管理订阅上的多重身份验证 (MFA)

  • 项目

如果使用密码只是为了对用户进行身份验证,则意味着打开了一条攻击途径。 用户经常使用弱密码或对多个服务重用密码。 启用 MFA 后,帐户将更安全,并且用户仍然可以通过单一登录 (SSO) 向几乎所有应用程序验证身份。

可以通过多种方式基于组织拥有的许可证为 Microsoft Entra 用户启用 MFA。 此页介绍了在 Microsoft Defender for Cloud 上下文中的每种方法的详细信息。

MFA 和 Microsoft Defender for Cloud

Defender for Cloud 在 MFA 中很重要。 为安全功能评分作出最大贡献的安全控制措施是“启用 MFA”。

“启用 MFA”控制措施中的以下建议可确保你为你的订阅用户实现建议的做法:

  • 对 Azure 资源拥有所有者权限的帐户应启用 MFA
  • 对 Azure 资源拥有写入权限的帐户应启用 MFA
  • 对 Azure 资源拥有读取权限的帐户应启用 MFA

可以通过三种方法来启用 MFA,并符合 Defender for Cloud 的两个建议:安全默认值、每用户分配和条件访问 (CA) 策略。

免费选项 - 安全默认值

如果你使用的是免费版本的 Microsoft Entra ID,则应使用安全默认值在租户上启用多重身份验证。

适用于 Microsoft 365 商业版、E3 或 E5 客户的 MFA

拥有 Microsoft 365 的客户可以使用每用户分配。 在这种情况下,请针对所有用户的所有登录事件启用或禁用 Microsoft Entra 多重身份验证。 不能仅为一部分用户或在特定情况下启用多重身份验证,管理通过 Office 365 门户进行。

面向 Microsoft Entra ID P1 客户的 MFA

若要获得更好的用户体验,请升级到 Microsoft Entra ID P1 来使用条件访问 (CA) 策略选项。 若要配置 CA 策略,需要 Microsoft Entra 租户权限

CA 策略必须:

  • 强制执行 MFA

  • 包含 Azure 管理应用 ID (797f4846-ba00-4fd7-ba43-dac1f8f63013) 或所有应用

  • 不排除 Azure 管理应用 ID

在特定的情况下或者发生适合业务要求的事件时,Microsoft Entra ID P1 客户可以使用 Microsoft Entra CA 提示用户执行多重身份验证。 包含此功能的其他许可证:企业移动性 + 安全性 E3、Microsoft 365 F1 和 Microsoft 365 E3。

Azure 条件访问文档中了解详细信息。

标识未启用多重身份验证 (MFA) 的帐户

可以从 Defender for Cloud 的“建议详细信息”页面或使用 Azure Resource Graph 查看未启用 MFA 的用户帐户列表。

查看 Azure 门户中未启用 MFA 的帐户

在“建议详细信息”页中,从“运行不正常的资源”列表中选择订阅,或选择“执行操作”,这时将显示该列表 。

使用 Azure Resource Graph 查看未启用 MFA 的帐户

若要查看未启用 MFA 的帐户,请使用以下 Azure Resource Graph 查询。 该查询返回建议“应对 Azure 资源上拥有所有者权限的帐户启用 MFA”的所有运行不正常的资源 - 帐户。

  1. 打开“Azure Resource Graph 资源管理器”。

    Screenshot showing launching the Azure Resource Graph Explorer** recommendation page.

  2. 输入以下查询并选择“运行查询”。

    securityresources
| where type =~ "microsoft.security/assessments/subassessments"
| where id has "assessments/dabc9bc4-b8a8-45bd-9a5a-43000df8aa1c" or id has "assessments/c0cb17b2-0607-48a7-b0e0-903ed22de39b" or id has "assessments/6240402e-f77c-46fa-9060-a7ce53997754"
| parse id with start "/assessments/" assessmentId "/subassessments/" userObjectId
| summarize make_list(userObjectId) by strcat(tostring(properties.displayName), " (", assessmentId, ")")
| project ["Recommendation Name"] = Column1 , ["Account ObjectIDs"] = list_userObjectId

  3. additionalData 属性显示未强制启用 MFA 的帐户的帐户对象 ID 列表。

    注意

    “Account ObjectIDs”列包含未根据建议强制启用 MFA 的帐户的帐户对象 ID 列表。

    提示

    也可使用 Defender for Cloud 的 REST API 方法:评估 - 获取

限制

  • 尚不支持对外部用户/租户强制实施 MFA 的条件访问功能。
  • 尚不支持应用于 Microsoft Entra 角色(例如所有全局管理员、外部用户、外部域等)的条件访问策略。
  • 标识 MFA 建议中不支持外部 MFA 解决方案,例如 Okta、Ping、Duo 等。

后续步骤

若要了解有关适用于其他 Azure 资源类型的建议的详细信息,请参阅以下文章: