如何：配置多重身份验证注册策略

Microsoft 通过将 Microsoft Entra ID 保护策略配置为要求 MFA 注册（无论你登录哪种新式身份验证应用），来帮助你管理多重身份验证 (MFA) 的部署。 多重身份验证是要求使用多种方式（而不仅仅是用户名和密码）对你的身份进行验证的一种方法。 它为用户登录提供了附加的安全层。为了让用户能够响应 MFA 提示，必须要求用户首先注册身份验证方法，例如 Microsoft Authenticator 应用。

我们建议你对所有用户登录都要求多重身份验证。根据我们的调查，如果使用 MFA，帐户遭到入侵的可能性将降低 99.9% 以上。

有关详细信息，请参阅通用条件访问策略：要求对所有用户执行 MFA 一文。

策略配置

1. 至少以安全管理员身份登录到 Microsoft Entra 管理中心。
2. 浏览到“保护”>“标识保护”>“多重身份验证注册策略”。
   1. 在“分配”>“用户”下。
      1. 在“包含”下，选择“所有用户”，或者如果要限制推出，则“选择个人和组”。
      2. 在“排除”下选择“用户和组”，然后选择组织的紧急访问帐户或不受限帐户。
3. 将“策略强制实施”设置为“启用”。
4. 选择“保存”。

用户体验

Microsoft Entra ID 保护将在用户下次以交互方式登录时提示他们进行注册，并且他们将有 14 天的时间完成注册。 在此 14 天内，如果 MFA 不是必要条件，他们可以绕过注册，但在此期间结束时，他们需要注册，然后才能完成登录过程。

如需相关用户体验的概述，请参阅：

• Microsoft Entra ID 保护的用户体验。

相关内容

• 启用登录和用户风险策略
• 启用 Microsoft Entra 自助式密码重置
• 启用 Microsoft Entra 多重身份验证