當您在環境中部署並實施抗釣魚無密碼認證時,我們建議採用以用戶角色為基礎的方法,但這可能會因您所處產業及預算等因素而有所不同。 本部署指南幫助您了解哪些方法與部署計畫適合您組織中的使用者。 抵抗釣魚攻擊的無密碼部署方法包含多個步驟,但不需要完全完成就能進行其他步驟。
判斷您的使用者角色
判斷與組織相關的使用者角色。 此步驟對您的專案至關重要,因為不同的角色有不同的需求。 Microsoft 建議您考慮並評估組織中的以下使用者角色。
| 使用者形象 | 描述 |
|---|---|
| 管理員與高度受規範的使用者 | |
| 非系統管理員 |
Microsoft 建議您在組織中廣泛部署防網路釣魚的無密碼驗證。 我們建議你先從其中一個使用者角色開始部署。
Microsoft 建議你根據這些角色分類使用者,然後將使用者放入專門針對該用戶角色的 Microsoft Entra ID 群組。 這些群組會在後續步驟中用來向不同類型的使用者發放憑證,以及當您開始強制使用抗網路釣魚的無密碼憑證時。
透過群組,你可以同時持續招募組織的新部門。 採取「不要讓完美成為優秀的敵人」的方法,並盡可能部署安全認證。 當越來越多使用者使用防網路釣魚的無密碼憑證登入時,您可以降低您的環境遭受攻擊的可能性。
規劃裝置準備狀態
裝置是任何成功防網毒無密碼部署的關鍵環節。 為確保您的裝置能應對無密碼網路釣魚攻擊,請修補每個作業系統最新支援版本。 要使用防釣魚憑證,您的裝置至少必須執行以下版本:
- Windows 10 22H2 (適用於 Windows Hello for Business)
- Windows 11 22H2 (使用密鑰時獲得最佳使用者體驗)
- macOS 13 Ventura
- iOS 17
- 安卓14
這些版本原生整合了通行金鑰、Windows Hello for Business 及 macOS 平台憑證等功能。 較舊的作業系統可能需要使用來自第三方的認證設備,例如 FIDO2 安全性金鑰,以支援具有防網路釣魚功能的無密碼驗證。
欲了解更多細節,請熟悉 Microsoft Entra ID 對 FIDO2 的支援性。 你可以使用 防釣魚的無密碼工作簿(預覽版) 來了解租戶的裝置準備狀況。
抗釣魚之旅
作為防釣魚憑證部署的一部分,您需要考慮使用者如何上線、如何取得可攜式及本地憑證,以及在組織內如何執行及管理防釣魚憑證。
註冊使用者以獲取防釣魚攻擊的認證凭证
認證註冊和初始化是您抵禦網路釣魚的無密碼化部署專案中第一個主要的使用者活動。 本節涵蓋可攜式和本機認證的推出。
在下表中,您將找到 Entra ID 中可設定的不同憑證類型及相關認證方法。
| 認證 | 描述 | 福利 | 驗證方法 |
|---|---|---|---|
| 可攜式 | 可以跨裝置使用。 您可使用可攜式認證來登入另一個裝置,或在其他裝置上註冊認證。 | 對大多數使用者而言,這是需要註冊的最重要認證類型,因為它們可以跨裝置使用,並在許多案例中提供防網路釣魚驗證。 | |
| 本地 | 你可以用 本地 憑證在裝置上進行認證,而不需要依賴外部硬體。 | 本地憑證提供良好的使用者體驗,因為使用者不需要離開裝置就能成功使用裝置本身的解鎖手勢(如 Face ID 或 Windows Hello for Business)臉部/指紋/PIN 碼來成功驗證。 |
- 對於 新用戶,註冊與自助流程會將他們帶入無現有企業憑證的狀態,並驗證其身份。 它會為他們引導創建第一個可攜式憑證,並利用該可攜式憑證在每個計算設備上初始化其他本地憑證。 註冊後,管理員可能會強制 Microsoft Entra ID 使用者使用抗釣魚認證。
- 現有 使用者必須在現有裝置上註冊防網毒無密碼,或使用現有的多重驗證憑證啟動防網釣魚無密碼憑證。
最終目標對兩種使用者來說都是一樣的——大多數使用者至少應該有一個 可攜式 憑證,然後在每個運算裝置上使用 本地 憑證。
注意
建議用戶至少註冊兩種認證方式。 這可確保如果使用者的主要方法發生問題,例如裝置遺失或遭竊,使用者有可用的備份方法。 例如,使用者在工作站上註冊通行金鑰及本地憑證(如 Windows Hello for Business)是良好做法
步驟一:身份驗證
對於尚未證明身份的遠端使用者,例如新進員工,企業入職是一項重大挑戰。 如果沒有適當的身分識別驗證,組織就無法完全確定他們打算納入的人員。 Microsoft Entra 驗證識別碼 可以提供高保證身分識別驗證。 組織可以與身分識別驗證合作夥伴 (IDV) 合作,在上線程式中驗證新遠端使用者的身分識別。 處理使用者政府簽發的身分證件之後,IDV 可以提供驗證使用者身分的已驗證身分證。 新的使用者會將此已驗證身份提供給僱用組織,以建立信任,並確認組織正在聘用合適的人選。 組織可以使用 Microsoft Entra 已驗證 ID 添加臉部檢查功能,這會在驗證中新增臉部比對層,以確保信任使用者在當下呈現身分識別確認的已驗證 ID。
透過校訂程式驗證其身分識別之後,新進員工會獲得暫時存取通行證 (TAP),可用來啟動其第一個可攜式認證。
請參閱下列指南,以啟用 Microsoft Entra 驗證識別碼上線和 TAP 發行:
如需 Microsoft Entra 驗證識別碼 的授權詳細數據,請參閱下列連結:
某些組織可能會選擇除 Microsoft Entra 驗證識別碼外的其他方法來為使用者服務,並向他們發出其第一個認證。 Microsoft 建議這些組織仍使用 TAP,或讓使用者在沒有密碼的情況下上線的另一種方式。 例如,您可以使用 Microsoft Graph API 佈建 FIDO2 安全性密鑰。
步驟二:啟動可攜式憑證
若要將已存在的使用者轉換至無密碼且防釣魚的認證方式,請先判斷您的使用者是否已註冊傳統的多因素驗證。 已註冊傳統 MFA 方法的使用者可能會被納入防網路釣魚的無密碼註冊政策的目標群體。 他們可以使用傳統 MFA 來註冊其第一個具備抵禦網絡釣魚功能的可攜式憑證,然後根據需要繼續註冊本地憑證。 最佳做法是來使用 Microsoft Entra Verified ID 整合,透過臨時存取通行證(TAP)來註冊抵禦釣魚攻擊的驗證方法。
對於新用戶或沒有多重身份驗證(MFA)的使用者,請依序核發 TAP 給用戶。 您可以發出 TAP,就像為新使用者提供他們的第一個憑證一樣,或使用 Microsoft Entra Verified ID 整合功能。 一旦使用者擁有 TAP,就可以啟動他們的第一個防止網路釣魚的安全憑證。
對於使用者的第一個無密碼憑證,最好是可攜式憑證,以便在其他計算裝置上使用進行驗證。 例如,密鑰可用來在 iOS 手機上本機進行驗證,但也可以使用跨裝置驗證流程在 Windows 電腦上進行驗證。 此跨裝置功能允許攜帶式通行金鑰在使用 Windows PC 上啟動 Windows Hello for Business,當裝置連接 Microsoft Entra ID 並 支援 Windows 網頁登入時。
下表列出不同角色推薦的攜帶式憑證:
| 使用者角色 | 建議的可攜式認證 | 替代可攜式認證 |
|---|---|---|
| 管理員與高度受規範的使用者 | FIDO2 安全性金鑰 | Microsoft Authenticator 通行金鑰,憑證式認證(智慧卡) |
| 任何其他使用者 | 同步通行金鑰 | FIDO2 安全金鑰,Microsoft Authenticator 應用程式的通行金鑰 |
通行金鑰認證憑證可透過 通行金鑰設定檔,針對特定使用者群組進行設定。 應為每個角色設定通行金鑰設定檔,並選擇推薦的攜帶憑證。
使用下列指引,為貴組織的相關使用者角色啟用建議和替代的可攜式認證:
| 方法 | 指引 |
|---|---|
| FIDO2 安全性金鑰 | |
| 同步通行金鑰 | |
| Microsoft Authenticator 中的通行密鑰 | |
| 智慧型卡片/憑證式驗證 (CBA) |
步驟 3:初始化本地憑證
建議使用者經常使用的每個裝置都擁有本地可用的憑證,以提供最流暢的使用者體驗。 本地可用的憑證可以縮短驗證所需時間,因為使用者不需要使用多台裝置,且使用者只需使用裝置解鎖手勢來驗證。
一旦使用者取得可攜式憑證,即可用來啟動本地憑證,讓使用者能在其他裝置上原生使用抗釣魚憑證。
注意
共用裝置的使用者應僅使用攜帶式憑證。
請參考下表,判斷每個使用者角色偏好哪種本地憑證類型:
| 使用者形象 | 建議的本機認證 - Windows | 建議的本機認證 - macOS | 建議的本機認證 - iOS | 建議的本機認證 - Android | 建議的本機認證 - Linux |
|---|---|---|---|---|---|
| 行政人員與高度管制的員工 | 商務版 Windows Hello 或 CBA | 平台 SSO 安全區域金鑰或 CBA | Microsoft Authenticator 或 CBA 中的通行金鑰 | Microsoft Authenticator 或 CBA 中的通行金鑰 | N/A (請改用智慧型卡片) |
| 非系統管理員 | Windows Hello 企業版 | 平台單一登入 (SSO) 安全記憶體保護區金鑰 | 同步通行金鑰 | 同步通行金鑰 | N/A (請改用可攜式認證) |
使用下列指引,在您的環境中為組織的相關使用者角色啟用建議的本機認證:
| 方法 | 指引 |
|---|---|
| Windows Hello 企業版 | |
| 適用於 macOS 的平台認證 | |
| Microsoft Authenticator 中的通行密鑰 |
角色特定考量
每個角色內可能有特定的角色功能,這些功能也會帶來各自的挑戰與考量。 您可以參考下方表格,該表包含針對您組織內特定職務的具體指引。
| 人物形象 | 範例角色 |
|---|---|
| 系統管理員 | |
| 非管理員 |
推動使用抗網路釣魚攻擊的憑證
此步驟介紹如何讓使用者更容易採用防網路釣魚憑證。 您應該測試部署策略、規劃推出方案,並將方案傳達給使用者。 然後,您可以先建立報告並監視進度,然後在整個組織中執行防網路釣魚認證。
測試部署策略
Microsoft 建議您使用一組測試和試驗使用者,測試在上一個步驟中建立的部署策略。 此階段應包含下列步驟:
- 建立測試使用者與早期採用者的清單。 這些使用者應該代表你不同的使用者角色,而不只是管理員,以及使用支援的裝置類型。
- 建立 Microsoft Entra ID 群組,並將測試使用者新增至群組。
- 在 Microsoft Entra ID 中啟用驗證方法原則,並將測試群組的範圍設定為您啟用的方法。
- 使用驗證方法活動報告來測量試驗使用者的註冊進度。
- 建立條件存取政策,強制每種作業系統類型使用抗釣魚的無密碼憑證,並鎖定你的試點群組。
- 使用 Azure 監視器和活頁簿評估政策執行的成功程度。
- 收集使用者關於推出成功的意見反應。
規劃推出策略
Microsoft 建議根據哪些使用者角色最適合部署來推動使用。 通常,這表示先與管理員試點,然後廣泛部署到非管理員使用者群組,但這可能會依組織需求而有所不同。
請利用以下章節為每個角色群組建立終端使用者溝通,規劃並推廣通行金鑰註冊功能,以及使用者回報與監控以追蹤推廣進度。
使用 Phishing-Resistant 無密碼工作簿提升準備度(預覽)
組織可以選擇性地選擇將其Microsoft Entra ID 登入記錄導出至 Azure 監視器,以進行長期保留、威脅搜捕和其他用途。 Microsoft已發行一份活頁簿,Azure Monitor 中有日誌的組織可以使用,來協助進行網路釣魚防護的無密碼部署各個階段。 您可以在這裡存取 Phishing-Resistant 無密碼活頁簿:aka.ms/PasswordlessWorkbook。 選擇標題為 Phishing-Resistant 的活頁簿「無密碼部署 (預覽版)」:
活頁簿有兩個主要區段:
- 註冊整備階段
- 執行準備階段
註冊整備階段
使用 [註冊整備階段] 索引標籤來分析租使用者中的登入記錄,判斷哪些使用者已準備好進行註冊,以及哪些使用者可能會遭到封鎖而無法註冊。 例如,透過註冊準備階段分頁,你可以選擇 iOS 作為作業系統平台,然後在 Microsoft Authenticator 中選擇通行金鑰作為你想評估準備程度的憑證類型。 然後,您可以按下工作簿視覺化,以篩選出預期會有註冊問題的使用者並匯出名單。
工作簿中的「註冊準備階段」標籤可協助您評估以下作業系統與憑證的準備度:
- 窗戶
- Windows Hello 企業版
- FIDO2 安全性金鑰
- 基於憑證的認證 / 智能卡
- macOS
- 平台 單一登入 安全環境密鑰
- FIDO2 安全性金鑰
- 基於憑證的認證 / 智能卡
- iOS
- 同步通行金鑰
- FIDO2 安全性金鑰
- Microsoft Authenticator 中的通行密鑰
- 基於憑證的認證 / 智能卡
- Android
- 同步通行金鑰
- FIDO2 安全性金鑰
- Microsoft Authenticator 中的通行密鑰
- 基於憑證的認證 / 智能卡
使用每個導出的清單來分級可能有註冊問題的使用者。 註冊問題的回應應包括協助用戶升級裝置 OS 版本、取代過時的裝置,以及選擇替代認證,其中慣用選項不可行。 例如,您的組織可能會選擇向無法使用同步通行金鑰的 Android 13 用戶提供實體 FIDO2 安全金鑰。
同樣地,使用入學準備報告來協助您建立準備好開始註冊通訊和行銷活動的用戶清單,以符合整體 推出策略。
強制準備階段
一旦用戶準備好進行僅防釣魚的認證,你就可以強制執行抗釣魚認證,這表示他們需要使用防釣魚憑證進行多重身份驗證(MFA)才能存取你的政策資源。
強制整備階段的第一個步驟是在 Report-Only 模式中建立條件式存取原則。 如果將使用者/裝置納入防篡改釣魚攻擊的強制範圍內,該政策會在您的登入記錄中填入資料,說明存取是否會被封鎖。 使用下列設定在您的租使用者中建立新的條件式存取原則:
| 設定 | 價值 |
|---|---|
| 使用者/群組分配 | 所有使用者,不包括打破帳戶 |
| 應用程式分配 | 所有資源 |
| 授與控件 | 需要驗證強度 - 網路釣魚防護 MFA |
| 啟用政策 | 僅限記錄 |
盡早在推行過程中建立此政策,最好在開始註冊計畫行銷活動之前先建立。 這將確保您擁有一個良好的歷史數據集,以便了解如果政策被強制執行,會封鎖哪些用戶和登入。
接下來,使用活頁簿來分析哪些使用者與裝置配對已準備好進行強制執行。 下載準備好強制執行的使用者清單,並將其新增至與 強制執行原則一致建立的群組,。 從在原則篩選中選取唯讀條件式存取原則開始:
報告將提供一份使用者清單,列出那些在每個裝置平台上能夠成功通過防網路釣魚的無密碼驗證要求的使用者。 下載每個清單,並將相關使用者放入與裝置平台對齊的執法群組。
重複此過程一段時間,直到每個強制群組包含大多數或所有使用者為止。 最後,您應該能夠啟用僅報告原則,以對租用戶中的所有使用者和裝置平臺進行強制執行。 達到此完成狀態之後,您可以移除每個裝置 OS 的個別強制原則,減少所需的條件式存取原則數目。
調查尚未準備好接受強制措施的使用者
使用 進一步數據分析 標籤頁來調查為何特定用戶尚未準備好在各種平台上進行強制措施。 選取 [原則不滿足] 方塊,以篩選出那些會因報告專用條件式存取原則而被阻擋的使用者登入。
利用本報告提供的資料來判斷哪些使用者可能被封鎖、他們使用的是哪種裝置作業系統、他們使用的客戶端應用程式類型,以及他們試圖存取哪些資源。 此數據應可協助您將這些用戶設為各種補救或註冊動作的目標,以便有效地將其移至強制執行範圍。
規劃終端使用者溝通
Microsoft 為終端使用者提供通訊範本。 驗證部署材料 包含可自定義的電子郵件範本,以通知用戶關於防網路釣魚的無密碼驗證部署。 使用下列範本傳達給您的使用者,讓他們了解抵禦網路釣魚、無密碼的部署:
通訊應該重複多次,以協助吸引盡可能多的使用者。 例如,您的組織可能會選擇使用以下模型來傳達不同的階段和時間軸:
- 距離執行還有 60 天:傳達具抗網路釣魚攻擊特性的驗證方法的重要性,並鼓勵使用者主動參加註冊。
- 距離執行期限還有 45 天:重複提醒
- 距執行還有30天:傳達30天後將開始執行防網路釣魚機制的消息,鼓勵使用者提前註冊
- 距離執行 15 天:重申訊息,告知他們如何聯絡客服中心。
- 距離執行 7 天:重複訊息,告知他們如何聯絡客服中心。
- 距執行還有 1 天:請告知他們將在 24 小時後執行,並告知他們如何聯絡客服中心。
Microsoft 建議透過電子郵件以外的其他頻道與使用者通訊。 其他選項可能包括 Microsoft Teams 訊息、休息室海報和擁護者計劃,在這些計劃中,選定的員工已接受訓練,以向其同事宣傳該計劃。
報告和監視
使用先前涵蓋的 Phishing-Resistant 無密碼活頁簿,來協助您監控和報告您的部署。 此外,如果無法使用 Phishing-Resistant 無密碼活頁簿,請使用下面討論的報表,或依賴這些報表。
Microsoft Entra ID 報告 (例如驗證方法活動和 Microsoft Entra 多重要素驗證的登入事件詳細資料) 提供技術和商業見解,可協助您測量並推動採用。
從 [驗證方法] 活動儀表板中,您可以查看註冊和使用情況。
- 註冊顯示能夠使用防魚無密碼驗證及其他驗證方法的使用者數目。 您可以看到圖表,其中顯示使用者註冊的驗證方法,以及每種方法最近的註冊情況。
- 使用方式顯示登入時使用的驗證方法。
商務和技術應用程式擁有者應根據組織需求擁有及接收報告。
- 透過驗證方法註冊活動報告,追蹤防止網路釣魚的無密碼憑證推行狀態。
- 使用驗證方法登入活動報告和登入記錄,追蹤使用者對具抗網路釣魚特性的無密碼憑證的採用情況。
- 使用登入活動報告,追蹤用來登入各種應用程式的驗證方法。 選取使用者資料列;選取 [驗證詳細資料],以檢視驗證方法及其對應的登入活動。
Microsoft Entra ID 會在發生下列情況時將項目新增至稽核記錄:
- 系統管理員會變更驗證方法。
- 使用者在 Microsoft Entra ID 中對其使用者認證進行任何更改。
Microsoft Entra ID 最多會保留 30 天的稽核資料。 建議您針對稽核、趨勢分析及其他商業需求設定較長的保留期。
存取 Microsoft Entra 系統管理中心或 API 中的稽核資料,並下載到您的分析系統中。 如果您需要較長的保留期,請在安全性資訊與事件管理 (SIEM) 工具 (例如 Microsoft Sentinel、Splunk 或 Sumo Logic) 中匯出和取用記錄。
監視客服工單數量
您的 IT 技術支援中心可以提供部署進程的重要信號,因此 Microsoft 建議您在執行具釣魚防禦功能的無密碼部署時追蹤 IT 技術支援中心的工單數量。
當您的支援中心案件數量增加時,您應該放慢部署、溝通與使用者,以及執行強制措施的步調。 隨著票證數量減少,您可以重新加強這些活動。 使用此方法時,您必須在推行計劃中保持彈性。
例如,您可以按批次先執行部署,然後執行強制執行,這些批次是按日期範圍而不是特定日期來安排的。
- 6 月 1 日至 15 日:第 1 批次註冊部署與行銷活動
- 6 月 16 日至 30 日:第 2 波世代註冊部署和行銷活動
- 7 月 1 日至 15 日:第 3 波世代註冊部署和行銷活動
- 7 月 16 日至 31 日:啟用第 1 批強制執行
- 8 月 1 日至 15 日:啟用第 2 波隊列管制
- 8 月 16 日至 31 日:啟用第 3 波組別強制執行
在您執行這些不同階段的過程中,可能需要根據客服中心票證的數量來放慢速度,待票證數量減少後再繼續。 若要執行此策略,Microsoft 建議您為每個波段建立 Microsoft Entra ID 安全性群組,並將每個群組一次新增至您的原則。 這種方法有助於避免讓您的支援小組不堪重負。
採用能防範網路釣魚的登入方法
防止網路釣魚的無密碼部署的最後階段是強制使用防止網路釣魚的認證。
步驟四:執行資源上的網路釣魚防控措施
為了在 Microsoft Entra ID 中強制執行防範釣魚攻擊的憑證,主要機制是 條件式存取驗證強度。 Microsoft 建議您根據使用者/裝置配對方法,對每個使用者類型進行管理。 例如,執法計畫推出可能會遵循下列模式:
- Windows 和 iOS 的管理員
- 在 macOS 和 Android 上的管理員
- 其他使用 Windows 和 macOS 的使用者
- 其他使用 iOS 和 Android 的用戶
Microsoft 建議您使用租用戶的登入資料來建置所有使用者/裝置配對的報告。 您可以使用 Azure 監視器和活頁簿等查詢工具。 至少嘗試識別符合這些類別的所有使用者/裝置配對。
如有可能,請使用先前涵蓋的 Phishing-Resistant 無密碼活頁簿 來協助實施階段。
針對每個使用者,建立他們定期用於工作的作業系統清單。 將清單映射至該使用者/裝置配對的防釣魚攻擊登入強制執行的準備程度。
| OS 類型 | 準備好執行 | 尚未準備執行 |
|---|---|---|
| 窗戶 | 10+ | 8.1 與較舊版本、Windows Server |
| iOS | 17+ | 16 及更早的版本 |
| Android | 14+ | 13及更早的版本 |
| macOS | 13+ (文圖拉) | 12 及更早的版本 |
| VDI | 取決於1 | 取決於1 |
| 其他 | 取決於1 | 取決於1 |
1對於裝置版本尚未立即可執行強化的每個使用者/裝置配對,請決定如何解決強化防範網路釣魚的需求。 針對舊版作業系統、虛擬桌面基礎結構 (VDI) 和其他作業系統,例如 Linux,請考慮下列選項:
- 強化防範網路釣魚措施,使用外部硬體 – FIDO2 安全金鑰
- 使用外部硬體—智慧卡,加強防範網路釣魚攻擊
- 使用遠端憑證強化抵禦網路釣魚,例如跨裝置驗證流程中的通行密鑰
- 加強使用遠端認證在 RDP 通道(尤其是 VDI)內的防網路釣魚功能。
關鍵任務是透過資料來評估哪些使用者和角色已準備好在特定平台上執行。 在已準備好執行的使用者/裝置配對上開始執行動作,以「停止出血」,並減少環境中發生的網路釣魚式驗證數量。
然後移至使用者/裝置配對需要準備工作的其他情境。 請逐步完成使用者/裝置配對清單,直到您全面執行防網路釣魚驗證為止。
建立一組 Microsoft Entra ID 群組,以逐步推行強制執行。 在使用波浪型推出方法時,請重用上一個步驟中的群組。
建議強制執行條件式存取原則
以特定條件式存取原則針對每個群組。 這種方法可協助您依使用者/裝置配對逐漸推出執行控制項。
| 原則 | 政策中針對的群組名稱 | 原則 - 裝置平台條件 | 政策 - 授權控制 |
|---|---|---|---|
| 1 | Windows 支援防止網路釣魚的無密碼就緒用戶 | 窗戶 | 需要提高驗證強度-具防網路釣魚功能的多因子驗證 (MFA) |
| 2 | macOS 已準備好防網路釣魚的無密碼使用者 | macOS | 需要提高驗證強度-具防網路釣魚功能的多因子驗證 (MFA) |
| 3 | 已準備好使用抗網路釣魚的無密碼功能之 iOS 用戶 | iOS | 需要提高驗證強度-具防網路釣魚功能的多因子驗證 (MFA) |
| 4 | Android 抵抗網路釣魚且準備好進行無密碼驗證的用戶 | Android | 需要提高驗證強度-具防網路釣魚功能的多因子驗證 (MFA) |
| 5 | 其他無密碼且具防網路釣魚功能的使用者 | Windows、macOS、iOS 或 Android 以外的任何作業系統 | 需要提高驗證強度-具防網路釣魚功能的多因子驗證 (MFA) |
當您判斷其裝置和作業系統是否已就緒,或他們是否沒有該類型的裝置時,將每個使用者新增至每個群組。 在推出結束時,每個使用者都應該屬於其中一個群組。
回應無密碼使用者的風險
Microsoft Entra ID Protection 可協助組織偵測、調查和修復身分識別型風險。 Microsoft Entra ID Protection 可為您的使用者提供重要且實用的偵測功能,即使他們切換到使用防網路釣魚無密碼憑證時亦然。 例如,對於具有防禦網路釣魚能力的使用者,一些相關的偵測包括:
- 來自匿名 IP 位址的活動
- 系統管理員已確認使用者遭盜用
- 異常代幣
- 惡意 IP 位址
- Microsoft Entra 威脅情報
- 可疑的瀏覽器
- 中間攻擊者
- 可能嘗試存取主刷新權杖 (PRT)
- 以及其他項目:對應於風險類型事件的風險偵測
Microsoft 建議 Microsoft Entra ID Protection 客戶採取下列動作,以最佳方式保護其抵禦網路釣魚的無密碼使用者:
- 檢閱 Microsoft Entra ID Protection 部署指引:規劃識別碼保護部署
- 設定風險記錄以匯出至 SIEM
- 調查任何中等使用者風險並採取行動
- 設定條件式存取原則以封鎖高風險 使用者
部署 Microsoft Entra ID Protection 之後,請考慮使用條件式存取權杖保護。 當使用者使用防網路釣魚無密碼認證登入時,攻擊和偵測會持續演進。 例如,當使用者憑證不再容易遭到網路釣魚攻擊時,攻擊者可能會轉而嘗試從使用者裝置中外洩存取權杖。 權杖保護可藉由將權杖繫結至所發行裝置的硬體,以協助降低此風險。