利用 Microsoft Entra 智能锁定保护用户帐户免受攻击

智能锁定功能用于锁定那些试图猜测用户密码或使用暴力破解方法进入系统的恶意行动者。智能锁定功能可以识别来自合法用户的登录，并以不同于来自攻击者和其他未知来源的登录尝试的方式对其进行处理。攻击者将被拒之门外，而你的用户仍可继续访问其账户并保持工作效率。

智能锁定的工作原理

默认情况下，智能锁定会在以下情况后锁定帐户，使其无法登录：

之后每次后续登录尝试失败后，帐户将再次锁定。锁定时间第一次为一分钟，后续会不断延长。为了尽量减少攻击者绕过这一机制的途径，我们不会公开在登录尝试失败后锁定期增加的速率。

智能锁定会跟踪最近三个错误密码的哈希值，以避免因同一密码而增加锁定计数器。如果有人多次输入同一个错误密码，此行为不会导致帐户被锁定。

注意

哈希跟踪功能不适用于启用了直通身份验证的客户，因为身份验证发生在本地而不是云中。

使用 Active Directory 联合身份验证服务 (AD FS) 2016 和 AD FS 2019 的联合身份验证部署可以使用 AD FS Extranet 锁定和 Extranet 智能锁定来实现类似好处。建议迁移到托管身份验证。

智能锁定始终适用于所有Microsoft Entra客户，这些默认设置提供适当的安全性和可用性组合。使用特定于你的组织的值自定义智能锁定设置，要求你的用户具备 Microsoft Entra ID P1 或更高级别的许可证。

使用智能锁定并不能保证真正的用户永远不会被锁定。当智能锁定锁定用户帐户时，我们将尽最大努力不锁定真正的用户。锁定服务会尽力确保不良参与者无法访问真正的用户帐户。请注意以下事项：

Microsoft Entra 各数据中心之间的锁定状态保持同步。但是，在帐户锁定之前允许的失败登录尝试总数与配置的锁定阈值略有不同。帐户一旦被锁定，在所有 Microsoft Entra 数据中心中都将处于锁定状态。
智能锁定使用熟悉的位置与不熟悉的位置来区分不良行为者和真实用户。不熟悉的地点和熟悉的地点分别有独立的锁定计数器。

为了防止系统从不熟悉的位置锁定用户登录，他们必须使用正确的密码来避免被锁定，并且以前从不熟悉的位置尝试锁定次数较少。如果用户被锁定在不熟悉的位置，他们应考虑 SSPR 重置锁定计数器。

帐户锁定后，用户可以启动自助密码重置 (SSPR) 再次登录。借助 SSPR，用户无需技术支持或管理员协助即可重置或更改自己的密码。如果用户选择我在 SSPR 期间 忘记了密码 ，锁定的持续时间将重置为 0 秒，因此用户无需等待锁定持续时间过期。如果用户在 SSPR 期间选择 我知道我的密码，锁定计时器将继续运行，且锁定时长不会重置。在这种情况下，若要重新获得访问权限，用户应更改其密码，或等待配置的锁定持续时间过期。

可以将智能锁定与混合部署集成，这些部署使用密码哈希同步来保护本地Active Directory 域服务（AD DS）帐户不被攻击者锁定。通过在Microsoft Entra ID中设置智能锁定策略，可以在攻击到达本地 AD DS 之前对其进行筛选。

重要

如果用户因智能锁定而被锁定，管理员无需等待锁定时长结束即可解锁该用户的云账户。有关详细信息，请参阅重置用户的密码。

若要验证本地 AD DS 帐户锁定策略，请使用管理员特权在已加入域的系统中完成以下步骤：

修改本地 Active Directory 帐户锁定策略

根据组织要求，可自定义 Microsoft Entra 智能锁定值。使用特定于你的组织的值自定义智能锁定设置，要求你的用户具备 Microsoft Entra ID P1 或更高级别的许可证。自定义智能锁定设置不适用于由世纪互联租户运营的Microsoft Azure。

若要检查或修改组织的智能锁定值，请完成以下步骤：

注意

如果锁定期到期后的首次登录也失败了，则帐户会再次锁定。如果帐户重复锁定，则锁定持续时间增加。

触发智能锁定阈值后，会在帐户锁定时收到以下消息：

帐户暂时锁定以防止未经授权的使用。请稍后再试！如果仍有问题，请与管理员联系。

测试智能锁定时，由于 Microsoft Entra 身份验证服务的地理分布和负载均衡特性，登录请求可能由不同的数据中心处理。

智能锁定功能会跟踪最近三个错误密码的哈希值，以避免在重复使用同一密码时递增锁定计数器。如果有人多次输入同一个错误密码，此行为不会导致帐户被锁定。

除了智能锁定之外，Microsoft Entra ID 还会通过分析包含 IP 流量的信号和识别异常行为来防范攻击。 Microsoft Entra ID 会默认阻止这些恶意登录，不管密码有效性如何，都会返回 AADSTS50053 - IdsLocked 错误代码。