微软新安全功能误判导致全球性账户锁定事件

最新进展（2025年4月21日）：微软向客户发布通告，确认此次告警及账户锁定事件源于系统错误记录并注销了用户刷新令牌。详见微软官方说明。

全球范围内大量Windows系统管理员报告，微软Entra ID（原Azure Active Directory）新部署的"MACE泄露凭证检测"功能出现大规模误判，导致大量账户被错误锁定。这些锁定事件始于昨日下午，多位管理员指出，被锁定账户均使用唯一密码且设置了多重验证（MFA），不存在实际泄露风险。

事件影响范围

作为微软云端身份与访问管理服务的核心组件，Entra ID为全球企业提供统一的身份认证服务。今日凌晨Reddit论坛上涌现大量管理员报告：

• 单个企业平均30%账户突遭锁定
• 某MSP服务商透露其1/3客户账户受影响
• 某MDR安全厂商一夜收到超2万条泄露凭证告警

被锁定账户均未出现异常登录迹象，且经Have I Been Pwned等泄密检测服务验证，相关凭证均未出现在暗网或其他泄露渠道中。

事件根源调查

微软内部工程师向受影响企业确认，此次事件源于新企业应用"MACE凭证撤销服务"的静默部署问题。该功能本用于自动检测并锁定可能存在凭证泄露风险的账户。

一位管理员在Reddit透露："工程师确认这是MACE服务部署引发的租户锁定，错误代码53003与条件访问策略相关。虽然需要1小时转换工单类型，但至少确认不是真实入侵。"

多名技术人员证实，在收到告警前，相关应用已被自动添加至租户环境。

应对建议

虽然所有凭证泄露告警都应严肃调查，但若企业突然集中出现大量告警，极可能与此部署事件相关。建议采取以下措施：

1. 通过微软Entra管理门户审核近期告警
2. 检查租户中新出现的"MACE凭证撤销服务"应用
3. 与微软支持团队确认受影响账户状态

截至发稿，微软尚未就此事发表公开声明。本文将持续关注事件发展，及时更新最新动态。

企业用户可通过查看错误代码53003及相关条件访问策略日志，快速识别是否受此事件影响。

来源：https://www.bleepingcomputer.com/news/microsoft/widespread-microsoft-entra-lockouts-tied-to-new-security-feature-rollout/