Konfigurere godkjenning med flere faktorer for Microsoft 365

Ta en titt på alt innholdet vårt for små bedrifter i Hjelp og læring for små bedrifter.

Sjekk ut Microsoft 365-hjelp for små bedrifter på YouTube.

Godkjenning med flere faktorer (også kjent som MFA, godkjenning med to faktorer eller 2FA) krever en annen bekreftelsesmetode for brukerpålogginger og forbedrer kontosikkerheten.

Denne artikkelen inneholder instruksjoner for hvordan du konfigurerer MFA ved hjelp av de tilgjengelige alternativene:

• Sikkerhetsstandarder: Tilgjengelig i alle Microsoft 365-organisasjoner via Microsoft Entra ID gratis.
• Policyer for betinget tilgang: Tilgjengelig i Microsoft 365-organisasjoner med Microsoft Entra ID P1 eller P2.
• Eldre brukerspesifikke MFA (anbefales ikke): Tilgjengelig i alle Microsoft 365-organisasjoner via Microsoft Entra ID Gratis.

Hvis du vil ha informasjon om de ulike alternativene for MFA i Microsoft 365, kan du se Godkjenning med flere faktorer i Microsoft 365

Hva må du vite før du begynner?

• Du må være tilordnet tillatelser før du kan utføre prosedyrene i denne artikkelen. Du har følgende alternativer:

  • Microsoft Entra tillatelser:

    • Aktiver eller deaktiver sikkerhetsstandarder: Medlemskap i rollene som global administrator^* eller sikkerhetsadministrator .
    • Opprett og administrer policyer for betinget tilgang: Medlemskap i rollene som global administrator^* eller administrator for betinget tilgang .

    Viktig

    ^* Microsoft anbefaler at du bruker roller med færrest tillatelser. Bruk av kontoer med lavere tillatelser bidrar til å forbedre sikkerheten for organisasjonen. Global administrator er en svært privilegert rolle som bør begrenses til nødscenarioer når du ikke kan bruke en eksisterende rolle.

• Hvis du vil bruke sikkerhetsstandarder eller betinget tilgang, må du deaktivere eldre MFA per bruker for brukere i organisasjonen. Det er sannsynligvis ikke aktivert for brukere i organisasjoner som er opprettet etter 2019. Hvis du vil ha instruksjoner, kan du se Aktivere brukerspesifikk Microsoft Entra godkjenning med flere faktorer for å sikre påloggingshendelser.

• Avansert: Hvis du har katalogtjenester som ikke er fra Microsoft med Active Directory Federation Services (AD FS) (konfigurert før juli 2019), konfigurerer du Azure MFA-serveren. Hvis du vil ha mer informasjon, kan du se Avanserte scenarioer med Microsoft Entra godkjenning med flere faktorer og ikke-Microsoft VPN-løsninger.

Administrere sikkerhetsstandarder

Microsoft 365-organisasjoner som er opprettet etter oktober 2019, har sikkerhetsstandarder aktivert som standard. Hvis du vil se eller endre gjeldende status for sikkerhetsstandarder i organisasjonen, gjør du følgende:

1. Gå til Identitetsoversikt> i Microsoft Entra administrasjonssenter på .https://entra.microsoft.com Du kan også gå direkte til oversiktssiden ved å bruke https://entra.microsoft.com/#view/Microsoft_AAD_IAM/TenantOverview.ReactView.

2. Velg Egenskaper-fanen på oversiktssiden, og gå til standarddelen Sikkerhet nederst på fanen.

   Avhengig av gjeldende status for sikkerhetsstandarder, er én av følgende opplevelser tilgjengelig:

   • Sikkerhetsstandarder er aktivert: Følgende tekst vises, og Administrer sikkerhetsstandarder er tilgjengelig:

     Organisasjonen er beskyttet av sikkerhetsstandarder.

   • Én eller flere policyer for betinget tilgang finnes i Microsoft Entra ID P1 eller P2: Følgende tekst vises, og Administrer sikkerhetsstandarder er ikke tilgjengelige:

     Organisasjonen bruker for øyeblikket policyer for betinget tilgang som hindrer deg i å aktivere sikkerhetsstandarder. Du kan bruke betinget tilgang til å konfigurere egendefinerte policyer som aktiverer den samme virkemåten som leveres av sikkerhetsstandarder.

     Administrer betinget tilgang tar deg til Policyer-siden for https://entra.microsoft.com/#view/Microsoft_AAD_ConditionalAccess/PoliciesList.ReactView å behandle policyer for betinget tilgang. Hvis du vil bytte mellom sikkerhetsstandarder og policyer for betinget tilgang, kan du se delen Gå tilbake til sikkerhetsstandarder fra policyer for betinget tilgang i denne artikkelen.

   • Sikkerhetsstandarder er deaktivert: Følgende tekst vises, og Administrer sikkerhetsstandarder er tilgjengelig:

     Organisasjonen er ikke beskyttet av sikkerhetsstandarder.

3. Hvis Administrer sikkerhetsstandarder er tilgjengelige, velger du den for å aktivere eller deaktivere sikkerhetsstandarder:

   Gjør ett av følgende i undermenyen Sikkerhetsstandarder som åpnes:

   • Slå på sikkerhetsstandarder: Velg Aktivert i rullegardinlisten Sikkerhetsstandarder, og velg deretter Lagre.

   • Deaktiver sikkerhetsstandarder: Velg Deaktivert i rullegardinlisten Sikkerhetsstandarder. Velg Min organisasjon planlegger å bruke betinget tilgang under Årsak til deaktivering.

     Når du er ferdig i undermenyen Sikkerhetsstandarder , velger du Lagre

   Viktig

   Vi anbefaler ikke å deaktivere sikkerhetsstandarder med mindre du bytter til policyer for betinget tilgang i Microsoft Entra ID P1 eller P2.

Behandle policyer for betinget tilgang

Hvis Microsoft 365-organisasjonen inkluderer Microsoft Entra ID P1 eller nyere, kan du bruke betinget tilgang i stedet for sikkerhetsstandarder for en høyere sikkerhetsstilling og mer detaljert kontroll. Eksempel:

• Microsoft 365 Business Premium (Microsoft Entra ID P1)
• Microsoft 365 E3 (Microsoft Entra ID P1)
• Microsoft 365 E5 (Microsoft Entra ID P2)
• Et tilleggsabonnement

Hvis du vil ha mer informasjon, kan du se Planlegge distribusjon av betinget tilgang.

Hvis du bytter fra sikkerhetsstandarder til policyer for betinget tilgang, kreves følgende grunnleggende trinn:

1. Deaktiver sikkerhetsstandarder.
2. Opprett policyer for betinget tilgang for opprinnelig plan for å opprette sikkerhetspolicyene på nytt i sikkerhetsstandarder.
3. Juster MFA-utelatelser.
4. Opprett nye policyer for betinget tilgang.

Tips

Hvis sikkerhetsstandarder er aktivert, kan du opprette nye policyer for betinget tilgang, men du kan ikke aktivere dem. Når du har slått av sikkerhetsstandarder, kan du aktivere policyer for betinget tilgang.

Trinn 1: Slå av sikkerhetsstandarder

Sikkerhetsstandarder og policyer for betinget tilgang kan ikke aktiveres samtidig, så det første du må gjøre er å slå av sikkerhetsstandarder.

Hvis du vil ha instruksjoner, kan du se den forrige delen Om standardinnstillinger for behandling av sikkerhet i denne artikkelen.

Trinn 2: Opprett policyer for betinget tilgang for opprinnelig plan for å opprette policyene i sikkerhetsstandarder på nytt

Policyene i sikkerhetsstandarder er Den Microsoft-anbefalte grunnlinjen for alle organisasjoner, så det er viktig å opprette disse policyene på nytt i betinget tilgang før du oppretter andre policyer for betinget tilgang.

Følgende maler i betinget tilgang oppretter policyene i sikkerhetsstandarder på nytt:

• Krev MFA for alle brukere
• Krev MFA for administratorer^*
• Blokker eldre godkjenning
• Krev MFA for Azure-administrasjon

^*Du kan forbedre sikkerhetsstillingen ved å bruke Krev phishing-resistent MFA for administratorer i stedet.

Gjør følgende for å opprette policyer for betinget tilgang ved hjelp av disse malene:

1. Gå til betinget tilgang i Microsoft Entra administrasjonssenter | Policyer-siden på https://entra.microsoft.com/#view/Microsoft_AAD_ConditionalAccess/ConditionalAccessBlade/~/Policies.

2. På betinget tilgang | Policyer-siden, velg Ny policy fra mal.

3. Kontroller at Velg en mal-fanen er valgt på siden Ny policy fra mal. Kontroller at fanen Sikker grunnmur er valgt på fanen Velg en mal.

4. Velg én av de nødvendige malene (for eksempel Krev godkjenning med flere faktorer for alle brukere) på Sikker grunnmur-fanen, og velg deretter Se gjennom + Opprett.

   Tips

   Hvis du vil finne og velge krev phishing-resistent godkjenning med flere faktorer for administratormalen, bruker du søkeboksen.

5. Vis eller konfigurer følgende innstillinger på Se gjennom + Opprett-fanen :

   • Grunnleggende inndeling:
     • Policynavn: Godta standardnavnet eller tilpass det.
     • Policytilstand: Velg på
   • Tildelinger-delen: Legg merke til at verdien for utelatte brukere er Gjeldende bruker, i inndelingen Brukere og grupper, og du kan ikke endre den. Bare nødtilgangskontoer bør utelukkes fra MFA-krav. Hvis du vil ha mer informasjon, kan du se neste trinn.

   Når du er ferdig på Se gjennom + Opprett-fanen , velger du Opprett.

   Policyen du opprettet, vises på betinget tilgang | Policyer-siden .

6. Gjenta de forrige trinnene for de gjenværende malene.

Trinn 3: Juster MFA-utelukkelser

Policyene for betinget tilgang som du opprettet i forrige trinn, inneholder som standard utelatelser for kontoen du var logget på som, og du kan ikke endre utelatelser under oppretting av policy.

Vi anbefaler minst to administratorkontoer for nødtilgang i hver organisasjon som ikke er tilordnet til bestemte personer, og som bare brukes i nødstilfeller. Disse kontoene må utelukkes fra MFA-krav.

Du må kanskje fjerne de gjeldende kontoutelukkelsene og/eller legge til utelukkelser for nødtilgangskonto i følgende policyer:

• Krev MFA for alle brukere
• Krev MFA for administratorer eller krev phishing-resistent MFA for administratorer
• Krev MFA for Azure-administrasjon

Før du oppretter egendefinerte policyer for betinget tilgang, må du opprette kontoene for nødtilgang og deretter bruke følgende fremgangsmåte til å justere utelukkelsene for MFA-relaterte policyer:

1. På betinget tilgang | Policyer-siden på https://entra.microsoft.com/#view/Microsoft_AAD_ConditionalAccess/ConditionalAccessBlade/~/Policiesvelger du en av de MFA-relaterte policyene som du opprettet i forrige trinn (for eksempel Krev godkjenning med flere faktorer for Azure-administrasjon).

2. På siden for policydetaljer som åpnes, velger du Alle brukere som er inkludert, og bestemte brukere er ekskluderti delenBrukere av tildelinger>.

3. Velg Utelat-fanen i informasjonen som vises.

4. Følgende innstillinger er konfigurert på Utelat-fanen :

   • Velg brukere og grupper som skal unntas fra policyen: Verdien Brukere og grupper er valgt.
   • Velg utelatte brukere og grupper: Verdien 1 brukeren vises, og brukerkontoen som ble brukt til å opprette policyen, vises.

     • Hvis du vil fjerne gjeldende konto fra listen over utelatte brukere, velger du >Fjern.

       Verdien endres til 0 brukere og grupper som er valgt , og advarselsteksten Merk minst én bruker eller gruppe vises.

     • Hvis du vil legge til nødtilgangskontoer i listen over ekskluderte brukere, velger du 0 brukere og grupper som er valgt. Finn og velg nødtilgangskontoene som skal utelates, i undermenyen Velg ekskluderte brukere og grupper som åpnes. De valgte brukerne vises i valgt rute. Når du er ferdig, velger du Velg.

       Velg Lagre på siden for policydetaljer igjen.

5. Gjenta de forrige trinnene for de gjenværende MFA-relaterte policyene.

Tips

Policyen for blokker eldre godkjenning trenger sannsynligvis ingen unntak, slik at du kan bruke de forrige trinnene til å fjerne den eksisterende utelukkelsen. Bare fjern merket for Brukere og grupper i trinn 4.

Hvis du vil ha mer informasjon om brukerutelukkelser i policyer for betinget tilgang, kan du se Brukerutelukkelser.

Trinn 4: Opprette mew-policyer for betinget tilgang

Nå kan du opprette policyer for betinget tilgang som oppfyller forretningsbehovene dine. Hvis du vil ha mer informasjon, kan du se Planlegge distribusjon av betinget tilgang.

Gå tilbake til sikkerhetsstandarder fra policyer for betinget tilgang

Sikkerhetsstandarder deaktiveres når du bruker policyer for betinget tilgang. Hvis én eller flere policyer for betinget tilgang finnes i en hvilken som helst tilstand (bareav, på eller rapport), kan du ikke aktivere sikkerhetsstandarder. Du må slette alle eksisterende policyer for betinget tilgang før du kan aktivere sikkerhetsstandarder.

Forsiktig!

Før du sletter policyer for betinget tilgang, må du registrere innstillingene.

Bruk følgende fremgangsmåte for å slette policyer for betinget tilgang:

1. På betinget tilgang | Policyer-siden på https://entra.microsoft.com/#view/Microsoft_AAD_ConditionalAccess/ConditionalAccessBlade/~/Policiesvelger du policyen du vil slette.
2. Velg Slett øverst på siden på detaljsiden som åpnes.
3. Velg Ja i dialogboksen Er du sikker? som åpnes.

Når du sletter alle policyer for betinget tilgang, kan du aktivere sikkerhetsstandarder som beskrevet i Administrere sikkerhetsstandarder.

Administrer eldre MFA per bruker

Vi anbefaler på det sterkeste å bruke sikkerhetsstandarder eller betinget tilgang for MFA i Microsoft 365. Hvis du ikke kan, er det siste alternativet MFA for individuelle Microsoft Entra ID kontoer via Microsoft Entra ID gratis.

Hvis du vil ha instruksjoner, kan du se Aktivere brukerspesifikk Microsoft Entra godkjenning med flere faktorer for å sikre påloggingshendelser.

Neste trinn

• Administratorer: Admin kontosikkerhet i Microsoft 365 for bedrifter

• Brukere:

  • Hva er godkjenning med flere faktorer
  • Pålogging etter registrering
  • Endre hvordan du gjør ytterligere bekreftelse
  • Konfigurer Microsoft 365-påloggingen for godkjenning med flere faktorer og følgende video:

Beslektet innhold

Konfigurere godkjenning med flere faktorer (video)

Slå på godkjenning med flere faktorer for telefonen (artikkel)

Godkjenning med flere faktorer for Microsoft 365 (artikkel)