已知問題。 暫時的因應措施是將此應用程式從條件式存取原則中排除。

建立條件式存取原則。

1. 流覽至 Microsoft Entra 系統管理中心>Microsoft Entra 系統管理中心。
2. 選 取 [保護>條件式存取>][建立新原則]。
3. 設定所需成熟度層級的原則。
4. 將 [啟用原則] 設定為 [開啟]，選取 [ 建立]。

成熟度層級 1

• 名稱： ACSC Essential 八 MFA – 成熟度層級 1
• 使用者:
  • 包含： 所有使用者
• 雲端應用程式：
  • 包含： 所有雲端應用程式
• 條件： 無
• 授與： 需要驗證強度
  • 選取針對設定 Essential Eight MFA 驗證強度中建立的成熟度層級 1 所定義的驗證強度。

成熟度層級 2 & 3

• 名稱： ACSC Essential Eight MFA – Maturity Level 2 & 3
• 使用者:
  • 包含： 所有使用者
• 雲端應用程式：
  • 包含： 所有雲端應用程式
• 條件： 無
• 授與： 需要驗證強度
  • 選取針對成熟度層級 2 & 3 定義的驗證強度，該驗證強度是在設定 Essential Eight MFA 驗證強度中建立的。

Microsoft 建議

除了成熟度層級的條件式存取原則之外，建議您實作下列控件。

需要符合規範或混合式聯結的裝置

您可以在任何成熟度層級達到網路釣魚抗拒，方法是將登入限制為符合規範或 Microsoft Entra 混合式聯結裝置， (桌面和行動裝置) 。 建議針對所有成熟度層級使用此控件，而且必須套用至組織擁有的所有裝置。 可能的話，也應套用此控件，將您自己的裝置 (BYOD) 裝置。

請遵循本指南來啟用需要相容或 Microsoft Entra 混合式聯結裝置：

• 條件式存取 - 需要符合規範或混合式聯結的裝置

封鎖舊版驗證

舊版驗證通訊協定不支援新式驗證，因此容易遭受認證竊取攻擊。 建議您封鎖舊版驗證通訊協定，以降低認證竊取攻擊的風險。

若要封鎖舊版驗證，請遵循本指南：

• 使用條件式存取封鎖 Microsoft Entra ID 中的舊版驗證

防止多重要素驗證接管休眠帳戶

未註冊多重要素驗證的休眠帳戶很容易受到多重要素驗證接管攻擊。 建議您設定 MFA 註冊原則，以確保使用者在用戶上線流程中設定多重要素驗證。

定期檢閱多重要素驗證註冊活動報告，以識別未註冊多重要素驗證的休眠帳戶。 身分識別控管解決方案，例如 Microsoft Entra ID 控管 可用來自動檢閱休眠帳戶。

• 如何：設定 Microsoft Entra 多重要素驗證註冊原則 -驗證方法活動

Microsoft Entra 安全性預設值

Microsoft Entra 沒有 Microsoft Entra ID P1 或 P2 授權的租使用者可以啟用 Microsoft Entra 安全性預設值，以達到 ACSC Essential Eight 成熟度層級 1。

若要啟用安全性預設值，請參閱在 Microsoft Entra ID 中提供預設層級的安全性。

後續步驟

• 設定 Essential Eight MFA 記錄
• 存取伺服器和舊版應用程式的多重要素驗證