微軟砍掉99%賬戶被盜風(fēng)險(xiǎn)的枷鎖，第三方MFA終于能上桌了

微軟去年攔截了每秒1287次身份攻擊。這個(gè)數(shù)字背后，多因素認(rèn)證（MFA，Multi-Factor Authentication，多因素認(rèn)證）扛下了99%以上的防御功勞——但有個(gè)尷尬的事實(shí)：企業(yè)想用自己順手的第三方MFA方案，以前得像走后門(mén)一樣繞開(kāi)微軟的身份管控體系。

3月26日，微軟宣布外部MFA功能正式商用。這意味著企業(yè)終于能把第三方認(rèn)證提供商原生接入Entra ID（微軟身份與訪問(wèn)管理服務(wù)），不用再在"安全合規(guī)"和"工具順手"之間二選一。

舊架構(gòu)像個(gè)漏風(fēng)的墻

過(guò)去企業(yè)如果想用非微軟的MFA方案，比如Okta或Duo，只能依賴(lài)Custom Controls（自定義控制）這個(gè)過(guò)渡功能。翻譯成人話：安全團(tuán)隊(duì)得在微軟的身份策略和第三方工具之間搭一座搖搖欲墜的橋，數(shù)據(jù)流要繞路，策略執(zhí)行要打折扣。

更麻煩的是，這種繞路讓條件訪問(wèn)（Conditional Access）成了擺設(shè)。用戶走了外部認(rèn)證，微軟這邊就看不到完整的登錄上下文，風(fēng)險(xiǎn)評(píng)分、實(shí)時(shí)檢測(cè)、會(huì)話控制——全得靠猜。

一位做過(guò)金融身份架構(gòu)的工程師跟我吐槽過(guò)："那時(shí)候我們得像偵探一樣，把兩邊日志拼起來(lái)才能還原一次登錄的全貌。"

OIDC成了新通用語(yǔ)言

這次改動(dòng)的技術(shù)錨點(diǎn)是OpenID Connect（OIDC，開(kāi)放身份連接協(xié)議）。微軟不再要求第三方適配自己的私有接口，而是直接擁抱行業(yè)標(biāo)準(zhǔn)。

身份管理員現(xiàn)在可以在Entra ID控制臺(tái)里，把外部MFA方法配置得和微軟原生選項(xiàng)平起平坐——同一塊面板，同一套策略引擎，同一批審計(jì)日志。

關(guān)鍵區(qū)別在于策略執(zhí)行的完整性。以前Custom Controls時(shí)代，外部認(rèn)證像是"掛名參展"，微軟的策略只能管到入口，進(jìn)去之后發(fā)生什么它不知道。現(xiàn)在每次登錄都要過(guò)完整的條件訪問(wèn)評(píng)估，實(shí)時(shí)風(fēng)險(xiǎn)檢測(cè)、會(huì)話控制、登錄頻率限制——一個(gè)不落。

微軟安全團(tuán)隊(duì)特別提醒：登錄頻率別設(shè)得太變態(tài)。用戶一天被彈窗八次，肌肉記憶就會(huì)讓他們閉著眼睛點(diǎn)"確認(rèn)"，反而給釣魚(yú)攻擊開(kāi)了后門(mén)。這個(gè)細(xì)節(jié)挺產(chǎn)品經(jīng)理思維的——安全強(qiáng)度不是越高越好，得卡在用戶耐性的臨界點(diǎn)之前。

Custom Controls的死刑日期定了

新功能上線的同時(shí)，舊架構(gòu)的喪鐘也敲響了。微軟把Custom Controls的正式退役日期定在2026年9月30日，距今還有18個(gè)月。

現(xiàn)有配置能繼續(xù)跑6個(gè)月，然后管理員必須完成向OIDC架構(gòu)的遷移。這個(gè)時(shí)間窗口不算寬裕，但對(duì)于有變更管理流程的企業(yè)來(lái)說(shuō)，剛好夠走完評(píng)估、測(cè)試、灰度、全量四部曲。

有個(gè)細(xì)節(jié)值得玩味：微軟沒(méi)有提供自動(dòng)遷移工具。這意味著每家企業(yè)的安全團(tuán)隊(duì)都得親手拆掉自己搭的那座"橋"，然后在新的標(biāo)準(zhǔn)化地基上重建。痛苦是肯定的，但拆完之后，維護(hù)成本會(huì)斷崖式下降。

誰(shuí)在偷著樂(lè)

最直接受益的是兩類(lèi)企業(yè)。一類(lèi)是身份系統(tǒng)碎片化嚴(yán)重的——并購(gòu)來(lái)的子公司用著不同廠商的MFA，總部終于不用逼他們?nèi)繐Q微軟了。另一類(lèi)是受外部合規(guī)約束的——某些監(jiān)管機(jī)構(gòu)指定了特定認(rèn)證方案，以前企業(yè)得在安全合規(guī)和微軟生態(tài)之間做痛苦選擇。

第三方MFA廠商的反應(yīng)很有意思。Okta和Duo的工程師已經(jīng)在社區(qū)里貼出了OIDC集成指南，語(yǔ)氣里帶著"終于等到你"的釋然。這像是手機(jī)充電口統(tǒng)一Type-C之后的配件市場(chǎng)——標(biāo)準(zhǔn)定了，競(jìng)爭(zhēng)就回到產(chǎn)品本身，而不是適配能力。

微軟這一步棋，表面是開(kāi)放，實(shí)際是加固護(hù)城河。當(dāng)所有第三方認(rèn)證都必須經(jīng)過(guò)Entra ID的策略引擎，微軟反而成了企業(yè)身份流量的唯一收費(fèi)站。身份管理員獲得了靈活性，微軟獲得了更深的綁定——雙贏，但贏法不同。

那個(gè)金融架構(gòu)工程師昨天又跟我聊，說(shuō)他們已經(jīng)把Okta接進(jìn)了測(cè)試環(huán)境。"日志終于能看全了，"他說(shuō)，"但我們也更離不開(kāi)微軟了。"

你的企業(yè)還在用Custom Controls嗎？遷移計(jì)劃排到Q幾了？