【安全资讯】微软加强移动设备安全管控，将在越狱及Root设备上自动清除企业凭证

概要：

在移动办公日益普及的今天，企业账户的安全管理面临严峻挑战。微软近日宣布了一项重要安全举措，将自动从已越狱或获取Root权限的iOS和Android设备上移除其企业身份验证应用Microsoft Authenticator中的工作或学校账户凭证，旨在从源头上杜绝因设备安全环境被破坏而导致的多因素认证（MFA）绕过风险。

主要内容：

微软正逐步实施一项强制性安全策略，其Microsoft Authenticator应用将自动检测运行iOS和Android系统的设备是否处于越狱或Root状态。一旦确认，应用将首先发出警告，继而阻止账户访问，并最终自动清除设备上存储的所有企业或学校账户的Entra（原Azure AD）凭证。整个过程用户无法选择退出。

该措施的核心技术原因在于，越狱或Root操作破坏了移动操作系统的原生安全沙箱和权限控制机制。这使得恶意软件或未授权应用有可能窥探、拦截或篡改其他应用（如Authenticator）的内存数据，从而窃取用于多因素认证的令牌或密码，完全绕过MFA这一关键安全防线。

目前，针对Android设备的凭证清理流程已经启动，iOS设备则计划于2026年4月开始执行。微软预计在2026年7月前全面完成此项部署。此举主要影响那些在个人越狱设备上使用企业账户的用户，强制要求其使用受控的安全设备进行办公，以保障企业数字资产安全。尽管有用户反馈通过调整内存分配器设置可暂时规避检测，但这并非微软认可的安全做法。