Multifaktorgodkendelse for Microsoft 365

Adgangskoder er den mest almindelige metode til godkendelse af et logon til en computer eller onlinetjeneste, men de er også de mest sårbare. Mennesker kan vælge nemme adgangskoder og bruge de samme adgangskoder til flere logons på forskellige computere og tjenester.

Hvis du vil give et ekstra sikkerhedsniveau for logon, skal du bruge multifaktorgodkendelse (MFA), som bruger både en adgangskode, som skal være stærk, og en yderligere kontrolmetode, der er baseret på:

  • Noget, du har med dig, der ikke let duplikeres, f.eks. en smartphone.
  • Noget, du unikt og biologisk har, f.eks. dine fingeraftryk, dit ansigt eller andre biometriske egenskaber.

Den ekstra bekræftelsesmetode anvendes først, når brugerens adgangskode er blevet bekræftet. Med MFA har hackeren ikke din smartphone eller dit fingeraftryk til at fuldføre logon, selvom en stærk brugeradgangskode kompromitteres.

MFA-understøttelse i Microsoft 365

Som standard understøtter både Microsoft 365 og Office 365 MFA for brugerkonti ved hjælp af:

  • En sms, der sendes til en telefon, som kræver, at brugeren skriver en bekræftelseskode.
  • Et telefonopkald.
  • Smarttelefonappen Microsoft Godkender.

I begge tilfælde bruger MFA-logon metoden "noget, du har med dig, der ikke let duplikeres" til den ekstra bekræftelse. Du kan aktivere MFA på flere måder for Microsoft 365 og Office 365:

  • Med sikkerhedsstandarder
  • Med politikker for betinget adgang
  • For hver enkelt brugerkonto (anbefales ikke)

Disse måder er baseret på din Microsoft 365-plan.

Plan Anbefaling Kundetype
Alle Microsoft 365-planer Brug sikkerhedsstandarder, som kræver MFA for alle brugerkonti.

Du kan også konfigurere MFA pr. bruger for individuelle brugerkonti, men det anbefales ikke.

Mindre virksomheder
Microsoft 365 Business Premium

Microsoft 365 E3

Premium P1-licenser (Azure AD) Azure Active Directory

Brug sikkerhedsstandarder eller politikker for betinget adgang til at kræve MFA for brugerkonti, der er baseret på gruppemedlemskab, apps eller andre kriterier. Små virksomheder til virksomheder
Microsoft 365 E5

Azure AD Premium P2-licenser

Brug Azure AD Identity Protection til at kræve MFA baseret på kriterier for logonrisiko. Enterprise

Sikkerhedsstandarder

Sikkerhedsstandarder er en ny funktion til Microsoft 365 og Office 365 betalte abonnementer eller prøveabonnementer, der er oprettet efter den 21. oktober 2019. Disse abonnementer har sikkerhedsstandarder slået til, som:

  • Kræver, at alle dine brugere bruger MFA sammen med appen Microsoft Authenticator.
  • Blokerer ældre godkendelse.

Brugerne har 14 dage til at tilmelde sig MFA med appen Microsoft Authenticator fra deres smartphones, hvilket starter fra første gang, de logger på, efter at sikkerhedsstandarderne er blevet aktiveret. Efter 14 dage er gået, kan brugeren ikke logge på, før MFA-registreringen er fuldført.

Sikkerhedsstandarder sikrer, at alle organisationer har et grundlæggende sikkerhedsniveau for brugerlogon, der er aktiveret som standard. Du kan deaktivere sikkerhedsstandarder til fordel for MFA med politikker for betinget adgang.

Du aktiverer eller deaktiverer sikkerhedsstandarder i ruden Egenskaber for Azure AD i Azure Portal.

Billede af siden Med mappeegenskaber.

Du kan bruge sikkerhedsstandarder med en hvilken som helst Microsoft 365-plan.

Du kan få flere oplysninger i denne oversigt over sikkerhedsstandarder.

Politikker for betinget adgang

Politikker for betinget adgang er et sæt regler, der angiver de betingelser, under hvilke logon evalueres og tillades. Du kan f.eks. oprette en politik for betinget adgang, der angiver:

  • Hvis brugerkontonavnet er medlem af en gruppe for brugere, der har fået tildelt rollerne Exchange, bruger, adgangskode, sikkerhed, SharePoint eller global administrator, skal du bruge MFA, før du tillader adgang.

Denne politik giver dig mulighed for at kræve MFA baseret på gruppemedlemskab i stedet for at forsøge at konfigurere individuelle brugerkonti til MFA, når de er tildelt eller ikke er tildelt fra disse administratorroller.

Du kan også bruge politikker for betinget adgang til mere avancerede funktioner, f.eks. kræve MFA for bestemte apps, eller at logon udføres fra en kompatibel enhed, f.eks. din bærbare computer, der kører Windows 10.

Du kan konfigurere politikker for betinget adgang fra ruden Sikkerhed for Azure AD i Azure Portal.

Billede af menuindstillingen Betinget adgang.

Du kan bruge politikker for betinget adgang med:

  • Microsoft 365 Business Premium
  • Microsoft 365 E3 og E5
  • Azure AD Premium P1- og Azure AD Premium P2-licenser

For små virksomheder med Microsoft 365 Business Premium kan du nemt bruge politikker for betinget adgang ved hjælp af følgende trin:

  1. Opret en gruppe, der indeholder de brugerkonti, der kræver MFA.
  2. Aktivér politikken Kræv MFA for globale administratorer .
  3. Opret en gruppebaseret politik for betinget adgang med disse indstillinger:
    • Tildelinger > Brugere og grupper: Navnet på din gruppe fra trin 1 ovenfor.
    • Tildelinger Cloudapps eller -handlinger: Alle cloudapps > .
    • Adgangskontrolelementer > Tildel > adgang > Kræv multifaktorgodkendelse.
  4. Aktivér politikken.
  5. Føj en brugerkonto til den gruppe, der er oprettet i trin 1 ovenfor, og test.
  6. Hvis du vil kræve MFA for yderligere brugerkonti, skal du føje dem til den gruppe, der blev oprettet i trin 1.

Denne politik for betinget adgang giver dig mulighed for at udrulle MFA-kravet til dine brugere i dit eget tempo.

Virksomheder skal bruge almindelige politikker for betinget adgang til at konfigurere følgende politikker:

Du kan få flere oplysninger i denne oversigt over betinget adgang.

Azure AD Identity Protection

Med Azure AD identitetsbeskyttelse kan du oprette en yderligere politik for betinget adgang for at kræve MFA, når logonrisikoen er mellem eller høj.

Du kan bruge Azure AD identitetsbeskyttelse og risikobaserede politikker for betinget adgang med:

  • Microsoft 365 E5
  • Azure AD Premium P2-licenser

Du kan få flere oplysninger i denne oversigt over Azure AD Identity Protection.

Du skal bruge enten sikkerhedsstandarder eller politikker for betinget adgang for at kræve MFA for logon til din brugerkonto. Men hvis en af disse ikke kan bruges, anbefaler Microsoft på det kraftigste MFA for brugerkonti, der har administratorroller, især den globale administratorrolle, for alle størrelsesabonnementer.

Du aktiverer MFA for individuelle brugerkonti fra ruden Aktive brugere i Microsoft 365 Administration.

Billede af indstillingen Multifaktorgodkendelse på siden Aktive brugere.

Når brugeren er blevet aktiveret, bliver vedkommende bedt om at tilmelde sig MFA, næste gang vedkommende logger på, og om at vælge og teste den ekstra bekræftelsesmetode.

Brug af disse metoder sammen

I denne tabel vises resultaterne af aktivering af MFA med sikkerhedsstandarder, politikker for betinget adgang og kontoindstillinger pr. brugerkonto.

Element Aktiveret Deaktiveret Sekundær godkendelsesmetode
Sikkerhedsstandarder Politikker for betinget adgang kan ikke bruges Kan bruge politikker for betinget adgang appen Microsoft godkender
Politikker for betinget adgang Hvis nogen er aktiveret, kan du ikke aktivere sikkerhedsstandarder Hvis alle er deaktiveret, kan du aktivere sikkerhedsstandarder Brugerdefineret under MFA-registrering
Ældre MFA pr. bruger (anbefales ikke) Tilsidesætter sikkerhedsstandarder og politikker for betinget adgang, der kræver MFA ved hvert logon Tilsidesat af sikkerhedsstandarder og politikker for betinget adgang Brugerdefineret under MFA-registrering

Hvis sikkerhedsstandarder er aktiveret, bliver alle nye brugere bedt om at angive MFA-registrering og brugen af appen Microsoft Authenticator ved næste logon.

Måder at administrere MFA-indstillinger på

Der er to måder at administrere MFA-indstillinger på.

I Azure Portal kan du:

  • Aktivér og deaktiver sikkerhedsstandarder
  • Konfigurer politikker for betinget adgang

I Microsoft 365 Administration kan du konfigurere MFA-indstillinger pr. bruger og tjeneste.

Næste trin

Konfigurer MFA for Microsoft 365

Aktivér multifaktorgodkendelse (video)
Slå multifaktorgodkendelse til for din telefon (video)