使用 Microsoft Entra 達成 ACSC Essential Eight MFA Maturity Level 1
MFA 成熟度層級 1 ACSC 定義
- 多重要素驗證可用來向組織 線上服務 驗證使用者,以處理、儲存或傳達其組織的敏感數據。
- 多重要素驗證可用來向第三方驗證使用者,線上服務 處理、儲存或傳達其組織的敏感數據。
- 多重要素驗證 (可用) 用來向處理、儲存或通訊其組織非敏感數據的第三方 線上服務 驗證使用者。
- 多重要素驗證會使用:用戶擁有的對象和使用者知道的某些專案,或使用者知道或已解除鎖定的某些專案。
超出範圍
下列適用於成熟度層級 1 的 ACSC 需求與客戶身分識別有關,超出本指南 Microsoft Entra 員工身分識別的範圍。
- 多重要素驗證可用來向處理、儲存或通訊 其組織敏感性客戶數據的第三方在線客戶服務驗證使用者。
- 多重要素驗證可用來向在線客戶服務驗證客戶,以處理、儲存或傳達敏感性客戶數據。
MFA 成熟度層級 1 概觀
- 使用者包括可存取組織數據的所有使用者。 這些使用者可以是合作夥伴組織的員工、承包商和來賓。
- 不論使用者登入的位置為何,都應該提示使用者輸入 MFA。
- 實作 MFA 的條件式存取原則不應該有根據使用者位置的排除專案。 例如, (,從公司局域網路) 登入的使用者排除 MFA。
允許的驗證器類型
任何 ISM 允許的多重要素驗證器都可以用來達到成熟度層級 1。
| Microsoft Entra 驗證方法 | 驗證器類型 |
|---|---|
| 建議的方法 | |
受 PIN 保護 (的多重要素軟體憑證)
Windows Hello 企業版 軟體信賴平臺模組 (TPM) |
多重要素密碼編譯軟體 |
|
受硬體保護的憑證 (智慧卡/安全性密鑰/TPM)
裝置系結 () 的通行密鑰 -> FIDO 2 安全性金鑰-> Windows Hello 企業版 硬體 TPM-> Microsoft驗證器中的通行密鑰 (裝置系結) |
多重要素密碼編譯硬體 |
|
Microsoft Authenticator 應用程式 (無密碼) |
頻外多重要素 |
| 其他方法 | |
| 密碼 和 - Microsoft推播通知 (驗證器應用程式) - 或 - 電話 (簡訊) |
記憶的秘密 和 頻外單一因素 |
| 密碼 和 - OATH 硬體令牌 (預覽) - 或 - Microsoft OTP) (Authenticator 應用程式 - 或 - OATH 軟體令牌 |
記憶的秘密 和 單一因素 OTP |
| 密碼 和 - 單一因素軟體憑證 - 或 - Microsoft Entra 與軟體 TPM 聯結 - 或 - Microsoft Entra 與軟體 TPM 混合式聯結 - 或 - 相容的行動裝置 |
記憶的秘密 和 單一因素密碼編譯軟體 |
| 密碼 和 - Microsoft Entra 與硬體 TPM 聯結 - 或 - Microsoft Entra 與硬體 TPM 混合式聯結 |
記憶的秘密 和 單一因素密碼編譯硬體 |
Microsoft Entra 成熟度層級 1 不允許的驗證方法
- SMS 登入
- Email OTP
整合組織和第三方應用程式與 Microsoft Entra ID
若要整合開發人員建置的組織應用程式與 Microsoft Entra ID,請參閱。
若要整合第三方應用程式與 Microsoft Entra ID,請參閱。