探索 Microsoft Entra ID 中的安全性預設值

  • 8 分鐘

Microsoft Entra ID 包含一組預先設定的安全性設定,稱為安全性預設值。 組織可以啟用安全性預設值,為 Microsoft Entra 租用戶中的所有使用者和應用程式提供基準安全性。 啟用安全性預設值是一種簡單且有效的方式,可改善 Microsoft Entra 租用戶的安全性態勢,而無需個別設定每個安全性功能。 不過,請務必注意,安全性預設值提供基本安全性,而且可能不符合所有組織的特定安全性需求。 因此,某些組織需要其他安全性功能,或設定自己的自訂原則,以符合其特定的安全性需求。

當組織啟用安全性預設值時,系統會自動為其 Microsoft Entra 租用戶中的所有使用者啟用下列安全性功能:

  • 所有使用者的多重要素驗證 (MFA)。
  • 封鎖舊版驗證通訊協定。
  • 要求使用者在必要時註冊 Microsoft Entra 多重要素驗證。
  • 需要系統管理員執行 MFA。
  • 保護特殊權限的活動,例如存取 Microsoft Entra 系統管理中心。

本單元會更詳細地探討每一個功能。

您應該對誰使用安全性預設值?

由於管理安全性的固有挑戰,Microsoft 會讓安全性預設值可供每個人使用。 在現今的環境中,通常會發生與身分識別相關的攻擊,例如密碼噴濺、重新執行攻擊和網路釣魚。 組織會藉由使用多重要素驗證並封鎖舊版驗證,以阻止超過 99.9% 的這些身分識別相關攻擊。

Microsoft 想要確保所有組織都至少啟用基本層級的安全性,而無需額外的費用。 因此,其專為下列組織設計 Microsoft Entra 安全性預設值:

  • 想要提升其安全性態勢,但不知道如何開始或從何處開始的組織。
  • 使用 Microsoft Entra 授權免費階層的組織。
  • 不使用條件式存取原則的組織。

警告

無法使用安全性預設值的組織 (若其目前使用條件式存取原則)。 條件式存取和安全性預設值互斥。 您可以使用其中一個,但不能使用另一個。

如果組織有 Microsoft Entra 進階授權,則 Microsoft Entra 安全性預設值可能不是適合的安全性解決方案。 為什麼? 因為比起 Microsoft Entra 安全性預設值所提供的安全性功能,Microsoft Entra 進階版授權提供了更進階安全性功能的存取權。

雖然 Microsoft Entra 安全性預設值提供基本層級的安全性,但可能不符合所有組織的特定安全性需求,尤其是具有更複雜安全性需求的公司。 例如,Microsoft Entra 進階版授權提供下列功能的存取權:

  • 條件式存取原則,這可讓組織根據特定條件 (例如使用者位置、裝置狀態和風險層級) 來設定細微的存取控制。
  • 身分識別保護,這可提供身分識別風險事件的深入解析,並可讓組織設定原則以降低風險。
  • 特殊權限身分識別管理,這可讓組織管理和監視對 Microsoft Entra 中資源的特殊權限存取權。

總而言之,Microsoft Entra 安全性預設值為剛開始使用 Microsoft Entra ID 的組織提供絕佳的起點。 不過,具有 Microsoft Entra 進階版授權的組織或許應考慮使用更進階的安全性功能,以確保符合其安全性需求。

啟用安全性預設值

如果 Microsoft 在 2019 年 10 月 22 日或之後建立其租用戶,則組織可能已經啟用安全性預設值。 為了保護其所有客戶,Microsoft 在建立時便包含所有新租用戶的安全性預設值。 不過,如先前所述,每個組織必須根據其 Microsoft Entra 授權和安全性需求,決定是否要啟用此功能。

重要事項

啟用安全性預設值會立即對租用戶中的所有使用者強制執行多重要素驗證,並封鎖舊版驗證通訊協定。 因此,在啟用安全性預設值之前,您應該確定您的組織已準備好進行這些變更,而且您應該通知使用者新的安全性需求。

若要在您的目錄中啟用安全性預設值:

  1. 以安全性系統管理員、條件式存取系統管理員或全域管理員身分登入 Microsoft Entra 系統管理中心
  2. Microsoft Entra 系統管理中心 的左側瀏覽窗格中,選取 [身分識別],然後選取 [概觀]
  3. 在組織租用戶的 [概觀] 頁面上,系統預設會顯示 [概觀] 索引標籤。 選取 [屬性] 索引標籤。
  4. [安全性預設值] 區段底下,選取 [管理安全性預設值] 連結。
  5. 在顯示的 [安全性預設值] 窗格上,在 [安全性預設值] 欄位中進行選取。 在顯示的下拉式功能表中,選取 [已啟用]
  6. 在窗格底部,選取 [儲存]

顯示 Microsoft Entra 系統管理中心中的 [安全性預設值] 窗格的螢幕擷取畫面。

強制執行的安全性預設原則

本單元的開頭檢查了組織啟用安全性預設值時,系統自動強制執行的五個安全性預設原則。 下列各節將介紹這些原則。

要求所有使用者註冊 Microsoft Entra 多重要素驗證

租用戶中的所有使用者都必須以 Microsoft Entra 多重要素驗證的形式,註冊多重要素驗證 (MFA)。 使用者有 14 天的時間可以使用 Microsoft Authenticator 應用程式或任何支援 OATH TOTP 的應用程式來註冊 Microsoft Entra 多重要素驗證。 14 天過後,使用者便無法登入,除非完成註冊。 使用者的 14 天期限將從組織啟用安全性預設值之後,使用者首次成功進行互動式登入之日開始計算。

要求系統管理員執行多重要素驗證

系統管理員已提高其環境的存取權。 由於這些高度特殊權限的帳戶具有強大的功能,因此處理這些帳戶時,應特別小心。 改善特殊權限帳戶保護的一個常見方法是要求更強形式的帳戶驗證才能登入。 在 Microsoft Entra ID 中,您可以透過要求多重要素驗證,來取得更強大的帳戶驗證。

提示

Microsoft 建議針對系統管理與標準生產力工作,使用不同的帳戶。 這樣做可大幅減少系統提示您的系統管理員進行 MFA 的次數。

在組織啟用 Microsoft Entra 多重要素驗證,且其使用者向 MFA 註冊之後,系統會要求下列 Microsoft Entra 系統管理員角色在每次登入時完成額外的驗證:

  • 全域管理員
  • 應用程式系統管理員
  • 驗證管理員
  • 計費管理員
  • 雲端應用程式系統管理員
  • 條件式存取系統管理員
  • Exchange 系統管理員
  • 技術支援管理員
  • 密碼管理員
  • 特殊權限驗證系統管理員
  • 安全性系統管理員
  • SharePoint 系統管理員
  • 使用者系統管理員

要求使用者在必要時,執行多重要素驗證

許多人認為只有系統管理員帳戶才需要額外的驗證層級。 是,系統管理員具有敏感性資訊的廣泛存取權,而且可以變更整個訂用帳戶的設定。 但事實上,攻擊者經常以終端使用者為目標。

在這些攻擊者取得存取權之後,他們可以要求原始帳戶持有者的特殊權限資訊之存取權。 他們甚至可以下載整個目錄,對整個組織進行網路釣魚攻擊。

改善所有使用者保護的常見方法之一,是要求每個人使用更強形式的帳戶驗證,例如多重要素驗證。 使用者完成註冊之後,系統會在必要時提示您進行另一個驗證。 Microsoft Entra ID 會根據位置、裝置、角色和工作等因素,決定何時提示使用者或多重要素驗證。 這項功能可保護向 Microsoft Entra ID 註冊的所有應用程式,包括 SaaS 應用程式。

注意事項

B2B 直接連線 使用者必須滿足在資源租用戶中啟用安全性預設值的任何多重要素驗證需求。 這項需求包括由其主租用戶中的直接連線使用者進行多重要素驗證註冊。

封鎖舊版驗證通訊協定。

為了讓使用者可輕鬆存取其組織的雲端應用程式,Microsoft Entra ID 支援各種驗證通訊協定,包括舊版驗證。 舊版驗證是指由以下人員提出的驗證要求:

  • 不使用新式驗證的用戶端 (例如 Office 2010 用戶端)。
  • 使用舊版郵件通訊協定的任何用戶端,例如 IMAP、SMTP 或 POP3。

現今,大部分的登入嘗試都來自舊版驗證。 舊版驗證不支援多重要素驗證。 即使您已在目錄上啟用多重要素驗證原則,攻擊者仍可使用較舊的通訊協議進行驗證,並略過多重要素驗證。

在組織啟用安全性預設值之後,系統會封鎖舊版通訊協定所提出的所有驗證要求。 安全性預設值也會封鎖 Exchange Active Sync 基本驗證。

組織啟用安全性預設值之前,必須確定其系統管理員不會使用較舊的驗證通訊協定。 如需詳細資訊,請參閱 如何離開舊版驗證

保護特殊權限的活動,例如存取 Microsoft Entra 系統管理中心

組織會使用透過 Azure Resource Manager API 管理的各種 Azure 服務,包括:

  • Microsoft Entra 系統管理中心
  • Azure PowerShell
  • Azure CLI

注意事項

在租用戶中啟用安全性預設值之後,任何存取這些 Azure 服務的使用者都必須完成多重要素驗證。 這項需求包括系統管理員和非系統管理員。

使用 Azure Resource Manager 來管理您的服務是高度特殊權限的動作。 Azure Resource Manager 可以改變整個租用戶的設定,例如服務設定和訂用帳戶計費。 單一要素驗證很容易受到網路釣魚和密碼噴濺等各種攻擊。

組織應該確認想要存取 Azure Resource Manager 和更新設定的使用者的身分識別。 在允許存取之前,您需要更多驗證來驗證其身分識別。

警告

2017 年前 Exchange Online 租用戶預設會停用新式驗證。 若要避免透過這些租用戶進行驗證時發生登入迴圈的可能性,您必須 啟用新式驗證

注意事項

Microsoft Entra ID 會將 Microsoft Entra Connect 同步處理帳戶從安全性預設值中排除。 它不會提示此帳戶註冊或執行多重要素驗證。 組織不應將此帳戶用於其他用途。

啟用安全性預設值時的部署考量

驗證方法

當組織啟用安全性預設值後,其使用者必須使用 Microsoft Authenticator 應用程式使用通知 來註冊並使用 Microsoft Entra 多重要素。 使用者可以使用來自 Microsoft Authenticator 應用程式的驗證碼,但只能使用通知選項進行註冊。 使用者也可以使用任何使用 OATH TOTP 的第三方應用程式來產生代碼。

警告

使用安全性預設值的組織不應停用驗證方法。 如果組織停用方法,可能會導致將公司鎖定在其租用戶外。

所有驗證方法應仍可供在 MFA 服務設定入口網站 中啟用的使用者使用。

備份系統管理員帳戶

每個組織都應設定至少兩個備份系統管理員帳戶。 Microsoft 將這些帳戶稱為緊急存取帳戶。

當組織無法使用其一般系統管理員帳戶時,可能會使用這些帳戶。 例如: 最新的全域系統管理員離開組織。 Microsoft Entra 可防止組織從中刪除其餘的全域系統管理員帳戶,但無法防止組織刪除或停用內部部署帳戶。 任一種情況都可能導致組織無法復原帳戶。

組織應設定緊急存取帳戶,如下所示:

  • 組織必須將全域系統管理員權限指派給 Microsoft Entra ID 中的緊急存取帳戶。
  • 組織不應每天使用緊急存取帳戶。
  • 組織應使用冗長且複雜的密碼來保護緊急存取帳戶。

組織應將緊急存取帳戶的認證離線儲存在安全的位置中,例如防火保管庫。 只有授權的個人才可存取這些認證。

組織可以選擇性地選擇使用 PowerShell 來停用緊急存取帳戶的密碼到期。

其他閲讀資源。 如需緊急存取帳戶的詳細資訊,請參閱 管理 Microsoft Entra ID 中的緊急存取帳戶

B2B 使用者

如果組織啟用安全性預設值,系統會將任何可存取組織目錄的 B2B 來賓使用者或 B2B 直接連線使用者視為與組織的使用者相同。

已停用 MFA 狀態

如果組織是以每個使用者為基礎的 Microsoft Entra 多重要素驗證的先前使用者,則 多重要素驗證狀態 頁面可能不會以 [已啟用][已強制執行] 狀態顯示使用者。 使用安全性預設值或條件式存取型 Microsoft Entra 多重要素驗證的使用者的適當狀態為 [已停用]

條件式存取

組織可以使用條件式存取來設定類似安全性預設值的原則,但提供更細微的控制。 條件式存取原則允許選取其他驗證方法,以及排除使用者的能力。 Microsoft Entra ID 不會在安全性預設值中包含這些功能。

注意事項

如前所述,使用條件式存取的組織無法啟用安全性預設值。

停用安全性預設值

啟用安全性預設值的組織稍後可以選擇實作條件式存取原則。 若要這樣做,他們必須先停用安全性預設值。