The Will Will Web

記載著 Will 在網路世界的學習心得與技術分享

Microsoft 365 帳號遭到詐騙或被駭客入侵後的解鎖方法

📅 2024/04/24 23:57 📁 Microsoft Azure, Office 365, Security

我們公司主要採用 Microsoft 365 (M365) 為主要的協作平台,背後自然使用的是地表最強大的 Microsoft Entra ID 服務。我們上個月有位同事被 Entra ID 判定有 MFA 異常登入的狀況,導致帳號被鎖定,無法使用 MFA 登入,因此導致他完全無法使用任何 M365 服務。我當時也不知道怎樣處理的,可能是設定讓他重新設定 MFA 之類的,反正他就正常可以登入了。結果過了一個多月,就在前幾天,同一個人,他的帳號又再次被鎖定,這次鎖的更緊了,害我怎樣都解鎖不了,還必須要動用微軟技術支援中心才能解決。這次我還是認真做一下筆記好了,以免日後再有同仁遇到帳號被鎖定的狀況。

事件經過

整個事件是這樣的:

  1. 我在 2024/03/12 下午 04:34:07 收到一封由微軟 M365 平台寄來的 MFA 詐騙通知,上面有標示哪個帳號被詐騙!

    Multi-Factor Authentication Fraud Alert

  2. 我當下立刻詢問同事,問他帳號是否被入侵?我們公司有導入 ISO 27001:2022 資訊安全管理系統 (ISMS),所以有資安事件都要通報與記錄。

    以下是我跟他的對話記錄:

    我:「請問你的公司帳號有被盜嗎?」

    同:「沒有歐,應該是不小心按到 Microsoft Authenticator app 中的 "回報" 那顆按鈕」

    我:「這樣帳號不會被鎖定嗎?」

    同:「沒有耶,目前都正常」

    我:「喔」

    因為我本人沒遇過 M365 有通知 Multi-Factor Authentication Fraud Alert 的狀況,所以不太清楚正確的處理程序為何,既然他沒事,我也就沒再多問。

  3. 過了一週左右,在 2024/03/18 上午 9:51,該同事透過另一名同事告訴我,他的帳號怎樣都無法通過 MFA 驗證,訊息如下:

    image

    怎麼解決的我有點忘了,當時沒留下記錄,應該是讓他重新註冊 MFA 之類的,反正他又再次可以正常登入了。

  4. 過了一個月左右,在 2024/04/22 上午 9:36,他又透過同事告訴我,他的帳號這次怎樣都無法通過 MFA 驗證,而且 Microsoft Authenticator 直接拒絕讓他進行 MFA 驗證,而且不提供他任何其他方式進行 MFA 驗證。錯誤訊息如下:

    image

    這次我就算幫他設定重新註冊 MFA 資料,也無法使用,他的 MFA 完全被鎖定了,我最後只好求助微軟技術支援中心。

解決方式

微軟技術支援中心告知有兩個方法:

  1. 要求使用者重新註冊 MFA 認證資料

    這個步驟僅限於使用者的 MFA 認證資料有異常的情況,例如:使用者的手機號碼換號、手機遺失、手機 App 重裝等情況。

    不過,之前我都是用這招幫助使用者可以在次註冊 MFA 並成功登入。

  2. 解除使用者的 MFA 鎖定狀態

    由於我不知道「帳號」被鎖定的狀況,之前沒遇過,所以不太知道「解鎖」的功能藏在哪裡,畢竟 Microsoft Entra ID 是一套超級複雜的產品,功能與頁面都超級多,不是非常好找。

要求使用者重新註冊 MFA 認證資料

以下是要求使用者重新註冊 MFA 認證資料的設定步驟:

  1. 先以 Global Administrator 身分登入 Microsoft Entra admin center

  2. 點擊 Users > All users 並搜尋要解鎖的使用者,然後點擊該使用者進入詳細資料頁面

  3. 點擊 Authentication methods 選項,然後點擊 Require re-register multifactor authentication 按鈕

    Require re-register multifactor authentication

  4. 確認要求重新註冊 MFA 認證資料

    Require re-register multifactor authentication: This will deactivate hardware OATH tokens and delete the following authentication methods from this user: phone numbers, Microsoft Authenticator apps and software OATH tokens. Are you sure you want to proceed?

  5. 通知使用者到 https://aka.ms/MFASetup 登入並重新設定 MFA 即可。

解除使用者的 MFA 鎖定狀態

以下是解除使用者的 MFA 鎖定狀態的設定步驟:

  1. 先以 Global Administrator 身分登入 Microsoft Entra admin center

  2. 點擊 Protection > Multifactor authentication

  3. 點擊 Block/unblock users 選項,然後找到被封鎖的帳號,按下 Unblock 按鈕即可解除 MFA 鎖定狀態

    Blocked users

結論

老實說,啟用 MFA 之後,帳號的安全性真的高出許多,我們公司多年來,其實也就這麼一次有同仁帳號被鎖定的紀錄。

但他是否真的「被駭」,我還真的無法確定,因為他本人也不清楚發生了什麼事。

我自己是這樣猜想:

  1. 我們公司有設定 MFA 每 30 天要重新設定一次,這是 Entra ID 預設的設定,所以大家基本上每個月至少要認證一次。

  2. 事實上,當 MFA 過期時,當下使用者並不會知道是 MFA 已經到期,但是當下你電腦的 Outlook 或 Teams 可能正在連接 M365 服務,所以會自然而然的被登出,然後自動嘗試重新登入。

  3. 接著,身為一個使用者,你的手機會莫名其妙跳出 Microsoft Authenticator 的重新認證通知,但你根本沒在「登入」喔!

我好奇問大家,如果是你,你會按下「允許」?還是「拒絕」?還是直接關閉 App 無視登入狀況?

按下「允許」的話,可能會讓擁有你的密碼的「駭客」當下就取得你的帳戶權限。

按下「拒絕」的話,可能會讓 Entra ID 判定為一次「詐騙」事件,你的帳號有被鎖的可能。(就像這次事件一樣)

如果每次都「無視」的話,可能會讓你的帳號在 30 天後被鎖定。(就像這次事件一樣)

你看!很難選擇吧?我覺得這個狀況比較像是 UX 的問題,微軟應該要想辦法解決才是!🔥

相關連結

留言評論