要求管理員使用抗網絡釣魚的多重身份驗證

獲派特殊管理角色的帳戶是攻擊者的常見目標。 要求為這些帳戶使用防網路釣魚的多重要素驗證 (MFA)，這是降低這些帳戶被入侵風險的簡單方法。

警告

在建立需要具備防網路釣魚能力的多因素驗證政策之前，請確認您的系統管理員已註冊合適的方法。 如果您啟用此原則而未完成此步驟，則有可能將自己鎖在租戶之外。 管理員可以設定臨時存取密碼來註冊無密碼驗證方法，或遵循註冊通行金鑰 (FIDO2) 中的步驟。

Microsoft 建議您至少要求下列角色使用防止釣魚攻擊的多因素驗證：

• 全域管理員
• 應用程式系統管理員
• 驗證管理員
• 計費管理員
• 雲端應用程式系統管理員
• 條件式存取系統管理員
• Exchange 系統管理員
• 服務台系統管理員
• 密碼管理員
• 特殊權限驗證管理員
• 特殊權限角色管理員
• 安全性系統管理員
• Sharepoint 系統管理員
• 使用者管理員

組織可能會根據自己的需求選擇包含或排除角色。

組織可以使用此原則搭配 Privileged Identity Management (PIM) 等功能，以及其需要 MFA 才能啟用角色的功能。

驗證強度

本文中的指引可協助您的組織使用驗證強度為您的環境建立 MFA 原則。 Microsoft Entra ID 提供三個內建驗證強度：

• 多重要素驗證強度（限制較少）
• 無密碼 MFA 強度
• 本文建議的網路釣魚防護 MFA 強度 （最嚴格）

您可以使用其中一個內建強度，或根據您要要求的驗證方法建立自訂驗證強度。

針對外部使用者案例，資源租使用者可接受的 MFA 驗證方法會根據使用者是在主租用戶或資源租使用者中完成 MFA 而有所不同。 如需詳細資訊，請參閱 外部使用者的驗證強度。

使用者排除

條件式存取原則是功能強大的工具，建議您從原則中排除下列帳戶：

• 緊急存取 或 破窗機制帳戶 ，以防止因為政策設定錯誤而導致鎖定。 在不太可能的情況下，所有系統管理員都遭到鎖定，您的緊急存取系統管理帳戶可用來登入並採取復原存取的步驟。
  • 如需詳細資訊，請參閱在 Microsoft Entra ID 中管理緊急存取帳戶一文。
• 服務帳戶和服務主體，例如 Microsoft Entra Connect 同步帳戶。 服務帳戶是未與任何特定使用者繫結的非互動式帳戶。 通常由後端服務使用這些帳戶來程式化存取應用程式，但也用於登入系統以進行管理。 服務主體所進行的呼叫不會被應用於使用者的條件式存取原則封鎖。 使用適用於工作負載身分識別的條件式存取，來定義以服務主體為目標的原則。
  • 如果您的組織在指令碼或程式碼中使用這些帳戶，請考慮將它們取代為受管理的身分識別。

範本部署

組織可以選擇使用下面所述的步驟來部署此原則，或使用條件式存取範本 (部分機器翻譯)。

建立條件式存取原則

警告

如果您使用 外部驗證方法，這些方法目前不相容於驗證強度，而且您應該使用 需要多重要素驗證 授權控制。

1. 至少以條件式存取管理員的身分登入Microsoft Entra 管理中心。
2. 瀏覽至 保護>條件式存取>原則。
3. 選取 新增政策。
4. 給您的政策命名。 建議組織針對其原則的名稱建立有意義的標準。
5. 在 [指派] 底下，選取 [使用者] 或 [工作負載識別]。

   1. 在 包括 下，選取 目錄角色，然後至少選擇先前列出的角色。

      警告

      條件式存取原則支援內建角色。 系統不會針對其他角色類型強制執行條件式存取原則，包括管理單位範圍或自訂角色。

   2. 在排除下，選取使用者和群組，並選擇您組織的緊急存取或備用帳戶。

6. 在 [目標資源]> 下的[資源（先前為雲端應用程式）]>中，選取 [所有資源（先前為「所有雲端應用程式」）]。
7. 在 [存取控制]>的 [授與] 中，選擇 [授與存取權]。
   1. 選取 需要驗證強度，然後從清單中選取 具網路釣魚防護的 MFA 強度。
   2. 選取選取。
8. 確認您的設定，並將 [啟用原則] 設為 [報告專用]。
9. 選取 [建立] 以建立並啟用您的原則。

管理員使用報告專用模式確認設定之後，即可以將 [啟用原則] 從 [報告專用] 切換至 [開啟]。

相關內容

• Microsoft Entra 內建角色
• 條件式存取範本
• 在 Privileged Identity Management 中設定 Microsoft Entra 角色設定