微软宣布将于 2022 年 6 月下旬在所有现有 Azure Active Directory (Azure AD) 租户上自动启用更严格的安全默认设置，称为“安全默认设置”。

安全默认设置于 2019 年 10 月首次引入，仅适用于新租户，是一组基本安全机制，旨在以最少的努力引入良好的身份安全卫生，即使对于没有 IT 团队的组织也是如此。

两个月后， 也就是 2020 年 1 月，微软宣布已经为 60,000 名新租户启用了安全默认设置。

两年多之后，超过 3000 万个组织现在受到强制执行多因素身份验证 (MFA) 和现代身份验证要求的安全默认设置的保护。

“我们对该计划的成功感到高兴，但 2019 年 10 月之前创建的租户不包括在安全默认值中，并且很容易受到攻击，除非他们明确启用条件访问、身份保护和 MFA 等功能，” 身份安全总监 Alex Weinert说在微软。

“这就是为什么我们如此兴奋地宣布向现有租户推出安全默认设置，针对那些自部署以来未更改任何安全设置的用户。

“完成后，此部署将保护另外 6000 万个帐户（大约是英国的人口！）免受最常见的身份攻击。”

安全默认值以保护用户帐户
部署开始后，全局管理员将收到通知，并且可以启用安全默认设置或暂停执行 14 天，届时它们将自动启用。

在 Azure AD 租户中启用后，用户将需要在 14 天内使用 Microsoft Authenticator 应用程序注册 MFA，同时还要求全球管理员提供电话号码。

提示管理员启用安全默认值 (Microsoft)
新的安全默认设置将通过以下方式帮助保护企业用户帐户免受密码喷洒和网络钓鱼攻击：

要求所有用户和管理员使用 Microsoft Authenticator 应用注册 MFA。
用 MFA 挑战用户，主要是当他们出现在新设备或应用程序上时，但更常见的是用于关键角色和任务。
禁用无法执行 MFA 的旧式身份验证客户端的身份验证。
通过在每次登录时要求额外的身份验证来保护管理员。
不想为其组织启用安全默认值的管理员可以通过 Azure Active Directory 属性 或 Microsoft 365 管理中心禁用它们。

然而，这可能不是一个好主意，因为根据韦纳特的说法，启用安全默认设置的组织“所遭受的危害比整体租户人口少 80%”。

此外，根据 Microsoft 的遥测数据，要求 MFA 在启用时可防止超过 99.9% 的帐户泄露攻击。