使用 Microsoft Entra 達成 ACSC Essential Eight MFA Maturity Level 3

MFA 成熟度層級 3 ACSC 定義

• 多重要素驗證可用來向組織 線上服務 驗證使用者，以處理、儲存或傳達其組織的敏感數據。
• 多重要素驗證可用來向第三方驗證使用者，線上服務 處理、儲存或傳達其組織的敏感數據。
• 多重要素驗證 (其中可用的) 用來向第三方驗證使用者，線上服務 處理、儲存或通訊其組織的非敏感數據。
• 多重要素驗證是用來向組織在線客戶服務驗證使用者，以處理、儲存或傳達其組織的敏感性客戶數據。
• 多重要素驗證可用來向處理、儲存或通訊其組織敏感性客戶數據的第三方在線客戶服務驗證使用者。
• 多重要素驗證可用來驗證系統的特殊許可權使用者。
• 多重要素驗證是用來驗證系統中沒有特殊許可權的使用者。
• 多重要素驗證可用來驗證數據存放庫的使用者。
• 多重要素驗證會使用：用戶擁有的對象和使用者知道的某些專案，或使用者知道或已解除鎖定的某些專案。
• 用於驗證 線上服務使用者的多重要素驗證可防網路釣魚。
• 用於驗證系統使用者的多重要素驗證可防網路釣魚。
• 用於驗證數據存放庫使用者的多重要素驗證可防網路釣魚。
• 集中記錄成功和失敗的多重要素驗證事件。
• 事件 記錄檔 會 受到保護 ，免於 未經授權的修改和刪除。

超出範圍

客戶服務

下列適用於成熟度層級 2 的 ACSC 需求與客戶身分識別有關，超出本指南 Microsoft Entra 的範圍。

• 多重要素驗證可用來向在線客戶服務驗證客戶，以處理、儲存或傳達敏感性客戶數據。
• 用來驗證在線客戶服務客戶的多重要素驗證可防網路釣魚。

組織程式

下列適用於成熟度層級 2 的 ACSC 需求是組織程式，超出本指南 Microsoft Entra 員工身分識別的範圍。

• 系統會及時分析來自因特網對向伺服器的事件記錄，以偵測網路安全性事件。
• 系統會及時分析來自非因特網對向伺服器的事件記錄，以偵測網路安全性事件。
• 工作站中的事件記錄會及時分析，以偵測網路安全性事件。
• 系統會及時分析網路安全性事件，以識別網路安全性事件。
• 網路安全性事件會在發生或探索到之後，儘快回報給資訊安全長或其委派之一。
• 網路安全性事件會在發生或探索之後儘快回報給 ASD。
• 在識別網路安全性事件之後，會制定網路安全性事件響應計劃。

MFA 成熟度層級 3 概觀

允許的驗證器類型

任何 ISM 允許的防網路釣魚多重要素驗證器都可以用來達到成熟度層級 3。

Microsoft Entra 驗證方法	驗證器類型
受硬體保護的憑證 (智慧卡/安全性密鑰/TPM) 裝置系結 () 的通行密鑰 -> FIDO 2 安全性金鑰 ->使用硬體 TPM (信賴平臺模組 Windows Hello 企業版) -> Microsoft驗證器中的通行密鑰 (裝置系結)	多重要素密碼編譯硬體

我們的建議

如需消除最大受攻擊面密碼的無密碼驗證指引，請參閱在 Microsoft Entra 中規劃無密碼驗證部署。

如需實作 Windows Hello 企業版 的詳細資訊，請參閱 Windows Hello 企業版 部署指南。

Microsoft Entra 成熟度層級 3 不允許的驗證方法

• SMS 登入
• Email OTP
• Microsoft驗證器應用程式 (電話登入)
• 密碼加上電話 (簡訊)
• 密碼加上電話 (語音通話)
• 密碼加 Email OTP
• 密碼加上 Microsoft Authenticator 應用程式 (OTP)
• 密碼加上單一因素 OTP
• 密碼加上 Microsoft Entra 與軟體 TPM 聯結
• 密碼加上相容的行動裝置
• 密碼加上 Microsoft Entra 與軟體 TPM 混合式聯結
• 密碼加上Microsoft驗證器應用程式 (通知)
• 密碼加上 Microsoft Entra 與硬體 TPM 聯結
• 密碼加上 Microsoft Entra 與硬體 TPM 混合式聯結

來賓的防網路釣魚多重要素驗證

Microsoft Entra ID 不支援來賓在資源租用戶中註冊防網路釣魚的多重要素驗證選項。

若要對租使用者中的來賓強制執行防網路釣魚多重要素驗證，必須設定跨租使用者存取，以啟用 MFA 的輸入信任。

MFA 的輸入信任可讓來賓在其住家租用戶中執行防網路釣魚多重要素驗證，並滿足租使用者中防網路釣魚驗證的條件式存取原則需求。

若要深入瞭解， 請參閱設定 B2B 共同作業的跨租使用者存取設定 - 變更 MFA 和裝置宣告的輸入信任設定。

桌面電腦和伺服器 (系統的多重要素驗證)

如 需桌面和伺服器的存取權，請參閱多重要素驗證。

整合組織和第三方應用程式與 Microsoft Entra ID

若要整合開發人員建置的組織應用程式與 Microsoft Entra ID，請參閱整合開發人員建置的應用程式。

若要整合第三方應用程式與 Microsoft Entra ID，請參閱整合應用程式與 Microsoft Entra ID的五個步驟。

後續步驟

• 設定 Essential Eight MFA 驗證方法
• 設定 Essential Eight MFA 驗證強度
• 設定 Essential Eight MFA 條件式存取原則
• 設定 Essential Eight MFA 記錄
• 可存取桌面、伺服器和數據存放庫的防網路釣魚多重要素驗證