你為什麼還沒使用多重要素驗證(MFA)?
發布日期:2025/07/21
Microsoft 強烈建議在所有 Entra ID 使用者上啟用多重要素驗證(MFA),以保護其環境免受潛在攻擊者的威脅並避免遭到入侵。這類事件可能會對企業造成嚴重影響與損害,從品牌聲譽問題到高額罰款皆可能發生。
根據 Microsoft 威脅情報研究的最新數據顯示,超過 99% 的攻擊都是密碼攻擊。僅 Microsoft 每秒就會記錄高達 7,000 次密碼攻擊!
除了密碼之外,駭客也可能透過多種方式發動 MFA 攻擊,例如更換 SIM 卡、使用不安全的 MFA 設定、進行中間人攻擊(adversary-in-the-middle attack),或是持續向使用者發送 MFA 驗證請求直到對方不耐煩並誤按同意。
管理這些設定有時會成為一種挑戰,特別是在使用者遺失或更換裝置時,或當企業決定調整安全機制(例如移除 SMS 或語音驗證這類較不安全的選項)。當潛在攻擊者嘗試入侵帳號,或已經在 Entra ID 中取得帳號存取權時,管理員必須立即採取行動並重設該帳號的 MFA 設定。
重設 MFA 聽起來很簡單,但是……
當你需要重設 MFA 時,有兩種方式可以執行。較建議的方式是透過 Entra ID 管理中心,或使用 Graph API。
在 Entra ID 管理中心中管理 MFA 設定,需要「驗證管理員(Authentication Administrator)」或「特權驗證管理員(Privileged Authentication Administrator)」角色。這兩種角色都會賦予使用者比單純重設 MFA 所需更多的權限——特別是「特權驗證管理員」擁有更廣泛的權限。
使用 Graph API 則需要比單純進入管理中心更高的技術能力,且若輸入錯誤或執行錯誤指令,可能會導致問題。此外,如果管理員對 Graph API 不夠熟悉,當出現異常時要找出問題可能非常耗時,且錯誤訊息也不一定容易理解。
除了純粹的管理問題之外,時間因素也是一大挑戰。在全球營運的企業,或因疫情後遠端工作普及、員工分布各地的情況下,對於像 MFA 重設這類作業,也需要更彈性且更快速的處理方式。
為什麼要使用 Active Roles 來重設你的 MFA?
輕鬆委派權限(Zero Trust)- 重設使用者 MFA 的權限可以委派給公司內任何人,必要時甚至可以委派給終端使用者。同時,也可以產生臨時存取權杖(Temporary Access Pass, TAP)。
精細化責任分配與群組管理- 更容易針對哪些使用者可以變更 MFA 設定進行分組管理,例如依照國家或部門區分。
更高效率的流程與更快速的回應- 可將權限委派給非 IT 人員,甚至可直接給某些關鍵使用者使用。無需等待,現在可以提供 24/7 全球支援。
無需程式能力或高權限角色- 不需要編寫程式或加入 Entra ID 的高權限管理群組,即可輕鬆重設 MFA。
透過變更歷程進行簡化合規報告- 可集中記錄所有在 Entra ID 以及 Active Directory 中所有物件的操作行為。
One Identity Active Roles 可以透過單一管理介面,同時管理 Active Directory 與 Entra ID。更重要的是,Active Roles 能夠輕鬆實現真正的 Zero Trust 最小權限模型。除了提供 Active Directory 與 Entra ID 的代理式安全控管外,Active Roles 還提供自動化功能與自助服務。工作可以被非常細緻地委派,不僅限於 IT 人員,甚至可以給一般使用者,而不需要將他們加入高權限群組。這樣可以降低使用者擁有過多權限或權限高於實際需求的風險。同時,也確保當員工短時間需要執行特權操作時,不會因為遺漏而長期保留權限,系統也能在不再需要時將其從相關群組中移除。
Active Roles 不僅提供委派重設 MFA 設定權限的功能,使用者也可以被加入特定群組,讓具授權的使用者群組能夠重設其 MFA 設定。
此外,建立臨時存取權杖(Temporary Access Token)的權限,也可以用與重設 MFA 設定相同的方式進行委派。
任何具備適當委派權限的使用者,都可以查看已建立的臨時存取密碼(Temporary Access Passcode)相關資訊。
總結來說:
One Identity Active Roles 能夠在 Microsoft Active Directory 以及 Entra ID 中,協助企業強化安全性、實現自動化並簡化各項關鍵管理作業。像是重設使用者 MFA 這類任務,可以以更細緻的方式委派給非 IT 人員執行。
系統允許將權限與功能進行委派,而不必將使用者加入高權限群組,避免因人員未即時移除權限而造成長期的資安風險。在發生安全事件時,所有具備適當委派權限的人員,都能重設任何帳號的 MFA 設定,以避免帳號遭到攻擊利用。
此外,重複性作業也可以透過自動化機制處理,確保目錄系統維持最新狀態,讓管理員與資安人員能更安心地維運系統。
資料來源: One Identity Blogs