實作 Microsoft Entra 智慧鎖定
智慧鎖定會鎖定嘗試猜測使用者密碼或使用暴力密碼破解方法來取得存取的不良執行者。 它可以辨識來自有效使用者的登入,並以不同於攻擊者和其他未知來源的方式來處理登入。 智慧鎖定會鎖定攻擊者,同時讓組織的使用者繼續存取其帳戶並提高生產力。
根據預設,在 10 次嘗試失敗之後,智慧鎖定會將帳戶鎖定一分鐘,禁止嘗試登入。 第十次嘗試失敗之後,智慧鎖定會在每次連續嘗試失敗後鎖定帳戶。 智慧鎖定會在第十一次嘗試失敗後鎖定帳戶一分鐘。 從第十二次嘗試失敗開始,智慧鎖定會將帳戶鎖定得更久。
智慧鎖定會追蹤前三次失敗密碼嘗試的密碼,以避免針對相同的密碼遞增鎖定計數器。 如果某人多次輸入相同的錯誤密碼,智慧鎖定不會鎖定使用者帳戶。
注意事項
傳遞驗證會在內部部署進行,而不是在雲端中進行。 因此,已啟用 PTA 的客戶無法使用雜湊追蹤功能。
所有 Microsoft Entra ID 客戶一律會開啟智慧鎖定,這些預設設定可提供適當的安全性和可用性組合。 使用特定於組織的值自訂智慧鎖定設定,需要為其使用者支付 Microsoft Entra 授權。
智慧鎖定不保證永遠不會鎖定正版使用者。 當智慧鎖定鎖定使用者帳戶時,服務會盡量不鎖定正版使用者。 鎖定服務會嘗試確保不良執行者無法存取正版使用者帳戶。
- 每個 Microsoft Entra ID 資料中心都會個別追蹤鎖定。 如果使用者叫用每個資料中心,智慧鎖定會使用下列方程式來計算其嘗試次數: threshold_limit X datacenter_count。
- 智慧鎖定會使用熟悉的位置與不熟悉的位置,來區分不良執行者和正版使用者。 不熟悉和熟悉的位置有個別的鎖定計數器。
組織可以整合智慧鎖定與混合式部署。 在此案例中,系統會使用密碼雜湊同步或傳遞驗證,保護內部部署的 Active Directory 帳戶免於遭到攻擊者的鎖定。 在 Microsoft Entra ID 中適當地設定智慧鎖定原則的組織,可以在攻擊到達公司的內部部署 Active Directory 之前篩選掉攻擊。
智慧鎖定整合與傳遞驗證
當組織實作傳遞驗證時,必須確定:
- Microsoft Entra 鎖定閾值 小於 Active Directory 帳戶鎖定閾值。 設定此值,讓 Active Directory 帳戶鎖定閾值至少比 Microsoft Entra 鎖定閾值長兩到三倍。
- 您也必須設定 Microsoft Entra 鎖定持續時間超過 Active Directory 重設帳戶鎖定計數器。
警告
系統管理員必須以秒為單位定義 Microsoft Entra 鎖定持續時間,同時以分鐘為單位定義 Active Directory 帳戶鎖定持續時間。 例如,假設組織希望其 Microsoft Entra 計數器高於 AD。 組織可以將其 Microsoft Entra 閾值設定為 120 秒 (2 分鐘),同時將其內部部署 AD 設定為 1 分鐘 (60 秒)。
重要事項
目前,如果智慧鎖定鎖定使用者的雲端帳戶,系統管理員必須等候鎖定持續時間過期,才能解除鎖定。 不過,使用者可以從受信任的裝置或位置使用自助式密碼重設 (SSPR) 來解除鎖定其帳戶。
驗證內部部署帳戶鎖定原則
組織應完成下列指示,以確認其內部部署的 Active Directory 帳戶鎖定原則:
- 開啟 [群組原則管理工具]。
- 編輯包含組織帳戶鎖定原則的群組原則。 例如,預設網域原則。
- 瀏覽至 [計算設定]>[原則]> [Windows 設定]>[安全性設定]>[帳戶原則]>[帳戶鎖定原則]。
- 確認您的 帳戶鎖定閾值並在值 之後重設帳戶鎖定計數器。
管理 Microsoft Entra 智慧鎖定值
根據組織的需求,它可能需要自訂智慧鎖定值。 自訂智慧鎖定設定與組織專屬的值時,需要為其使用者支付 Microsoft Entra 授權。
若要檢查或修改組織的智慧鎖定值,請完成下列步驟:
- 登入 Microsoft Entra 系統管理中心並瀏覽至 [保護]>[驗證方法]>[密碼保護]。
- 根據組織在第一次鎖定前允許的帳戶登入失敗次數,設定 [鎖定閾值]。 預設值為 10。
- 將 [鎖定持續時間 (以秒為單位)] 設定為每個鎖定的長度。 預設值為 60 秒。
警告
如果鎖定後的第一次登入也失敗,帳戶會再次鎖定。 當帳戶重複鎖定時,智慧鎖定會增加鎖定持續時間。
如何判斷智慧鎖定是否正常運作
當失敗的使用者登入觸發智慧鎖定閾值時,系統會顯示下列訊息:
您的帳戶會暫時鎖定,以防止未經授權的使用。 稍後再試一次,如果您仍然遇到問題,請連絡您的系統管理員。