設計新式驗證和授權策略
本單元說明一些新式驗證的特定策略:
- 條件式存取
- 持續性存取評估
- 威脅情報整合
- 風險評分
條件式存取
使用者可以使用各種裝置和應用程式,從任何位置存取您組織的資源。 身為 IT 系統管理員,您想要確定這些裝置符合安全性與合規性標準。 只將焦點放在誰可以存取資源,已不再足夠。
若要平衡安全性和生產力,在制定有關存取控制的決策之前,您需要考慮如何存取資源。 透過 Microsoft Entra 條件式存取,您可以解決這項需求。 透過條件式存取,您可以根據存取雲端應用程式的條件,制定自動化存取控制決策。
最佳做法:管理和控制對公司資源的存取。
詳細資料:根據 SaaS 應用程式和 Microsoft Entra ID 連線應用程式的群組、位置和應用程式敏感度,設定一般 Microsoft Entra 條件式存取原則。
最佳做法:封鎖舊版驗證通訊協定。
詳細資料:攻擊者每天都會惡意探索舊版通訊協定中的弱點,密碼噴灑攻擊尤其是如此。 請設定條件式存取來封鎖舊版通訊協定。
持續性存取評估
權杖到期和重新整理是產業中的標準機制。 當用戶端應用程式 (例如 Outlook) 連線到 Exchange Online 之類的服務時,就會使用 OAuth 2.0 存取權杖來授權 API 要求。 依預設,存取權杖的有效時間為一小時,而當存取權杖到期時,隨即會將用戶端重新導向至 Microsoft Entra ID 來加以重新整理。 該重新整理期間會提供機會來重新評估使用者存取的原則。 例如:由於條件式存取原則或由於已在目錄中停用使用者,因此我們可能會選擇不重新整理權杖。
客戶擔心變更使用者的條件與實施原則變更之間有所延遲。 Microsoft Entra ID 已實驗降低權杖存留期的「鈍化物件」方法,但是發現這可能會降低使用者體驗和可靠性,而不會消除風險。
及時回應原則違規或安全性問題,其實需要權杖簽發者 (Microsoft Entra ID) 與信賴憑證者 (已啟用的應用程式) 之間的「交談」。 這種雙向交談為我們提供兩項重要的功能。 信賴憑證者可以看到屬性變更 (例如網路位置),以及告知權杖簽發者。 此外,其也會為權杖簽發者提供一種方法,告知信賴憑證者因為帳戶入侵、停用或其他考慮,而停止對給定使用者的權杖。 這項交談的機制是持續性存取評估 (CAE)。 重大事件評估的目標是要近乎即時地回應,但可能會因為事件傳播時間而觀察到最多 15 分鐘的延遲;不過,IP 位置原則強制執行是立即的。
持續性存取評估的初期實作著重於 Exchange、Teams 和 SharePoint Online。
Azure Government 租用戶 (GCC High 和 DOD) 中,可供 Exchange Online 使用持續性存取評估。
重點優勢
- 使用者終止或密碼變更/重設:會以近乎即時的方式強制執行使用者工作階段撤銷。
- 網路位置變更:會以近乎即時的方式強制執行條件式存取位置原則。
- 您可以使用條件式存取位置原則來防止將權杖匯出至受信任網路外部的機器。
案例
有兩種案例組成持續性存取評估、重大事件評估和條件式存取原則評估。
重大事件評估
持續性存取評估的實作方式是藉由啟用 Exchange Online、SharePoint Online 和 Teams 等服務來訂閱重大 Microsoft Entra 事件。 然後,就可以評估這些事件並近乎即時地強制執行。 重大事件評估不會依賴條件式存取原則,因此可在任何租用戶中使用。 目前會評估下列事件:
- 使用者帳戶已刪除或停用
- 使用者的密碼已變更或重設
- 對使用者啟用多重要素驗證
- 系統管理員會明確撤銷使用者的所有重新整理權杖
- Microsoft Entra ID Protection 偵測到的高使用者風險
此程序可讓使用者在重大事件後幾分鐘內無法從 Microsoft 365 用戶端應用程式存取組織 SharePoint Online 檔案、電子郵件、行事曆或工作,以及 Teams。
條件式存取原則評估
Exchange Online、SharePoint Online、Teams 和 MS Graph 可以同步處理關鍵條件式存取原則,以在服務本身內進行評估。
此程序可讓使用者在網路位置變更之後隨即無法從 Microsoft 365 用戶端應用程式或 SharePoint Online 存取組織檔案、電子郵件、行事曆或工作。
| Outlook Web | Outlook Win32 | Outlook iOS | Outlook Android | Outlook Mac | |
|---|---|---|---|---|---|
| SharePoint Online | 支援 | 支援 | 支援 | 支援 | 支援 |
| Exchange Online | 支援 | 支援 | 支援 | 支援 | 支援 |
| Office Web 應用程式 | Office Win32 應用程式 | iOS 版 Office | Android 版 Office | Mac 版 Office | |
|---|---|---|---|---|---|
| SharePoint Online | 不支援 * | 支援 | 支援 | 支援 | 支援 |
| Exchange Online | 不支援 | 支援 | 支援 | 支援 | 支援 |
| OneDrive Web | OneDrive Win32 | OneDrive iOS | OneDrive Android | OneDrive Mac | |
|---|---|---|---|---|---|
| SharePoint Online | 支援 | 不支援 | 支援 | 已支援 | 不支援 |
| Teams Web | Teams Win32 | Teams iOS | Teams Android | Teams Mac | |
|---|---|---|---|---|---|
| Teams 服務 | 部分支援 | 部分支援 | 部分支援 | 部分支援 | 部分支援 |
| SharePoint Online | 部分支援 | 部分支援 | 部分支援 | 部分支援 | 部分支援 |
| Exchange Online | 部分支援 | 部分支援 | 部分支援 | 部分支援 | 部分支援 |
Microsoft Entra Identity Governance
Identity Protection 可讓組織完成三項主要工作:
- 自動偵測及補救以身分識別為基礎的風險。
- 使用入口網站中的資料調查風險。
- 將風險偵測資料匯出至其他工具。
Identity Protection 使用 Microsoft 在具備 Microsoft Entra ID 的組織、Microsoft 帳戶的取用者空間及 Xbox 的遊戲中獲得的學習經驗來保護使用者。 Microsoft 每天會分析數兆個訊號,以識別威脅並保護客戶免於遭受威脅。
由 Identity Protection 產生及送至該處的訊號,可進一步送至條件式存取之類的工具以做出存取決策,或送回至安全性資訊和事件管理 (SIEM) 工具,進行深入調查。
偵測風險
Identity Protection 會偵測許多類型的風險,包括:
- 匿名 IP 位址使用
- 非慣用登入位置
- 已連結惡意程式碼的 IP 位址
- 不熟悉的登入屬性
- 認證外洩
- 密碼噴灑
- 還有更多...
風險訊號可觸發補救工作,例如要求:執行多重要素驗證、使用自助式密碼重設來重設其密碼,或在系統管理員採取動作前封鎖存取。
如需關於上述問題和其他風險,及風險計算方式和時機的詳細資料,請參閱什麼是風險一文。
調查風險
系統管理員可以檢閱偵測,並視需要對其採取手動動作。 在 Identity Protection 中,系統管理員主要會使用三項個報告進行調查:
- 具風險使用者
- 有風險的登入
- 風險偵測
如需詳細資訊,請參閱下列文章:如何:調查風險。
風險層級
身分識別保護將風險分級為:低、中、高。
Microsoft 不提供如何計算風險的特定詳細資料。 每個風險層級都會提高使用者或登入遭到入侵的信賴度。 例如,相較於使用者的其中一個執行個體出現不熟悉的登入屬性,將認證洩漏給其他使用者的情況比較嚴重。
注意
您也可以在身分識別保護中建立風險型原則,但是建議使用條件式存取原則來執行此動作。
風險型條件式存取原則
當偵測到登入或使用者有風險時,可以套用存取控制原則來保護組織。 這類原則稱為風險型原則。
Microsoft Entra 條件式存取提供兩種風險條件:登入風險和使用者風險。 組織可以藉由設定這兩個風險條件和選擇存取控制方法,來建立風險型條件式存取原則。 在每次登入期間,Identity Protection 會將偵測到的風險層級傳送至條件式存取,如果滿足原則條件,則會套用風險型原則。
下圖顯示當登入風險層級為中或高時,強制執行需要多重要素驗證的原則範例。
上述範例也會示範風險型原則的主要優點:自動風險補救。 當使用者成功完成必要的存取控制時,例如安全密碼變更,就可補救其風險。 該登入工作階段和使用者帳戶不會有風險,而且管理員不需採取任何動作。
允許使用者使用此流程自行補救,可降低系統管理員的風險調查和補救負擔,同時保護您的組織免於受到安全性危害。 如需風險補救的詳細資訊,請參閱補救風險和解除封鎖使用者一文。
登入風險型條件式存取原則
在每個登入期間,Identity Protection 會即時分析數百個訊號,並計算登入風險層級,代表指定驗證要求未獲授權的機率。 然後,此風險層級會傳送至條件式存取,其中會評估組織的已設定原則。 系統管理員可以設定登入風險型條件式存取原則,以根據登入風險強制執行存取控制,包括下列需求:
- 封鎖存取
- 允許存取
- 需要多重要素驗證
如果在登入時偵測到風險,使用者可以執行必要的存取控制,例如多重要素驗證來自行補救並關閉有風險的登入事件,以防止為管理員帶來不必要的雜訊。
使用者風險型條件式存取原則
Identity Protection 會分析使用者帳戶的相關訊號,並根據使用者遭入侵的可能性計算風險分數。 如果使用者有風險性登入行為,或其認證已外洩,Identity Protection 會使用這些訊號來計算使用者風險層級。 系統管理員可以設定使用者風險型條件式存取原則,以根據使用者風險強制執行存取控制,包括下列需求:
- 封鎖存取
- 允許存取,但是需要安全密碼變更。
安全密碼變更可補救使用者風險,並關閉風險性使用者事件,以防止為管理員帶來不必要的雜訊。
受保護的動作
Microsoft Entra ID 中受保護的動作是已指派條件式存取原則的權限。 當使用者嘗試執行受保護的動作時,他們必須先滿足已指派給必要權限的條件式存取原則。 例如,若要允許系統管理員更新條件式存取原則,您可以要求他們先滿足網路釣魚防護 MFA 原則。
為什麼要使用受保護的動作?
您會在想要新增額外的保護層時使用受保護的動作。 受保護的動作可以套用至需要強式條件式存取原則保護的權限,其與所使用的角色,或是使用者如何獲得權限無關。 因為原則強制執行會在使用者嘗試執行受保護的動作時發生,而不是在使用者登入或規則啟用期間發生,因此只有在需要時才會提示使用者。
哪些原則通常會和受保護的動作搭配使用?
我們建議在所有帳戶上使用多重要素驗證,尤其是具有特殊權限角色的帳戶。 受保護的動作可以用於要求額外的安全性。 以下是一些常見的更強條件式存取原則。
- 更強大的 MFA 驗證強度,例如無密碼 MFA 或防網路釣魚 MFA。
- 特殊權限存取工作站,透過使用條件式存取原則裝置篩選 (部分機器翻譯) 來達成。
- 更短的工作階段逾時,透過使用條件式存取登入頻率工作階段控制來達成。
哪些權限可以搭配受保護的動作使用?
條件式存取原則可以套用至一組有限的權限。 您可以在下列區域中使用受保護的動作:
- 條件式存取原則管理
- 跨租用戶存取設定管理
- 定義網路位置的自訂規則
- 受保護的動作管理