MFA 注册不要求使用托管设备

若允许用户使用任何设备（无论是否受管理或合规）完成多因素身份验证 (MFA) 注册，会带来严重的安全风险。如果攻击者窃取了用户凭据，他们就可以从非托管设备上注册自己的 MFA 因素。这将绕过 MFA 的保护机制，使攻击者掌控第二个身份验证因素，从而获得未经授权访问敏感资源的权限，最终可能导致帐户被完全接管。

零信任模型仅允许通过可信且合规的设备执行关键操作，如 MFA 注册。将 MFA 注册限制为托管设备，可确保启用此关键安全功能的设备符合组织的标准。这大大降低了攻击者使用窃取的凭据注册恶意 MFA 的风险。

根据 BOD 25-01 的规定，CISA“Microsoft Entra ID 的 M365 安全配置基准”中的 MS.AAD.3.8v1 策略明确要求：“注册 MFA 时应使用托管设备”。

依据 CISA 的指导，此风险暴露指标 (IoE) 用于确保至少启用了一项条件访问策略，以仅授权托管设备进行 MFA 注册。该策略应配置以下设置：

• “用户”设置为包含“所有用户”。
• “目标资源”设置为“用户操作”，并选择“注册安全信息”。
• “授予”设置为“授予访问权限”，并选中“要求将设备标记为合规”和“要求使用 Microsoft Entra 混合联接设备”选项，同时选中底部的“要求使用其中一项所选控件”。
• “启用策略”设置为“开启”（而非“关闭”或“仅报告”）。

租户必须启用一项条件访问策略，以阻止从非托管设备进行多因素身份验证 (MFA) 注册。

为缓解此风险，根据 BOD 25-01 的规定，CISA“Microsoft Entra ID 的 M365 安全配置基准”中的 MS.AAD.3.8v1 策略明确将“托管设备”定义为：符合安全合规标准的设备，或已混合联接的设备。

为此，您可以通过以下方式创建 CAP：

• 应用此 IoE 描述中指定的设置修改现有 CAP。
• 创建专用 CAP，并根据 IoE 的描述中的规范进行配置。

注意：要启用“设备需标记为合规”授权控制项，必须在组织中使用 Intune MDM。

注意：Microsoft 和 Tenable 都建议您将特定帐户从条件访问策略中排除，以避免整个租户的帐户遭锁定和产生不必要的副作用。Tenable 还建议您遵循 Microsoft 文档“规划条件访问部署”，以确保实施正确的规划和变更管理，并降低自我锁定的风险。特别需要注意的是，如果您使用 Microsoft Entra Connect 或 Microsoft Entra Cloud Sync 等混合身份解决方案，您必须从策略中排除其服务帐户，因为无法满足要求。选择“排除用户”操作即可直接排除服务帐户；或选中“目录角色”选项，然后选择“目录同步帐户”角色来实现排除。

名称: MFA 注册不要求使用托管设备

代码名称: MANAGED-DEVICES-NOT-REQUIRED-FOR-MFA-REGISTRATION

严重性: Medium

类型: Microsoft Entra ID Indicator of Exposure