If phishing-resistant MFA has not been enforced, an alternative MFA method SHALL be enforced for all users.
Dlaczego to ma znaczenie
Nawet gdy nie wdrożono w pełni metody MFA odpornej na phishing, wymuszenie dla każdego użytkownika alternatywnej metody MFA stanowi kluczową obronę przed kradzieżą poświadczeń i nieautoryzowanym dostępem. Bez tego zabezpieczenia konta pozostają podatne na ataki oparte na hasłach, takie jak brute force lub credential stuffing, co może prowadzić do naruszeń danych lub niezgodności z przepisami.
Co sprawdza Aether365
To sprawdzenie weryfikuje, czy dla wszystkich użytkowników w dzierżawie Microsoft Entra ID wymuszono alternatywną metodę MFA w przypadku, gdy nie zaimplementowano MFA odpornego na phishing (takiego jak FIDO2 lub uwierzytelnianie oparte na certyfikatach). Jest ono wyświetlane na pulpicie nawigacyjnym Aether365 w kategorii usługi Entra ID (entra-id).
Jak naprawić
- Zaloguj się do Azure Portal jako administrator globalny i przejdź do Microsoft Entra ID.
- Wybierz kolejno Users, a następnie Per-user MFA z górnego paska menu.
- Dla każdego użytkownika, który nie jest obecnie zarejestrowany w MFA, zaznacz użytkownika i kliknij Enable w kolumnie stanu uwierzytelniania wieloskładnikowego.
- Potwierdź zmianę po wyświetleniu monitu. Użytkownicy będą zobowiązani do zarejestrowania metody MFA (takiej jak aplikacja Microsoft Authenticator, połączenie telefoniczne lub SMS) przy następnym logowaniu.
- Opcjonalnie użyj zasad dostępu warunkowego (Conditional Access), aby wymagać MFA dla wszystkich użytkowników jako bardziej skalowalnej alternatywy dla włączania na poziomie użytkownika.
Zgodność
- CIS CISA.MS.AAD.3.2
- Wytyczne CISA (Cybersecurity and Infrastructure Security Agency) dotyczące wymuszania MFA