在 Microsoft 365 Lighthouse 中管理多重身份验证

Microsoft 365 Lighthouse 允许跨所有租户管理多重身份验证 (MFA) 设置。 多重身份验证页提供了有关 MFA 启用状态的详细信息,以及针对特定用户执行操作的能力。

对于中小型企业 (SMB) 客户,Microsoft 建议至少启用 安全默认值 。 对于更复杂的方案,可以使用 条件访问 来配置特定策略。

注意

此页提供有关数据可用性受限的租户的见解。

开始之前

客户租户必须在 Microsoft 365 Lighthouse 中处于活动状态。 若要确定租户是否处于活动状态,请参阅 Microsoft 365 Lighthouse 租户列表概述

通知未注册 MFA 的用户

  1. Lighthouse 的左侧导航窗格中,选择 “用户>多重身份验证”。

  2. 选择包含要通知的用户 () 的租户。

  3. 选择 “未注册 MFA 的用户”选项卡。

  4. 选择包含要通知的用户 () 的租户。

  5. 选择“ 创建电子邮件”。

    默认电子邮件应用程序创建发送给每个选定用户的示例电子邮件。

  6. 根据需要编辑通知电子邮件。

  7. 发送电子邮件。

提示

选择 “管理员”、“ 来宾”“成员” 计数以按类型筛选列表。 如果列表中的任何用户帐户是不需要 MFA 的紧急访问或服务帐户,请选择这些用户帐户,然后选择“ 排除用户”。 排除的用户帐户将不再显示在未注册 MFA 的用户列表中。

注意

Lighthouse 会打开默认电子邮件客户端,并使用注册 MFA 的说明预填充电子邮件。 所有选定的用户都将包含在密件抄送行中。 如果希望单独向用户发送电子邮件,可以选择用户名旁边的电子邮件图标。

如果要使用不同的电子邮件帐户,可以将用户列表导出到文件。 还可以下载示例电子邮件模板,可以使用公司品牌进行自定义。

从 MFA 注册中排除用户

  1. Lighthouse 的左侧导航窗格中,选择 “用户 > 多重身份验证”。

  2. 选择包含要排除的用户 () 的租户。

  3. 选择 “未注册 MFA 的用户”选项卡。

  4. 选择要排除的用户 () 。

  5. 选择 “排除用户”。

  6. “排除用户 ”窗格中,选择“ 保存更改 ”,将更改保存在 Lighthouse 和租户中。

注意

确保 Microsoft 365 Lighthouse - MFA 排除 安全组已从需要 MFA 的租户条件访问策略和 Lighthouse 租户部署计划中适用的部署任务中排除。

阻止未注册 MFA 的用户登录

  1. Lighthouse 的左侧导航窗格中,选择 “用户>多重身份验证”。
  2. 选择包含要阻止的用户 () 的租户。
  3. 选择 “未注册 MFA 的用户”选项卡。
  4. 选择要阻止的用户 () 。
  5. 选择 “阻止登录”。
  6. “管理登录状态 ”窗格中,选择“ 阻止用户登录”。
  7. 选择“保存”

注意

确保如果任何共享邮箱帐户或非活动用户帐户出现在未注册 MFA 的用户列表中,建议阻止这些帐户登录以将其从列表中删除。

阻止用户会阻止任何人以此用户身份登录,当你认为其密码或用户名可能泄露时,这是一个好主意。 阻止用户会立即停止该帐户的任何新登录。 如果帐户已登录,帐户将在 60 分钟内从所有 Microsoft 服务自动注销。 这不会阻止帐户接收邮件,也不会删除任何帐户数据。

从“排除的用户组”中删除用户

  1. Lighthouse 的左侧导航窗格中,选择 “用户>多重身份验证”。
  2. 选择包含要删除的用户 () 的租户。
  3. 选择 “排除用户 ”选项卡。
  4. 选择要删除的用户 () 。
  5. 选择“ 删除”。
  6. 在确认消息中,选择“ 删除”。

注意

Lighthouse 中列出的排除用户将反映 Microsoft 365 Lighthouse - MFA 排除 安全组的当前成员身份,但不会确认该组是否已从需要 MFA 的租户条件访问策略或从 Lighthouse 租户部署计划中适用的部署任务中排除。

后续步骤

启用 MFA 后,可以启用 Microsoft Entra 自助式密码重置 (SSPR) 。 SSPR 允许用户更改或重置密码,而无需管理员或技术支持人员参与。 有关详细信息,请参阅 在 Microsoft 365 Lighthouse 中管理自助密码重置

Lighthouse (文章) 中的多重身份验证概述
规划 Microsoft Entra 多重身份验证部署 (文章)
什么是安全默认值?  (文章)
什么是条件访问?  (文章)
了解如何将用户从每用户 MFA 转换为条件访问 (一文)