Microsoft 365 的多重身份验证
密码是对计算机或联机服务的登录进行身份验证的最常见方法,但它们也是最易受攻击的方法。 用户可选择简单的密码,并对不同计算机和服务的多次登录使用相同密码。
若要为登录提供额外的安全级别,必须使用多重身份验证 (MFA) ,该身份验证使用密码(应为强密码)和基于以下条件的其他验证方法:
- 你拥有的一些不容易复制的内容,例如智能手机。
- 具有独特和生物特征的事物,例如指纹、面部或其他生物特征。
在验证用户密码之前,不会使用其他验证方法。 使用 MFA 时,即使强用户密码遭到入侵,攻击者也无法使用你的智能手机或指纹完成登录。
Microsoft 365 中的 MFA 支持
默认情况下,Microsoft 365 和 Office 365都支持使用 MFA 的用户帐户:
- 发送到手机的短信,要求用户键入验证码。
- 电话联络。
- Microsoft Authenticator 智能手机应用。
在这两种情况下,MFA 登录都使用“你拥有且不容易复制的内容”方法来进行其他验证。 可通过多种方式为 Microsoft 365 启用 MFA 并Office 365:
- 使用安全性默认值
- 使用条件访问策略
- 对于每个单独的用户帐户(不推荐)
这些方法基于 Microsoft 365 计划。
| 计划 | 建议 | 客户类型 |
|---|---|---|
| 所有 Microsoft 365 计划 | 使用安全性默认值,这要求对所有用户帐户进行 MFA。 还可以在单个用户帐户上配置每用户 MFA,但不建议这样做。 |
小型企业 |
| Microsoft 365 商业高级版 Microsoft 365 E3 Microsoft Entra ID P1 许可证 |
使用 安全默认值或条件访问策略 ,根据组成员身份、应用或其他条件要求对用户帐户进行 MFA。 | 小型企业到大型企业 |
| Microsoft 365 E5 Microsoft Entra ID P2 许可证 |
使用 Microsoft Entra ID 保护 要求基于登录风险条件的 MFA。 | 企业版 |
安全性默认值
安全性默认值是在 2019 年 10 月 21 日之后创建的 Microsoft 365 和 Office 365 付费或试用版订阅的一项新功能。 这些订阅启用了安全性默认值,后者:
- 要求所有用户对 Microsoft Authenticator 应用使用 MFA。
- 阻止旧式身份验证。
用户有 14 天的时间从其智能手机中通过 Microsoft Authenticator 应用登录 MFA,自启用安全性默认值后首次登录起计。 14 天后,除非 MFA 注册完成,否则用户将无法登录。
安全性默认值可确保所有组织均对默认启用的用户登录具有基本的安全级别。 可以使用条件访问策略禁用安全默认值,以支持 MFA。
在“属性”窗格中为Azure 门户Microsoft Entra ID 启用或禁用安全默认值。
可以将安全默认值用于任何 Microsoft 365 计划。
有关详细信息,请参阅此安全性默认值概述。
条件访问策略
条件访问策略是一组规则,指定评估和允许登录的条件。 例如,你可以创建一个条件访问策略,指明:
- 如果用户帐户名是分配了 Exchange、用户、密码、安全性、SharePoint 或全局管理员角色的用户组的成员,则需要先进行 MFA,然后才能允许访问。
通过此策略,当为用户分配或取消分配了上述管理员角色时,你可以根据其组成员身份要求进行 MFA,而不是针对单个用户帐户进行 MFA 配置。
还可以将条件访问策略用于更高级的功能,例如要求对特定应用进行 MFA,或者从合规设备(例如运行Windows 10的笔记本电脑)登录。
从“安全性”窗格中为Azure 门户中的Microsoft Entra ID 配置条件访问策略。
可以将条件访问策略用于:
- Microsoft 365 商业高级版
- Microsoft 365 E3 和 E5
- Microsoft Entra ID P1 和 Microsoft Entra ID P2 许可证
对于具有 Microsoft 365 商业高级版的小型企业,可通过以下步骤轻松使用条件访问策略:
- 创建一个组以包含需要 MFA 的用户帐户。
- 启用“要求对全局管理员执行 MFA”策略。
- 使用以下设置创建基于组的条件访问策略:
- >分配用户和组:上述步骤 1 中的组名称。
- >分配云应用或操作:所有云应用。
- 访问控制 > 授予 > 访问权限 > 需要多重身份验证。
- 启用策略。
- 将用户帐户添加到在上述步骤 1 中创建的组并进行测试。
- 若要要求对其他用户帐户进行 MFA,请将它们添加到步骤 1 中创建的组。
使用此条件访问策略,可以按照自己的节奏向用户推广 MFA 要求。
企业应使用常用条件访问策略配置以下策略:
有关详细信息,请参阅此条件访问概述。
Microsoft Entra ID 保护
使用 Microsoft Entra ID 保护,可以创建额外的条件访问策略,以在登录风险中等或较高时要求 MFA。
可以将基于Microsoft Entra ID 保护和基于风险的条件访问策略用于:
- Microsoft 365 E5
- Microsoft Entra ID P2 许可证
有关详细信息,请参阅此Microsoft Entra ID 保护概述。
旧版每个用户 MFA(不推荐)
应使用安全默认值或条件访问策略来要求对用户帐户登录进行 MFA。但是,如果其中任何一个都无法使用,Microsoft 强烈建议对具有管理员角色(尤其是全局管理员角色)的用户帐户使用 MFA,以用于任何大小的订阅。
可以从Microsoft 365 管理中心的“活动用户”窗格中为单个用户帐户启用 MFA。
启用后,用户下次登录时,系统会提示他们注册 MFA,并选择并测试其他验证方法。
结合使用这些方法
下表显示了通过安全性默认值、条件访问策略和每用户帐户设置启用 MFA 的结果。
| 项目 | 已启用 | Disabled | 辅助身份验证方法 |
|---|---|---|---|
| 安全性默认值 | 无法使用条件访问策略 | 可以使用条件访问策略 | Microsoft Authenticator 应用 |
| 条件访问策略 | 如果启用了任何选项,则无法启用安全默认值 | 如果已禁用所有条件访问策略,则可以启用安全性默认值 | 由用户在 MFA 注册期间指定 |
| 旧版每个用户 MFA(不推荐) | 重写每次登录时需要 MFA 的安全默认值和条件访问策略 | 被安全默认值和条件访问策略覆盖 | 由用户在 MFA 注册期间指定 |
如果启用了安全性默认值,则在所有新用户下次登录时,系统将提示他们进行 MFA 注册并使用 Microsoft Authenticator 应用。
管理 MFA 设置的方法
可通过两种方法管理 MFA 设置。
在Azure 门户中,可以:
- 启用和禁用安全默认值
- 配置条件访问策略
在Microsoft 365 管理中心中,可以配置每个用户和服务 MFA 设置。
后续步骤
相关内容
(视频) 启用多重身份验证
为手机开启多重身份验证(视频)