本文說明在跨多個租使用者的教育組織中,保護及管理認證和驗證方法所需的動作。
認證 專屬於使用者的身分識別。 例如,其個別使用者名稱和密碼、PIN 或生物特徵辨識資訊。 每個使用者,包括IT系統管理員、教師、教職員和學生都有認證。
驗證方法是使用者提交或證明其認證的方法。 例如,使用者會在登入畫面或透過已設定其帳戶的 Microsoft Authenticator 應用程式輸入其認證。
驗證方法也可以細分為類別或類型,例如:
登入驗證
密碼重設驗證
多重要素驗證
登入驗證是使用者一開始輸入認證時。 (SSPR) 和多重要素驗證 (MFA) 的自助式密碼重設是其他類型的驗證。
下表顯示如何在這些案例中使用各種驗證方法。
| 驗證方法 | 登入驗證 | SSPR 和 MFA |
|---|---|---|
| 密碼 | 是 | |
| Windows Hello 企業版 | 是 | |
| Microsoft Authenticator 應用程式 | 是 (預覽) | MFA 和 SSPR |
| FIDO2 安全性金鑰 | 是 (預覽) | 僅限 MFA |
| SMS | 是 (預覽) | MFA 和 SSPR |
| 語音通話 | 否 | MFA 和 SSPR |
| 安全性問題 | 否 | 僅限 SSPR |
| 電子郵件地址 | 否 | 僅限 SSPR |
注意事項
若要啟用登入驗證的預覽功能,請開啟 Azure 入口網站,選取 [Microsoft Entra ID > 安全>性驗證方法>] 驗證方法原則 (預覽) ,然後啟用您想要使用的預覽方法。
驗證類型
密碼和 PIN 是常見的認證類型。 較不常見的類型包括圖片密碼和模式鎖定。 生物特徵辨識驗證也越來越受歡迎。 生物特徵辨識會透過臉部辨識、指紋或連續列印來識別使用者。
無密碼驗證
無密碼解決方案是最方便且安全的驗證方法。 無密碼驗證可消除必須記住密碼和回應多重要素驗證的不便。 它更安全,因為它會移除密碼作為受攻擊面,以降低網路釣魚和密碼噴射攻擊的風險。 Microsoft支援下列無密碼驗證方法
Windows Hello 企業版。 Windows Hello 企業版 適用於具有指定 Windows 計算機的使用者。 生物特徵辨識和 PIN 認證會系結至使用者的電腦,這會防止來自指定使用者以外的任何人存取,並防止未經授權的存取。 透過公鑰基礎結構 (PKI) 整合,以及單一登錄 (SSO) 的內建支援,Windows Hello 企業版 提供便利的方法來順暢地存取內部部署和雲端中的資源。
Microsoft Authenticator 應用程式。 Authenticator 應用程式會將您的 iOS 或 Android 手機轉換成強式、無密碼的認證。 使用者可以登入任何平臺或瀏覽器,方法是收到其手機的通知、比對螢幕上顯示的號碼與其手機上的號碼,然後使用其生物特徵辨識 (觸控或臉部) 或 PIN 認證進行確認。 雖然本文參考Microsoft驗證器應用程式,但市集上還有其他驗證器應用程式。
FIDO2 安全性金鑰。 FIDO2 安全性金鑰可讓使用者使用外部安全性金鑰或裝置內建的平臺密鑰登入其資源,而不需要使用者名稱或密碼。
如需詳細資訊,請參閱適用於 Microsoft Entra ID 的無密碼驗證選項。
密碼重設驗證
用戶的密碼重設是技術支援中心最大的磁碟區和成本來源之一。 Microsoft Entra ID 自助式密碼重設 (SSPR) 可讓使用者變更或重設其密碼,而不需要系統管理員或技術支援中心介入。 除了降低成本之外, SSPR 還可降低用戶風險,並改善組織的安全性狀態。 如果使用者的帳戶已鎖定或遭到入侵,或忘記密碼,他們可以遵循提示自行解除封鎖並返回工作。
SSPR 的任何密碼變更都需要密碼符合 Microsoft Entra 密碼原則。 這些原則會決定必要的複雜度、長度、到期時間和可接受的字元。 如果密碼不符合 Microsoft Entra ID (或內部部署 AD) 原則需求,系統會提示使用者再試一次。
多重要素驗證
建議您為大學學生、教育工作者、IT 部門和其他教職員要求 MFA。 這些群組在因特網上可以更活躍,因此更容易受到網路攻擊。
多重要素驗證需要使用者提供其他形式的驗證。 它透過要求第二種形式的驗證來提供額外的安全性,例如:
來自SMS簡訊的程式代碼。
接聽電話語音通話。
在 Microsoft Authenticator 應用程式中提供來自 或 生物特徵辨識資訊的程序代碼。
使用 OAUTH 硬體令牌。
啟用 SSPR 和 Azure MFA
啟用 SSPR 和 MFA,讓您的環境更安全。 用戶必須註冊這些服務。
啟用 SSPR
SSPR 是在 Microsoft Entra ID 密碼重設下的 Azure 入口網站> 中管理,可讓您從下列驗證方法清單中選擇:
建議 – 依喜好設定順序
只有在重設所需的方法數目設定為 2) 時,行動應用程式通知 (才可用
行動裝置應用程式代碼
電子郵件
行動電話 (簡訊簡訊)
如果有兩個建議選項,則不建議使用
辦公室電話 (語音通話)
安全性問題
注意事項
您啟用的驗證方法將可供租使用者的每個成員使用。 由於安全性問題是最不安全的選項,因此除非沒有其他方法可用,否則建議您不要啟用。 辦公室電話的電話可能會遭到入侵,除非沒有其他選項,否則也不建議使用。
我們建議您將 SSPR 提供給租使用者中的所有人使用,但學生在中學和中學中除外。 這些學生可能無法存取必要的第二種驗證形式。 針對這些學生,應該將密碼管理員角色指派給教師或其他教 職員。 若要為這些學生以外的所有使用者啟用 SSPR:
在 Azure 入口網站 中建立具有描述性名稱的 Microsoft 365 群組,例如 “SSPR”。 新增學生和中學生以外的所有人。 在 Microsoft Entra ID 中,您可以建立屬性型規則來啟用群組的動態成員資格。 如果您已經擷取指出學生等級的屬性,建議使用此方法。 如果您需要包含外部來賓,請參閱動態群組和 Microsoft Entra B2B 共同作業。
流覽至 [Microsoft Entra ID 安全>性>密碼重設],選擇 [已選取],然後選取該群組。
啟用 Azure MFA
我們建議您在租用戶中啟用 MFA,並要求 IT 系統管理員和任何存取學生記錄的人員,而非他們自己的或其子系的 MFA。 您可以使用條件式存取原則來強制執行 MFA。
啟用 MFA 之後,用戶應該將下列其中一個選項設定為其預設 Multi-Factor Authentication 方法:
Microsoft驗證器 – 通知 (最建議的)
Microsoft驗證器應用程式或硬體令牌 – 程序代碼
SMS 簡訊
通話 (最不建議的)
注意事項
我們不建議您為學生、中學生和中學生啟用 MFA。 MFA 通常用來防止帳戶遭到入侵,並因不良動作專案而造成損害。 學生應該只能存取自己的資訊,但可能受到損害的可能性有限。 此外,較小的學生可能無法存取第二種形式的驗證。
有兩種方法可以啟用 Azure MFA。 建議您使用 Microsoft Entra ID Protection 來管理推出,方法是設定條件式存取原則來要求 MFA 註冊。 身分識別保護需要您的系統管理員具有 Microsoft Entra ID P2 授權。 請參閱 如何:設定 Azure Multi-Factor Authentication 註冊原則。
如果您沒有 Microsoft Entra ID P2 授權,您仍然可以使用條件式存取原則,在特定情況下要求 Azure Multi-Factor Authentication。 如果您的系統管理員沒有 Microsoft Entra ID P2 授權,請參閱教學課程:使用 Azure Multi-Factor Authentication 保護使用者登入事件。
啟用合併的安全性信息註冊
透過結合的安全性資訊註冊,用戶可以註冊一次,並取得 SSPR 和 Azure Multi-Factor Authentication (MFA) 的優點。
為所有使用者啟用合併註冊,並建立條件式存取原則,以要求您啟用 SSPR 的相同用戶進行註冊。 您可以使用相同的 Office 365 群組。 要求註冊會強制執行用戶註冊 SSPR 和 Azure MFA 的時機和方式。
只有在條件式存取原則的條件要求使用者執行時,才會觸發 SSPR 和 MFA。 您必須建立條件式存取原則,才能強制執行安全策略。
注意事項
對於在 2020 年 8 月之前建立的租使用者,您必須啟用 合併的安全性信息註冊。 對於在 2020 年 8 月之後建立的租用戶,預設會啟用此功能。
如需詳細資訊,請參閱在 Microsoft Entra ID 中啟用合併的安全性信息註冊。
教育使用者
用戶必須先註冊其安全性資訊,才能開始使用 SSPR 或 MFA。 建議您了解使用者體驗,然後開發計劃來分享認知,並視需要教育您的使用者。
如需詳細資訊,請參閱下列用戶檔:
Microsoft提供 MFA 和 SSPR 的使用者通訊範本。 您可以修改這些範本,以協助教育您的使用者。 我們也提供各種驗證方法的部署計劃。 請參閱 部署驗證。
安裝 Microsoft Authenticator 應用程式
將針對 SSPR 或 MFA 使用 Microsoft Authenticator 應用程式的使用者必須安裝最新版的 Microsoft Authenticator 應用程式。
Google Android。 在您的 Android 裝置上,移至 Google Play 下載 並安裝 Microsoft Authenticator 應用程式。
Apple iOS。 在您的 Apple iOS 裝置上,移至 App Store 下載並安裝 Microsoft Authenticator 應用程式。
如果目前不在其行動裝置上,使用者仍然可以從 Microsoft Authenticator 頁面傳送下載連結,以取得 Microsoft Authenticator 應用程式。
Microsoft Entra 密碼保護
儘管您嘗試為使用者提供 如何選擇密碼的指引,但弱式或不安全的密碼經常會發生。 使用者不常根據容易記住的字詞建立密碼,例如學校名稱、小組學生、熱門教師的姓名等等。
Microsoft Entra 密碼保護預設包含全域禁用密碼清單。 這些清單會自動套用至所有使用者,以偵測和封鎖容易遭受密碼噴射攻擊的密碼。 若要支援您自己的安全性需求,您可以在 自定義禁用密碼清單中定義自己的專案。 當使用者變更或重設其密碼時,系統會檢查這些禁用密碼清單,以強制使用更強的密碼。
智慧鎖定 也有助於防止使用暴力密碼破解方法猜測用戶密碼的不良執行者。 根據預設,智能鎖定會在 10 次失敗的嘗試之後,將帳戶鎖定在登入嘗試中一分鐘。 每次登入嘗試失敗之後,帳戶會再次鎖定,在後續嘗試中會先鎖定一分鐘,並在後續嘗試中更久。 所有 Microsoft Entra 客戶都一律會啟用智能鎖定。 預設設定提供安全性和可用性的平衡。 自定義智慧鎖定設定與貴組織專屬的值,需要 Microsoft Entra ID 使用者的 P1 或更高授權。
安全性報告
若要限制您暴露於潛在威脅的風險,請使用 Microsoft Entra ID 中可用的報告功能。 Microsoft Entra ID 支援稽核記錄和登入報告、風險偵測的安全性報告,以及協助您瞭解 Azure MFA 和 SSPR 的驗證方法在組織中的運作方式。
身分識別保護
Microsoft Entra ID 有許多功能可自動識別並產生警示,以移除偵測與回應攻擊之間的延遲。 若要充分利用這些功能,建議您使用 Microsoft Entra ID Protection。 此功能需要 Microsoft Entra ID P2 授權。 我們建議您至少為所有系統管理員使用 Identity Protection。
系統管理員在 Identity Protection 中有三個主要報告用於調查:
有風險的用戶報告。 用戶風險表示使用者身分識別遭到入侵的可能性,並根據該身分識別 的用戶風險偵測 來計算。 用戶風險原則是條件式存取原則,會將風險層級評估為特定使用者或群組。 根據低、中和高風險層級,可以設定原則來封鎖存取,或使用多重要素驗證來要求安全的密碼變更。
有風險的登入報告。 登入風險是帳戶擁有者以外的人嘗試使用身分識別登入的可能性。 登 入風險原則 是條件式存取原則,可將風險層級評估為特定使用者或群組。 根據風險層級 (高/中/低) ,可以設定原則來封鎖存取或強制執行多重要素驗證。 請確定您在中度或高於風險的登入上強制執行多重要素驗證。
風險偵測報告。 可讓系統管理員識別並補救下列類型的風險偵測:
非典型旅遊
匿名IP位址
不熟悉的登入屬性
惡意代碼連結的IP位址
外洩的認證
Microsoft Entra 威脅情報
下列資源可協助您操作風險管理策略。
Microsoft 會在有限的時間內維護 Identity Protection 報告中的資訊。 建議您定期匯出並封存在其他工具中,以進一步調查和相互關聯。 Microsoft圖形 API 可讓您收集此資料,以便在安全性與資訊事件管理 (SIEM) 解決方案等工具中進一步處理。 若要瞭解如何實作這些報告,請參閱開始使用 Microsoft Entra ID Protection 和 Microsoft Graph。
稽核記錄和登入報告
稽 核記錄報表 會合併下列報告:
稽核報告
密碼重設活動
密碼重設註冊活動
自助群組活動
Office365 組名變更
帳戶布建活動
密碼變換狀態
帳戶布建錯誤
驗證方法使用 & 深入解析
Microsoft Entra ID 提供報告,可讓您用來確保用戶已註冊 MFA 和 SSPR。 尚未註冊的使用者可能需要對此程序進行教育。
驗證方法 Usage & Insights 報告 包含 MFA 和 SSPR 使用方式的相關信息,並可讓您深入瞭解每個方法在組織中的運作方式。 存取登入活動 (以及稽核和風險偵測) Microsoft Entra ID 對於疑難解答、使用方式分析和鑑識調查非常重要。
建議
建議教師、系統管理員和IT人員盡可能使用其中一種無密碼驗證方法。 當您必須使用密碼時,請參閱 Microsoft的密碼指引。
驗證方法
下表摘要說明所有三種驗證類型的帳戶類型和建議:
| 帳戶類型 | 登入 | SSPR | Azure MFA |
|---|---|---|---|
| 學生 (學) | 密碼 | ||
| (中學) 的學生 | 密碼 | ||
| (中學) 的學生 | 密碼或 PIN 如果智慧型手機可供使用,則為驗證器應用程式 |
學生的個人電子郵件 SMS 語音通話 |
|
| (大學) 的學生 | 密碼或 PIN 如果智慧型手機可供使用,則為驗證器應用程式 |
Authenticator 應用程式 SMS 個人電子郵件 |
Authenticator 應用程式 SMS Phone |
| 教師 | Windows Hello 企業版 (PIN 或生物特徵辨識) FIDO 2 安全性金鑰 |
•Authenticator 應用程式 SMS 個人電子郵件 |
Authenticator 應用程式 SMS Phone |
| IT 人員 | 無密碼 (PIN、生物特徵辨識、FIDO 2 安全性密鑰) | Authenticator 應用程式 SMS 個人電子郵件 |
Authenticator 應用程式 SMS Phone |
| 家長 | Azure AD B2C (密碼) | Authenticator 應用程式 SMS 語音通話 個人電子郵件 |
Authenticator 應用程式 SMS Phone |
認證散發
建議您使用下列其中一種方法,將驗證散發給中學生:
父代的電子郵件
父系行動電話或座機電話
學生的個人電子郵件 (是否存在)
傳遞給教師的學生臨時密碼列印複本
將密碼張貼至學生的已註冊位址
針對授課者和IT系統管理員、其他教職員,以及中學或大學學生,請使用下列其中一種方法:
將暫時密碼傳送至個人電子郵件位址
透過SMS傳送暫時密碼
列印的暫時密碼複本
密碼安全性建議
IT 系統管理員應一律
強制讓初始或第一次密碼到期
實 作密碼 變更或重設的自動化通知
此外,為所有使用者提供下列密碼安全性建議:
請勿以不安全的方式寫下或儲存您的密碼。
請勿重複使用密碼 – 維護密碼歷程記錄。
請勿與任何人共用您的密碼。
使用複雜密碼,而不是密碼。
如果您懷疑帳戶遭到入侵,請變更密碼。
在第一次使用之前重設提供的密碼。
挑戰和緩和措施
管理認證可能很困難。 本節說明 Microsoft Entra ID 中的功能,可協助您減輕最常見的挑戰。
密碼過期
我們不建議依賴密碼到期作為安全性措施,因為密碼可能會在學校假期期間過期,這可能會導致大量的技術支持人員。 這個大量數據會特別影響未設定 SSPR 的學生,因為他們可能無法存取其他形式的驗證。 多重要素驗證、條件式存取原則和安全性監視比過期密碼更能減輕問題。
如果您的組織目前已啟用密碼到期,建議全域系統管理員或用戶系統管理員使用 Microsoft Azure AD 模組 Windows PowerShell 設定用戶密碼永不過期,或使用 [Set-MsolPasswordPolicy Cmdlet] (/powershell/module/msonline/set-msolpasswordpolicy 修改到期期間。
注意事項
自 2024 年 3 月 30 日起,Azure AD 和 MSOnline PowerShell 模組已被取代。 若要深入瞭解,請閱讀 淘汰更新。 在此日期之後,這些模組的支援僅限於移轉協助Microsoft Graph PowerShell SDK 和安全性修正。 已淘汰的模組會繼續運作到 2025 年 3 月 30 日。
建議您移轉至 Microsoft Graph PowerShell,以與 Microsoft Entra ID (先前的 Azure AD) 互動。 如需常見的移轉問題,請參閱 移轉常見問題。 注意: 1.0.x 版的 MSOnline 可能會在 2024 年 6 月 30 日之後中斷。
更新使用者資訊
系統管理員通常會管理使用者詳細數據:裝置、安全性資訊,以及每個用戶的密碼。 手動更新這項資訊既繁瑣又耗時。
若要解決此挑戰,系統管理員應該要求使用者使用 我的帳戶。 我的帳戶是自助入口網站,可讓使用者:
設定自助式密碼重設
設定雙因素驗證
變更密碼
如果裝置遺失或遭竊,請停用該裝置
維護群組訂用帳戶
學生和教職員通常會發現自己需要存取群組以供存取或通訊之用。 大量的群組數目,以及使用者在教育機構中需要變更的頻率,可讓群組管理成為系統管理員的一項令人望而卻步的工作。
在 Microsoft 365 EDU 中,從學校數據同步建立的每個群組都會自動新增至學校管理單位,以便為該學校中的群組進行委派和範圍管理。
針對個別群組的委派和管理,有兩個額外的選項。
委派的群組管理 可讓系統管理員將群組成員資格的管理委派給企業擁有者。 例如,如果您的學校有只有特定部門的學生應該存取的應用程式,您通常會將使用者新增至群組,並指派群組存取權。 然後,您可以將成員資格管理責任委派給該部門的員工。 然後,部門會管理群組中的成員資格,以提供應用程式的存取權。 在學術設定中,我們建議您不要使用自助式群組管理。
自助群組管理可讓每個使用者,包括學生,在 Microsoft Entra ID 中建立及管理自己的安全組或Microsoft 365 個群組。 群組的擁有者可以核准或拒絕成員資格要求,而且可以委派群組成員資格的控制權。 徹底評估讓學生建立群組是否為您組織所需的狀態。
注意事項
委派的群組管理和自助群組管理功能僅適用於Microsoft 365 群組和 Microsoft Entra 安全組。 它們不適用於擁有郵件功能的安全組或通訊組清單。
太多密碼無法記住
學生和教職員可以存取多個應用程式來完成學校工作,這可能需要他們記住數個唯一密碼。 Microsoft提供數種緩和措施。
建議您使用所有相容的應用程式啟用 Microsoft Entra 單一登錄 (SSO) ,讓使用者可以使用其組織認證來存取所有資源。
Windows 10 Microsoft Entra 加入或 Microsoft Entra 混合式加入的裝置,只要登入的使用者具有存取權,就會順暢地存取已啟用 SSO 的應用程式。
如果您的組織是混合式,且計算機執行 Windows 8 或更早版本,您也可以實作無縫單一登錄。 無縫 SSO 可避免教師和教職員從組織網路登入時出現密碼提示。