簡介:不只是一個截止日期,更是一場安全革命
Microsoft 已經訂下明確的期限:自 2025 年 9 月 30 日起,管理舊版驗證原則的介面將被正式棄用。然而,這遠不止是一次介面更新。這是 Microsoft 的一道強制命令:你將拋棄易受攻擊的傳統驗證方法,全面轉型至一個能夠贏得身分識別戰爭的現代安全框架。
在這趟移轉旅程中,有些發現將徹底改變你對安全策略的看法。本文將揭露在此過程中,最令人驚訝、違反直覺,或極具影響力的 6 個發現。它們有些是足以癱瘓組織的隱藏陷阱,有些則是能加速你成功的強大秘密武器。
--------------------------------------------------------------------------------1. SMS 驗證:你以為的安全感,其實是最大的安全負債
許多組織仍將 SMS 簡訊驗證視為一種可接受的 MFA 選項,但事實是,它在本質上就是不安全的,而不僅僅是「過時」。它存在三大核心風險,使其成為現代安全策略中的巨大負債:
- SIM 卡交換攻擊 (SIM Swapping):這是最大的風險。攻擊者可以透過社交工程手段說服電信商客服,將您的電話號碼轉移到攻擊者持有的新 SIM 卡上。一旦成功,所有傳送給您的驗證碼都會被攻擊者攔截,進而完全接管您的帳戶。
- 明文傳輸:SMS 和語音通話是透過公共交換電話網路 (PSTN) 以未加密的明文傳輸。這意味著有權限的攻擊者,例如利用全球 SS7 訊號系統的已知漏洞,可以即時攔截這些訊息,而使用者毫不知情。
- 缺乏情境:一則 SMS 驗證碼只是一串數字。它無法像 Microsoft Authenticator 那樣提供額外的情境資訊,例如「您正試圖從越南登入您的財務應用程式」。這種情境的缺乏,讓使用者在面對精心設計的釣魚攻擊時,幾乎無法判斷請求的合法性。
因此,專家的結論是明確且不容置喙的,這必須成為您策略的基石:
「它們不應被視為現代安全策略的一部分,而應被視為需要管理的『技術負債』和『安全負債』。」
--------------------------------------------------------------------------------
2. 遷移陷阱:一個開關,如何意外鎖住你 20% 的使用者
這就是一個單一、被忽略的選項如何引發 IT 危機的故事。在將舊版原則遷移至現代「驗證方法原則」的過程中,存在一個極其隱蔽的「OATH 權杖顆粒度陷阱」。
舊版原則與新版原則的關鍵差異在於對「驗證碼」的管理:
- 舊版:只有一個模糊的控制項:「來自行動應用程式或硬體權杖的驗證碼」。
- 新版:這個控制項被精細地拆分為三個獨立的原則:Microsoft Authenticator (OTP)、協力廠商軟體 OATH 權杖(如 Google Authenticator)和 硬體 OATH 權杖。
陷阱就藏在這裡。想像一個情境:貴組織有 20% 的開發人員正在使用 Google Authenticator。在移轉過程中,管理員不知道「協力廠商軟體 OATH 權杖」這個原則預設是啟用的,因此在審查時只專注於啟用公司標準的「Microsoft Authenticator (OTP)」。由於疏忽,他們沒有在新原則中明確啟用並納管協力廠商的選項。在移轉完成、切換生效的那一刻,那 20% 的使用者將立即被鎖在系統之外。這是一個因對預設設定的無知而引發的、後果嚴重的典型陷阱。
--------------------------------------------------------------------------------
3. MFA 推廣神隊友:藏在 Outlook 裡的 Authenticator Lite
在組織內推廣 MFA 的最大阻力之一,是說服使用者安裝一個額外的 App。許多使用者,特別是高階主管或非技術人員,可能會抗拒安裝一個被誤認為是「IT 監控軟體」的 Authenticator。
Authenticator Lite 正是為此而生的巧妙解決方案。它的核心價值在於,將 Authenticator 的核心 MFA 功能(包含安全的數字匹配)直接嵌入到使用者早已安裝且信任的 Outlook 行動應用程式中。
對管理員而言,最關鍵的知識點是:這不是一個獨立的原則。它只是主要「Microsoft Authenticator」原則中的一個設定,其預設狀態為「Microsoft 管理」(Microsoft managed),這意味著在 2023 年 6 月 9 日之後,它預設就是啟用的。這項功能巧妙地利用了現有的 Outlook 安裝基礎,極大地降低了在組織內推廣 MFA 的阻力,是您擴大安全覆蓋範圍的秘密武器。
--------------------------------------------------------------------------------
4. 未來的鑰匙:啟用 Passkey 的那個隱密開關
Passkey (通行密鑰) 是業界公認的防網路釣魚驗證的黃金標準,而 Microsoft Authenticator 中的 Passkey 功能更是微軟未來驗證策略的核心。然而,啟用這項旗艦功能的方式卻出奇地隱晦和違反直覺。
當您在 Entra ID 中尋找時,會驚訝地發現,並沒有一個叫做「Authenticator 中的 Passkey」的獨立原則。
其「隱藏」的設定方式,背後的技術原因是要將 Authenticator 應用程式唯一的 AAGUID (Authenticator Attestation GUID) 新增至允許清單。操作方式如下:管理員必須進入「Passkey (FIDO2)」原則的「設定」索引標籤,啟用「強制執行金鑰限制」,然後在下方的允許清單中,勾選「Microsoft Authenticator」。系統這時才會自動將其 AAGUID 新增至允許清單。
一項代表著未來驗證方向的關鍵功能,其啟用方式卻如此隱晦,這凸顯了深入了解每一個設定細節的絕對重要性。
--------------------------------------------------------------------------------
5. 新人報到的「雞生蛋」問題,TAP 如何優雅破解
在身分驗證領域存在一個經典的僵局:「在一個強制 MFA 的無密碼環境中,一個沒有密碼、也從未註冊過 MFA 的新進員工,要如何完成首次登入來註冊他的第一個 MFA 方法?」
這個「雞生蛋」問題,由「臨時存取密碼 (Temporary Access Pass, TAP)」優雅地破解了。TAP 是讓一個 100% 無密碼的 Day-1 新人引導體驗不僅成為可能,更是流暢優雅的關鍵橋樑。沒有它,整個無密碼策略在第一關就會踉蹌。
TAP 的本質是一種有時效性、一次性的代碼,其強度足以滿足 MFA 的要求。其「安全引導 (Secure Bootstrap)」流程完美解決了僵局:
- IT 部門為新員工產生一個短時效(如 1 小時)的一次性 TAP。
- 新員工使用他的電子郵件和這個 TAP 進行首次登入。
- 系統驗證 TAP 成功,滿足了 MFA 要求,並強制將使用者引導至安全資訊註冊頁面。
- 新員工在此頁面註冊他未來永久性的驗證方法(如 Authenticator Passkey)。
- 註冊完成後,TAP 因其一次性使用的特性而自動失效。
這個流程不僅解決了新員工的引導問題,也同樣適用於使用者遺失手機時,需要安全復原帳戶的緊急情境。
--------------------------------------------------------------------------------
6. 超越「有 MFA 就好」:用「驗證強度」定義真正的安全
現在,讓我們將層次從戰術技巧提升到戰略思維。前面所有的發現都是拼圖,而「驗證強度 (Authentication Strengths)」就是將它們組合起來,構成一幅完整安全藍圖的框架。
它解決了一個致命的安全漏洞:如果您的條件式存取原則只簡單地要求「需要 MFA」,使用者就可以選擇驗證方法菜單上最弱的選項(例如 SMS)來滿足要求,這讓您的安全策略形同虛設。
「驗證強度」的作用,就是讓您定義「哪種 MFA 才算足夠強大」。您可以建立一個名為「防釣魚強度」的等級,其中只包含 FIDO2、Windows Hello 和 CBA 等黃金標準方法。這就是您確保高權限帳戶永遠不會使用弱驗證的工具。
它的威力在於實踐。想像一下:您建立一條條件式存取原則,強制所有「全域管理員」在存取 Azure 入口網站時,必須使用您定義的「防釣魚強度」來驗證。如此一來,當管理員登入時,即使是標準的 Authenticator 推播通知也會被系統拒絕,唯有使用 FIDO2 硬體金鑰或 Windows Hello 等真正無法被釣魚的方法才能登入。這才是真正分層且有效的安全。
--------------------------------------------------------------------------------
結論:您的驗證策略,是真安全還是「看起來」安全?
從淘汰不安全的 SMS,到利用 TAP 解決引導僵局,再到透過「驗證強度」為最高權限帳戶建立防釣魚的護城河,我們可以看到,現代身分識別安全的核心,是建立一個有彈性、分層的驗證策略,而不是簡單地啟用一堆方法。
- 一個有彈性的策略,意味著當使用者遺失手機時,你有安全的備援方案。這正是臨時存取密碼 (TAP) 在帳戶復原中扮演的角色 (發現 #5)。它也意味著降低使用者採用的阻力,這正是Authenticator Lite 的天才之處 (發現 #3)。
- 一個分層的策略,意味著對最重要的門,上最強的鎖。這正是驗證強度所賦予你的能力,它讓你能夠強制管理員必須使用 FIDO2 金鑰存取敏感系統 (發現 #6)。
檢視完這些,不妨問自己一個問題:您組織的驗證策略,是真的安全,還是只是看起來安全?
