If phishing-resistant MFA has not been enforced, an alternative MFA method SHALL be enforced for all users.
De ce este important
Chiar și atunci când MFA rezistent la phishing nu este implementat complet, aplicarea unei metode MFA secundare pentru fiecare utilizator oferă o apărare esențială împotriva furtului de credențiale și a accesului neautorizat. Fără această soluție de rezervă, conturile rămân vulnerabile la atacuri bazate pe parole, cum ar fi forța brută sau umplerea credențialelor, care pot duce la încălcări ale securității datelor sau la nerespectarea conformității.
Ce verifică Aether365
Această verificare confirmă că, pentru toți utilizatorii din entitatea dvs. Microsoft Entra ID, este aplicată o metodă alternativă MFA atunci când MFA rezistent la phishing (cum ar fi FIDO2 sau autentificarea bazată pe certificate) nu a fost implementat. Aceasta apare în tabloul de bord Aether365 sub categoria de servicii Entra ID (entra-id).
Cum se remediază
- Conectați-vă la Azure Portal ca Administrator Global și navigați la Microsoft Entra ID.
- Selectați Users, apoi Per-user MFA din bara de meniu de sus.
- Pentru fiecare utilizator care nu este înscris în prezent la MFA, selectați utilizatorul și faceți clic pe Enable în coloana de stare a autentificării multifactor.
- Confirmați modificarea atunci când vi se solicită. Utilizatorii vor fi obligați să înregistreze o metodă MFA (cum ar fi aplicația Microsoft Authenticator, apelul telefonic sau SMS-ul) la următoarea autentificare.
- Opțional, utilizați politici de acces condiționat pentru a solicita MFA pentru toți utilizatorii, ca alternativă mai scalabilă la activarea per utilizator.
Conformitate
- CIS CISA.MS.AAD.3.2
- Ghidul CISA (Agenția pentru Securitate Cibernetică și Infrastructură) pentru aplicarea MFA