所有使用者都需要多重要素驗證

如 Alex Weinert (Microsoft 身分識別安全性小組主管) 在其部落格文章 Pa$$word (密碼) 不重要 (英文) 中所述：

您的密碼並不重要，但 MFA 確實很重要！ 根據我們的研究，如果使用多重要素驗證 (MFA)，則帳戶遭到入侵的機率可降低 99.9%。

驗證強度

本文中的指引可協助您的組織使用驗證強度為您的環境建立 MFA 原則。 Microsoft Entra ID 提供三個內建驗證強度：

• 本文建議的多重要素驗證強度 （較不嚴格）
• 無密碼 MFA 強度
• 網路釣魚防護 MFA 強度 （限制最嚴格）

您可以使用其中一個內建強度，或根據您要要求的驗證方法建立自訂驗證強度。

針對外部使用者案例，資源租使用者可接受的 MFA 驗證方法會根據使用者是在主租用戶或資源租使用者中完成 MFA 而有所不同。 如需詳細資訊，請參閱 外部使用者的驗證強度。

使用者排除

條件式存取原則是功能強大的工具，建議您從原則中排除下列帳戶：

• 緊急存取 或 中斷帳戶 ，以防止因為原則設定錯誤而導致鎖定。 在不太可能的情況下，所有系統管理員都遭到鎖定，您的緊急存取系統管理帳戶可用來登入並採取復原存取的步驟。
  • 如需詳細資訊，請參閱在 Microsoft Entra ID 中管理緊急存取帳戶一文。
• 服務帳戶 和服務 主體，例如Microsoft Entra Connect 同步帳戶。 服務帳戶是未與任何特定使用者繫結的非互動式帳戶。 後端服務通常會使用這些帳戶以程式設計方式存取應用程式，但也可用來登入系統以供管理之用。 服務主體所進行的呼叫不會遭到範圍設定為使用者的條件式存取原則封鎖。 使用適用於工作負載身分識別的條件式存取，來定義以服務主體為目標的原則。
  • 如果您的組織在指令碼或程式碼中使用這些帳戶，請考慮將它們取代為受管理的身分識別。

範本部署

組織可以選擇使用下面所述的步驟來部署此原則，或使用條件式存取範本 (部分機器翻譯)。

建立條件式存取原則

下列步驟可協助建立條件式存取政策，以要求所有使用者使用驗證強度政策進行多重驗證，並且沒有任何應用程式排除。

警告

如果您使用 外部驗證方法，這些方法目前與驗證強度不相容，您應該使用 [需要多重要素驗證 授與控制]。

1. 至少以條件式存取管理員 (部分機器翻譯) 的身分登入 Microsoft Entra 系統管理中心。

2. 瀏覽至 [保護]> [條件式存取]> [原則]。

3. 選取 [新增原則]。

4. 為您的原則命名。 建議組織針對其原則的名稱建立有意義的標準。

5. 在 [指派] 底下，選取 [使用者] 或 [工作負載識別]。

   1. 在 [包含] 底下，選取 [所有使用者]。
   2. 在 [排除] 下，選取 [使用者和群組]，然後選擇您組織的緊急存取權或中斷帳戶。
      1. 如果您要以 來賓使用者特定原則為目標，您可以選擇排除來賓使用者。

6. 在 [目標資源資源>]（先前稱為雲端應用程式）>[包含] 下，選取 [所有資源] （先前為 [所有雲端應用程式] 。

   提示

   Microsoft建議所有組織建立一個基本條件式存取原則，該原則針對所有使用者、所有資源（不排除任何應用程式），並要求多因素驗證。

7. 在 [存取控制]>[授與] 下，選取 [授與存取權]。

   1. 選取 [需要驗證強度]，然後從清單中選取內 建的多重要素驗證強度 。
   2. 選取選取。

8. 確認您的設定，並將 [啟用原則] 設為 [報告專用]。

9. 選取 [建立] 以建立並啟用您的原則。

管理員使用報告專用模式確認設定之後，即可以將 [啟用原則] 從 [報告專用] 切換至 [開啟]。

具名位置

組織可以選擇在其條件式存取原則中納入稱為 具名位置的已知網路位置 。 這些具名位置可包括受信任的 IP 網路，例如主要辦公室位置的網路。 如需設定具名位置的詳細資訊，請參閱 Microsoft Entra 條件式存取的位置條件是什麼？一文

在前述的範例原則中，如果是從公司網路存取雲端應用程式，組織可選擇不需要多重要素驗證。 在此情況，其可新增下列設定至原則：

1. 在 [指派] 底下，選取 [網络]。
   1. 設定 [是]。
   2. 包含 任何網路或位置。
   3. 排除 所有受信任的網路和位置。
2. [儲存] 原則變更。

相關內容

• 條件式存取範本 (部分機器翻譯)
• 使用報告專用模式來進行條件式存取，以確認新原則決策的結果。
• Windows 訂用帳戶啟用