可访问 M365 服务的特权 Entra 帐户

当您使用特权帐户进行日常活动（例如阅读电子邮件或从互联网下载文档）时，会增加该帐户遭到入侵的风险。 威胁制造者经常通过电子邮件发送的网络钓鱼文档或 Web 浏览器中的路过式下载攻击获得对环境的初始访问权限。 如果攻击者使用此类攻击方法对管理员发动攻击，则可能导致严重后果，从而直接造成 Entra 基础设施、其帐户和资源的全面沦陷。

此风险暴露指标会检查与 Microsoft 365 应用程序和服务相关的服务计划（即许可证）是否分配给了特权帐户，而这些计划本应仅限于普通帐户使用。此检测启发式方法旨在识别管理员是否仅使用一个帐户，而不是标准帐户和特权帐户两个单独的帐户。 此检测方法可能会生成误报，例如当管理员已经分别拥有标准帐户和特权帐户，并且这两个帐户都分配了服务计划时。如果调查后确认为误报，您可以使用提供的选项来忽略此发现结果。然而，即使在这种情况下，使用特权帐户访问 Microsoft 365 应用程序和服务仍然会增加帐户遭入侵的可能性，因此我们不建议这样做。

IoE 可验证以下 Microsoft 365 服务：

• Exchange Online
• Microsoft 365 Apps
• Office 网页版
• SharePoint Online
• Microsoft Teams
• Skype for Business Online

该 IoE 还考虑了 Microsoft 365 服务的不同服务计划版本，如商业版、教育版、政府版等。

您必须确保在 Entra ID 中执行管理任务的用户拥有多种类型的帐户，通常为两种：一个用于日常使用的标准帐户和一个专门用于管理活动的单独特权帐户。 您应使用没有特权的标准帐户来进行有风险的日常互联网操作或打开不受信任的文档。 您应当设立一个单独的特权帐户，该帐户只包含必要且必需的有限服务计划，专门用于执行管理任务。这遵循了 Microsoft 关于为管理员分离帐户的指南，正如其建议的那样。

总而言之，请遵循以下两个修复步骤：

1. 为拥有特权的用户（如管理员）创建单独的管理员帐户，这是此 IoE 的主要目标。将特权分配给专用的特权帐户，而不是他们的普通帐户。特权帐户仅用于管理任务。这是常见的网络安全最佳实践，不仅受 Microsoft 的推荐，也符合国家网络安全组织和合规性标准的强制要求。
2. 分离帐户后，请检查您是否为特权帐户分配了有限的服务计划。由于这些帐户仅应执行管理任务，因此不需要访问 Microsoft 365 应用程序和服务，这样做还有助于减少其风险暴露。这一步骤可确保特权帐户符合此 IoE 的规定。 具体来说，在特权帐户中，禁用那些不用于管理任务的 Microsoft 365 应用程序和服务的服务计划。保留有用的安全许可证，如 Entra ID P1 和 P2。根据您组织的许可证（如 Microsoft 365 E3/E5），禁用部分服务计划（如 Exchange Online），同时保留其他服务计划 (Entra ID P1/P2)。请参阅 Microsoft 关于在 Microsoft Entra ID 中更改用户或组许可证分配的指南。

维持单独的标准帐户和特权帐户会引入其他与安全相关的考量，您也应予以解决：

• 对于密码管理，请确保管理员为标准帐户和特权帐户设置不同的密码。使用相同的密码会削弱帐户分离的效果，因为这使得攻击者在攻破标准帐户凭据后能够轻易转向特权帐户。
• 请确保用户不从同一计算机访问这些帐户。提供专门用于特权操作的安全设备，以此来保护特权帐户。这种做法通常被称为“特权访问工作站”(PAW) 或“特权访问设备”。请参阅 Microsoft 关于将设备保护纳入特权访问安全策略的文档。

名称: 可访问 M365 服务的特权 Entra 帐户

代码名称: PRIVILEGED-ENTRA-ACCOUNT-WITH-ACCESS-TO-M365-SERVICES

严重性: Medium

类型: Microsoft Entra ID Indicator of Exposure