הערה
גישה לעמוד זה דורשת אישור. אתה יכול לנסות להיכנס או לשנות תיקיות.
גישה לעמוד זה דורשת אישור. אתה יכול לנסות לשנות מדריכים.
סיסמאות הן השיטה הנפוצה ביותר לאימות משתמשים, אך הן גם הפגיעות ביותר. אנשים להשתמש בסיסמאות חלשות, קלות לנחש ולהשתמש באותם אישורים בשירותים שונים.
כדי לספק רמה נוספת של אבטחה, אימות רב גורמי (המכונה גם MFA, אימות דו-גורמי או 2FA) דורש שיטת אימות שנייה עבור פרטי כניסה של משתמשים המבוססים על:
- משהו שיש למשתמש שלא ניתן לשכפל בקלות. לדוגמה, טלפון חכם.
- משהו ייחודי למשתמש. לדוגמה, טביעת אצבע או תכונות ביומטריות אחרות.
שיטת האימות הנוסף משמשת רק לאחר אימות הסיסמה. גם אם סיסמת משתמש חזקה נחשפת לסכנה, התוקף אינו כולל את הטלפון החכם או טביעות האצבע של המשתמש כדי להשלים את הכניסה.
השיטות הזמינות להפיך MFA לזמין בארגונים של Microsoft 365, כולל Microsoft 365 לעסקים, מתוארות בסעיפים הבאים.
לקבלת הוראות תצורה, ראה הגדרת MFA עבור Microsoft 365.
ברירות מחדל של אבטחה
ברירות מחדל של אבטחה היא קבוצה של פריטי מדיניות שאינם ניתנים להעברה בכל ארגוני Microsoft 365 באמצעות Microsoft Entra ID ללא תשלום.
ברירות המחדל של האבטחה כוללות את תכונות האבטחה הבאות:
- דרוש מכל המשתמשים ומנהלי המערכת להירשם ל- Microsoft Entra אימות רב גורמי (MFA) באמצעות האפליקציה Microsoft Authenticator או כל יישום אימות שאינו של Microsoft התומך ב- OATH TOTP.
- דרוש MFA עבור חשבונות מנהל מערכת בכל כניסה.
- דרוש MFA עבור משתמשים בעת הצורך (לדוגמה, במכשירים חדשים).
- חסום פרוטוקולי אימות מדור קודם (לדוגמה, POP3 ו- IMAP4 ללקוחות דואר אלקטרוני ישנים).
- דרוש MFA עבור משתמשים ומנהלי מערכת המשתמשים בגישה Resource Manager Azure (לדוגמה, פורטל Microsoft Azure).
ברירות המחדל של האבטחה מופעלות או מבוטלות בארגון. לארגונים של Microsoft 365 שנוצרו לאחר אוקטובר 2019 יש ברירות מחדל של אבטחה (לכן, MFA) מופעלות כברירת מחדל, כך שאינך צריך לעשות דבר כדי לאפשר ברירות מחדל של אבטחה או MFA בארגון חדש. עבור ארגונים רבים, ברירות המחדל של האבטחה מציעות רמה טובה של אבטחת כניסה בסיסית.
לקבלת מידע נוסף אודות ברירות מחדל של אבטחה ומדיניות שנאכפת, ראה מדיניות אבטחה שנאכפת ברירות מחדל של אבטחה.
כדי לקבוע את תצורת ברירות המחדל של האבטחה, ראה ניהול ברירות מחדל של אבטחה.
פריטי מדיניות גישה מותנית
לחלופין, מדיניות גישה מותנית זמינה עבור ארגונים בעלי מזהה P1 או P2 המהווים Microsoft Entra אבטחה. הדוגמאות כוללות:
- Microsoft 365 Business Premium (Microsoft Entra ID P1)
- Microsoft 365 E3 (Microsoft Entra ID P1)
- Microsoft 365 E5 (Microsoft Entra ID P2)
- מנוי הרחבה
עצה
לארגונים Microsoft Entra מזהה P2 יש גם גישה הגנה למזהה Microsoft Entra. באפשרותך ליצור מדיניות גישה מותנית כדי לדרוש אימות רב גורמי עבור סיכון כניסה מוגבר. לקבלת מידע נוסף, ראה מהו הגנה למזהה Microsoft Entra?.
אתה יוצר פריטי מדיניות של גישה מותנית המגיבים לאירועי כניסה לפני שהמשתמש מעניק גישה ליישום או לשירות. אם לארגון שלך יש דרישות אבטחה מורכבות או שאתה זקוק לשליטה פרטנית במדיניות אבטחה, באפשרותך להשתמש במדיניות גישה מותנית במקום ברירות מחדל של אבטחה.
חשוב
ארגונים יכולים להשתמש ברירות מחדל של אבטחה או במדיניות גישה מותנית, אך לא בשניהם בו-זמנית. מדיניות גישה מותנית מחייבת ביטול ברירות מחדל של אבטחה, ולכן חשוב ליצור מחדש את פריטי המדיניות מברירת מחדל של אבטחה במדיניות גישה מותנית כ הבסיסי עבור כל המשתמשים.
לקבלת מידע נוסף אודות מדיניות גישה מותנית, ראה מהי גישה מותנית?.
כדי לקבוע תצורה של מדיניות גישה מותנית, ראה ניהול מדיניות גישה מותנית.
MFA מדור קודם לכל משתמש (לא מומלץ)
אם אינך יכול להשתמש ברירות מחדל של אבטחה או בגישה מותנית מסיבות עסקיות, האפשרות האחרונה שלך היא להשתמש ב- MFA מדור קודם עבור חשבונות Microsoft Entra פרטיים. אפשרות זו זמינה עם תוכנית ללא Microsoft Entra ID ללא תשלום. מומלץ מאוד להשתמש ב- MFA עבור חשבונות בעלי תפקידי מנהל מערכת, במיוחד בתפקיד מנהל מערכת כללי.
לקבלת הוראות תצורה, ראה הפיכת אימות רב-גורמי Microsoft Entra לכל משתמש לזמין לאבטחת אירועי כניסה.
חשוב
Microsoft ממליצה להשתמש בתפקידים עם הכי פחות הרשאות. שימוש בחשבונות עם הרשאות נמוכות יותר עוזר לשפר את האבטחה עבור הארגון שלך. מנהל מערכת כללי הוא תפקיד בעל הרשאה גבוהה שאמור להיות מוגבל לתרחישי חירום כאשר אין באפשרותך להשתמש בתפקיד קיים. לקבלת מידע נוסף, ראה אודות תפקידי מנהל מערכת מרכז הניהול של Microsoft 365.
השוואת שיטות MFA
הטבלה הבאה מציגה את התוצאות של הפיכת MFA לזמין עם ברירות מחדל של אבטחה, מדיניות גישה מותנית או הגדרות חשבון לכל משתמש.
| השיטה | פעולת שירות זמינה | פעולת השירות אינה זמינה | שיטות אימות זמינות |
|---|---|---|---|
| ברירות מחדל של אבטחה | אם ברירות המחדל של האבטחה מופעלות, באפשרותך ליצור מדיניות גישה מותנית חדשה, אך לא ניתן להפעיל אותן. | לאחר ביטול ברירות המחדל של האבטחה, באפשרותך להפעיל מדיניות גישה מותנית. | אפליקציית Microsoft Authenticator או כל אפליקציה לאימות שאינה של Microsoft התומכת ב - OATH TOTP. |
| פריטי מדיניות גישה מותנית | אם קיים מדיניות גישה מותנית אחת או יותר בכל מצב (כבוי, מופעל או דוח בלבד), לא תוכל להפעיל ברירות מחדל של אבטחה. | אם אין פריטי מדיניות של גישה מותנית, באפשרותך להפוך ברירות מחדל של אבטחה לזמינות. |
אפליקציית Microsoft Authenticator או כל אפליקציה לאימות שאינה של Microsoft התומכת ב - OATH TOTP. שיטות אימות אחרות עשויות גם להיות זמינות, בהתאם לחוזק האימות שתצורתו נקבעה. |
| MFA מדור קודם לכל משתמש (לא מומלץ) | עקיפת ברירות מחדל של אבטחה ומדיניות גישה מותנית הדורשות MFA בכל כניסה. | מוחלף על-ידי ברירות מחדל של אבטחה או פריטי מדיניות של גישה מותנית | המשתמש צוין במהלך רישום MFA |
השלבים הבאים
מנהלי מערכת:
משתמשים: הגדר את הכניסה של Microsoft 365 עבור אימות רב גורמי ואת סרטון הווידאו הבא:
תוכן קשור
הפעלת אימות רב גורמי (וידאו)
הפעלת אימות רב גורמי עבור הטלפון (וידאו)