Microsoft Entra ID 中的安全默认值

借助安全默认值,可以更轻松地帮助保护组织免受当今环境中常见的与标识相关的攻击,例如密码喷射、重播攻击和网络钓鱼。

Microsoft 正在向所有人提供这些预配置的安全设置,因为我们知道管理安全性可能很困难。 根据我们的了解,99.9% 以上与标识相关的这些常见攻击是通过使用多重身份验证和阻止旧式身份验证来阻止的。 我们的目标是确保所有组织能在不增加费用的情况下至少实现基本级别的安全防护。

这些基本控制包括:

目标用户

  • 希望提高其安全状况但不知道如何或从哪里开始的组织。
  • 使用 Microsoft Entra ID 许可免费层的组织。

谁应使用条件访问?

  • 如果你是具有 Microsoft Entra ID P1 或 P2 许可证的组织,则安全默认值可能不适合你。
  • 如果你的组织有复杂的安全要求,则应考虑条件访问

启用安全默认值

如果你的租户是在 2019 年 10 月 22 日当天或之后创建的,该租户可能已启用安全默认值。 为了保护所有用户,我们将于创建时向所有新租户推出安全默认值。

为了帮助保护组织,我们始终致力于提高 Microsoft 帐户服务的安全性。 在此保护中,客户在以下情况下会定期收到自动启用安全默认值的通知:

  • 尚未启用条件访问策略
  • 没有高级许可证
  • 不主动使用旧式身份验证客户端

启用此设置后,组织中的所有用户都需要注册多重身份验证。 为了避免混淆,请查看收到的电子邮件,或者可以在启用后禁用安全默认值

若要在目录中配置安全默认值,必须至少分配有安全管理员角色。 默认情况下,为任何目录中的第一个帐户分配了一个称为“全局管理员”的更高特权角色。

若要启用安全默认值,请执行以下操作:

  1. 至少以安全管理员身份登录到 Microsoft Entra 管理中心
  2. 依次浏览至“标识”>“概述”>“属性”。
  3. 选择“管理安全默认值”。
  4. 将“安全默认值”设为“启用”。
  5. 选择“保存”。

Screenshot of the Microsoft Entra admin center with the toggle to enable security defaults

吊销有效令牌

作为启用安全默认值的一部分,管理员应撤销所有现有令牌,以要求所有用户注册多重身份验证。 此吊销事件强制以前经过身份验证的用户进行身份验证并注册多重身份验证。 可以使用 Revoke-AzureADUserAllRefreshToken PowerShell cmdlet 完成此任务。

强制实施的安全策略

要求所有用户注册 Microsoft Entra 多重身份验证

用户可以在 14 天内使用 Microsoft Authenticator 应用或任何支持 OATH TOTP 的应用注册。 14 天后,用户在完成注册之前无法登录。 用户的 14 天周期从启用安全默认值后首次成功进行交互式登录算起。

当用户登录并收到执行多重身份验证的提示时,他们会看到一个屏幕,其中提供了一个数字供他们在 Microsoft Authenticator 应用中输入。 此措施有助于防止用户遭受 MFA 疲劳攻击。

Screenshot showing an example of the Approve sign in request window with a number to enter.

要求管理员执行多重身份验证

管理员可以增加对你环境的访问权限。 鉴于这些高权限帐户具有的权利,使用时要特别小心。 改进特权帐户保护的一种常见方法是要求对登录进行更强的帐户验证,例如要求多重身份验证。

提示

面向管理员的建议:

  • 确保所有管理员在启用安全默认值后登录,以便他们可以注册身份验证方法。
  • 为管理和标准高效工作任务设置单独的帐户,以显著减少提示管理员进行 MFA 的次数。

注册完成后,以下管理员角色每次登录时都需要执行多重身份验证:

  • 全局管理员角色
  • 应用程序管理员
  • 身份验证管理员
  • 身份验证策略管理员
  • 计费管理员
  • 云应用管理员
  • 条件访问管理员
  • Exchange 管理员
  • 支持管理员
  • Identity Governance 管理员
  • 密码管理员
  • 特权身份验证管理员
  • 特权角色管理员
  • 安全管理员
  • SharePoint 管理员
  • 用户管理员

要求用户在必要时执行多重身份验证

我们通常认为管理员帐户是唯一需要额外身份验证层的帐户。 管理员对敏感信息具有广泛的访问权限,并且可以更改订阅范围的设置, 但攻击者经常以最终用户为目标。

这些攻击者获得访问权限后,可以代表原始帐户持有者请求对特权信息的访问权限。 他们甚至可以下载整个目录,对整个组织进行网络钓鱼攻击。

提高对所有用户保护的一种常用方法是,要求对所有用户进行更强形式的帐户验证,如多重身份验证。 用户完成注册后,系统将在必要时提示用户进行其他身份验证。 Microsoft 根据位置、设备、角色和任务等因素决定何时提示用户进行多重身份验证。 此功能保护所有注册的应用程序,包括 SaaS 应用程序。

阻止旧式身份验证协议

为使用户轻松访问云应用,我们支持各种身份验证协议,包括旧身份验证。 术语“旧式身份验证”是指通过以下方式发出的身份验证请求:

  • 不使用新式身份验证的客户端(例如 Office 2010 客户端)
  • 使用 IMAP、SMTP 或 POP3 等旧式邮件协议的任何客户端

当今,大部分存在危害性的登录企图都来自旧式身份验证。 旧式身份验证不支持多重身份验证。 即使在目录中启用了多重身份验证策略,攻击者仍可使用旧协议进行身份验证,并绕过多重身份验证。

在租户中启用安全默认值后,旧协议发出的所有身份验证请求都将被阻止。 安全默认值会阻止 Exchange Active Sync 基本身份验证。

警告

启用安全默认值之前,请确保管理员没有使用旧身份验证协议。 有关详细信息,请参阅如何弃用旧身份验证

保护特权活动,如访问 Azure 门户

组织会使用各种通过 Azure 资源管理器 API 管理的 Azure 服务,包括:

  • Azure 门户
  • Microsoft Entra 管理中心
  • Azure PowerShell
  • Azure CLI

使用 Azure 资源管理器来管理服务是一种高度特权操作。 Azure 资源管理器可以改变租户范围的配置,例如服务设置和订阅计费。 单因素身份验证容易受到各种攻击,如网络钓鱼和密码喷射。

务必要对希望访问 Azure 资源管理器和更新配置的用户的标识进行验证。 在允许他们访问之前,你会通过要求更多身份验证来验证其身份。

在租户中启用安全默认值后,任何访问以下服务的用户都必须完成多重身份验证:

  • Azure 门户
  • Microsoft Entra 管理中心
  • Azure PowerShell
  • Azure CLI

此策略适用于访问 Azure 资源管理器服务的所有用户,无论他们是管理员还是普通用户。 这适用于 Azure 资源管理器 API,例如访问订阅、VM、存储帐户等。这不包括 Microsoft Entra ID 或 Microsoft Graph。

注意

默认情况下,2017 之前的 Exchange Online 租户已禁用新式身份验证。 为了避免在对这些租户进行身份验证时出现登录循环,必须启用新式身份验证

注意

Microsoft Entra Connect 同步帐户将从安全默认值中排除,并且系统不会提示该帐户注册或执行多重身份验证。 组织不应出于其他目的使用此帐户。

部署注意事项

身份验证方法

安全默认值用户需要使用 Microsoft Authenticator 应用通过通知选项注册和使用多重身份验证。 用户可以使用来自 Microsoft Authenticator 应用的验证码,但只能使用通知选项进行注册。

警告

如果使用安全默认设置,请不要为你的组织禁用方法。 禁用方法可能会导致将你自己锁定在租户之外。 在 MFA 服务设置门户中启用“所有可供用户使用的方法”。

B2B 用户

任何访问你目录的 B2B 来宾用户都将被视为与组织用户相同的用户。

禁用的 MFA 状态

如果贵组织以前是基于每用户多重身份验证的用户,则在查看多重身份验证状态页时,如果没有看到处于“已启用”或“已强制执行”状态的用户,请不必担心。 “已禁用”是使用安全默认值或基于条件访问的多重身份验证的用户的相应状态。

禁用安全默认值

选择实施条件访问策略来取代安全默认值的组织必须禁用安全默认值。

若要在目录中禁用安全默认值:

  1. 至少以安全管理员身份登录到 Microsoft Entra 管理中心
  2. 依次浏览至“标识”>“概述”>“属性”。
  3. 选择“管理安全默认值”。
  4. 将“安全默认值”设为“禁用(不推荐)”。
  5. 选择“保存”。

从安全默认值移动到条件访问

虽然安全默认值是开启安全状况的良好基准,但无法满足众多组织都需要的自定义功能。 条件访问策略可提供组织需要的更为复杂的各种自定义。

安全默认值 条件性访问
所需的许可证 至少 Microsoft Entra ID P1
自定义 无自定义(开或关) 完全可自定义
启用者 Microsoft 或管理员 管理员
复杂性 易于使用 根据要求完全可自定义

修改安全默认值时的建议步骤

想要测试条件访问功能的组织可以先注册试用版

管理员禁用安全默认值后,组织应立即启用条件访问策略来保护其组织。 这些策略应至少在条件访问的安全基础类别模板中包含这些策略。

建议从条件访问策略中排除至少一个帐户。 这些排除的“紧急访问”或“不受限”帐户可防止租户范围帐户锁定。 在极少数情况下,所有管理员都被锁定在租户外,紧急访问管理帐户可用于登录租户,以采取措施来恢复访问。 有关详细信息,请参阅管理紧急访问帐户一文。

后续步骤