Office 365 MFA 啟用與強制實施 — 兩者有何不同?儘管密碼仍然是用戶識別最廣泛採用的方法,但單一因素的驗證非常容易受到網絡攻擊。Microsoft的多元因素驗證(MFA)可以保護您的Azure目錄和Office 365免受釣魚或網絡入侵企圖。但其採用率仍然不穩定。根據一項調查,78%的Microsoft 365管理員並未啟用MFA。
圖片來源:ramsac
在本篇部落格文章中,我們將探討MFA,為何它被要求,以及兩種Office 365的MFA — 啟用和強制,並解釋它們之間的主要差異,以便您可以決定哪一種最適合您的企業。
讓我們從Office 365 MFA啟用與強制 — 有何不同開始?
什麼是MFA?
因此,密碼保護方法與其他因素結合使用,例如:
- 知識 — 可以命名的密碼,一個包含特殊字符和字母的組合等。
- 擁有 — 實物,如安全密鑰、授權的移動應用程序等。
- 固有 — 生物掃描,如視網膜掃描、指紋掃描、語音識別、面部識別等。
- 位置 — 主要通過智能手機位置和GPS確定。
- 時間 — 作為一個邏輯屏障,員工憑證會與其所在位置的時間進行匹配,以確認用戶的真實性。
為什麼需要MFA?
密碼盜竊
增強安全性
可定制化解決方案
它可以根據組織的需求進行定制。如果需要嚴格的資料安全性,它可以實施物理因素,如視網膜或指紋掃描。
可擴展性
MFA適應任何業務類型,並通過消除多個密碼的需求來簡化登錄過程。因此,它提升了用戶體驗,並減少了對密碼協助的支持呼叫需求。
遵守法規
它有助於確保您遵守身份和存取管理法規。
什麼是Office 365 MFA啟用?
在MFA啟用的驗證過程中,Office 365管理員啟用您的帳戶以存取頁面,但每次您登入時都會提示您完成註冊。這可以是定時的,例如在幾小時到幾天內推送通知。
一旦您完成了註冊過程並遵守了管理員定義的政策,提示就不再彈出,您可以存取完整的頁面或繼續享受對資源的存取。
Office 365 MFA啟用的功能
- 有助於建立組織信任。如果新團隊成員被授予訪問公司雲端數據的權限,遵守認證政策有助於在工作場所建立可信的工作環境。
- 如果未在管理員設定的時間範圍內完成註冊過程,訪問權限將自動被撤銷。
- 有助於公司避免數據盜竊。
- 在Office 365中,管理員可以通過Azure Active Directory管理中心啟用MFA。
- 對數據敏感的行業如銀行、大型企業等有益。
啟用Office 365 MFA的優點
- 降低身份盜竊和組織關鍵數據被盜的機率。通過這一過程,被盜的密碼對網絡攻擊者和釣魚者幾乎毫無用處。
- 提供超過兩個認證器的組合以獲取對用戶帳戶的訪問權限。它有助於保護Office 365帳戶和電子郵件,防止它們成為網絡攻擊者的目標。
啟用Office 365 MFA的缺點
雖然認證要求有助於防止您的寶貴數據洩漏,但啟用MFA可能會導致消費者和服務提供商之間的摩擦。重複的彈出窗口要求進一步的認證階段可能會使用戶感到沮喪,因為他們通常希望快速登錄並開始(或恢復)他們的工作。
提高您的Active Directory安全性和Azure AD
試用我們,免費訪問所有功能。- 200多個AD報告模板可用。輕鬆自定義您自己的AD報告。
什麼是Office 365 MFA強制執行?
Office 365 MFA強制執行的功能
Office 365 MFA強制執行的優點
- 嚴格的驗證方法的強制執行有助於提高Office 365租戶的安全性。
- 這種嚴格的帳戶存取方法通過提高信任因素來改善用戶體驗。
- 除了提供強大的整體安全性外,它還保護帳戶免受常見的網絡攻擊,如暴力破解攻擊。
強制實施Office 365 MFA的缺點
這種多層次認證方法的實施不當會導致偏見和不準確,有時候。如果實施的方法包括生物識別技術,內在的人口統計偏見會導致假陰性。最常見的生物識別方法通常依賴於部分數據進行身份驗證。這進一步導致錯誤的拒絕和接受,導致真正的用戶無法獲得訪問權,而攻擊者獲得帳戶訪問權。
此外,這個過程導致一些舊應用的認證問題,這可能會影響第三方服務。
也請閱讀嘗試Office 365管理工具
在設置或強制實施MFA之前的先決條件
準備支持團隊
當像MFA這樣的東西被強加給用戶時,他們可能會發現整個過程難以適應,並可能對MFA令牌丟失或設置後的問題有疑問。因此,IT支持團隊需要為帳戶用戶提供註冊和恢復支持。
這可以通過支持團隊的測試實踐來最好地完成,使用模擬問題請求和查詢。
理解方法
啟用Office 365 MFA的方法
更改用戶狀態
每次使用者登入其帳戶時,都會涉及傳統的雙因素認證(2FA)。這種方法對個人來說很簡單,但在組織規模上執行時可能會耗時、容易出錯且難以管理。
使用安全性預設值
微軟在2019年推出了這種預先配置好的安全性方法。其目的是防止組織受到各種網絡安全威脅。這個設置為所有服務和用戶帳戶啟用了MFA。如果租戶是在這個方法發布後創建的,這可能就是帳戶的默認設置。在其他情況下,需要在Azure門戶中啟用它。
使用條件式存取政策
作為Azure Active Directory(Premium P1或P2版)的付費功能,條件式存取是一種靈活的驗證方法。這些存取政策可以應用於群組以及個別帳戶。這種方法讓您能夠根據群組或帳戶(低風險或高風險帳戶)的要求調整限制。
Office 365 MFA啟用與強制執行 — 有什麼區別?
圖片來源:Cayosoft
帳戶可存取性
Office 365 MFA啟用
如果您的註冊不完整,您仍然可以存取帳戶,但將在設定的時間範圍內被提示完成該過程。如果它保持不完整,存取可能會繼續有更多提示或可能被撤銷。
Office 365 MFA強制執行
安全預設設定強制用戶完成註冊以獲得任何形式的帳戶存取權限。這是一種嚴格的方法,要求遵守由管理員為用戶帳戶可訪問性制定的嚴格驗證政策。
信任因子
Office 365 MFA已啟用
當啟用MFA時,它給用戶時間來考慮和理解驗證過程,然後再進行。對此的充分理解有助於在用戶和服務提供商之間建立信任。
Office 365 MFA強制執行
此過程不允許用戶在選擇加入之前理解過程。它遵循必須遵守的嚴格驗證政策,以獲得帳戶可訪問性。即使它提供了額外的帳戶保護保證,該過程可能會讓用戶感到沮喪。
數據盜竊可能性
Office 365 MFA已啟用
需要完成註冊才能獲得完整的帳戶存取權限。但未完成註冊並不總是會剝奪用戶的部分存取權限。如果管理員未設定時間框架,它只會繼續提示。在這兩種情況下,用戶(如果他們不真誠)可能導致資料盜竊。
Office 365 MFA 強制執行
它包括在驗證過程中的物理因素,如生物識別掃描。儘管它看起來很安全,但生物識別有時會被欺騙。這導致真正的用戶被拒絕存取,而攻擊者獲得存取權限,使整個組織的數據處於風險之中。
啟用方法
Office 365 MFA 已啟用
在Microsoft 365中啟用MFA是使用Azure Active Directory Admin Center完成的。您需要選擇屬性並從那裡管理安全默認值,以啟用或禁用它。
Office 365 MFA 強制執行
一旦建立了強制MFA登錄的政策,您需要創建一個客戶管理的政策,該政策禁止除少數IAM(身份訪問管理)操作之外的所有操作。然後將策略附加到測試用戶組。最後,測試用戶訪問。
適用性
Office 365 MFA啟用
適用於個人用戶帳戶或初創企業和小公司。
Office 365 MFA強制
適用於遠程優先的初創企業、大型組織和企業,其中數據集巨大或在銀行業,其中涉及敏感用戶數據和財產。
安全性
Office 365 MFA啟用
它有一個時間限制的提示(會話安全級別),每次您未完全註冊時都會彈出。一旦完成該過程,它就允許您訪問系統。這確保了很大程度上帳戶的安全性,但確實質疑了註冊期間的部分帳戶可訪問性。
Office 365 MFA強制
感谢您阅读Office 365 MFA启用与强制执行的区别?我们将结束这篇文章博客。
Office 365 MFA启用与强制执行的区别?(结论)
总之,数据无处不在,无论您的组织是初创企业还是大型企业,都需要保护。
儘管啟用多重身份驗證(MFA)有其優勢,主要是使用者適應性,但最終必須轉為強制性的MFA,結合各種嚴格的身份驗證方法。這承諾了資料安全以及長遠的成本效益,因此對於各種使用者帳戶來說更具好處。
Source:
https://infrasos.com/office-365-mfa-enabled-vs-enforced-whats-the-difference/