特权帐户缺少 MFA

由于 Microsoft 数据可用性限制，此 IoE 必须在具备 Microsoft Entra ID P1 或 P2 许可证的情况下才能运作。因此，它在 Entra ID 免费版租户中不会返回任何结果。

多因素身份验证 (MFA)，即之前的双因素身份验证 (2FA) 可为帐户提供强大的保护，防止出现弱密码或泄露密码​。安全最佳实践和标准建议您启用 MFA，尤其是针对特权帐户。 攻击者通过任意方法获得特权用户密码后，MFA 会通过要求额外的因素（例如来自移动应用程序且有时效的代码、物理令牌、生物识别功能等）来阻止身份验证。

在帐户没有已注册的 MFA 方法，或者您在没有注册 MFA 方法的情况下强制执行 MFA （上述两种情况可能会允许具有密码的攻击者注册他们自己的 MFA 方法并造成安全风险）时，此风险暴露指标会向您发出警报。然而，此风险暴露指标无法报告 Microsoft Entra ID 是否强制执行 MFA，因为条件访问策略可能根据动态标准要求执行 MFA。

您也可以使用 Entra ID 中的“身份验证方法活动”和“MFA 报告”功能。

有关非特权帐户的内容，请参见相关的 IOE“非特权帐户缺少 MFA”。

已禁用的用户将被忽略，因为攻击者无法立即滥用这些用户，并且 Microsoft Graph API 存在报告的已禁用用户的 MFA 状态不正确这一限制。

所有报告的特权用户必须注册 MFA 方法并强制执行 MFA​，以提高对密码攻击的防护，正如 Microsoft 在“Microsoft Entra 角色的最佳实践”中的建议：“3. 为所有管理员帐户启用多因素身份验证。根据我们的研究，如果您使用多因素身份验证 (MFA)，您帐户遭到入侵的可能性将降低 99.9%。”

对于 Microsoft Entra ID，Microsoft 提供了一个名为“Require MFA for administrators”的条件访问策略模板。此策略会提醒用户在第一次遵循以下 MFA 强制执行规则进行身份验证时，注册 MFA 方法。我们建议您遵循“规划条件访问部署”Microsoft 文档中的要求。特别需要注意的是，如果您使用 Microsoft Entra Connect 或 Microsoft Entra Cloud Sync 等混合身份解决方案，您必须将这些工具所使用的服务帐户从策略中排除，因为它们无法满足条件访问策略的要求。选择“排除用户”操作即可直接排除服务帐户；或选中“目录角色”选项，然后选择“目录同步帐户”角色来实现排除。

请注意，根据“管理 Microsoft Entra ID 中的紧急访问帐户”Microsoft 文档的建议，您应该借助不同于普通管理帐户方法的 MFA 方法，来计划建立一个或两个特权应急处理帐户。

在 Microsoft Entra 身份验证文档的此部分阅读有关 Microsoft Entra MFA 的更多信息（亦请参阅相关页面）。

名称: 特权帐户缺少 MFA

代码名称: MISSING-MFA-FOR-PRIVILEGED-ACCOUNT

严重性: High

类型: Microsoft Entra ID Indicator of Exposure