Microsoft 365 Lighthouse 中的多重身份验证页概述

Microsoft Entra ID 中的多重身份验证 (MFA) ,通过使用第二种身份验证形式提供额外的安全层,帮助保护客户租户免受因凭据丢失或被盗而导致的违规行为。

可通过多种方式启用 MFA:

  • 条件访问策略 (建议) - 为具有 Microsoft Entra ID P1 或 P2 许可的租户启用条件访问策略。

  • 安全默认值 - 为没有 Microsoft Entra ID P1 或 P2 许可的租户启用安全默认值。

  • 每用户 MFA – 建议不要按用户启用 MFA,除非租户没有 Microsoft Entra ID P1 或 P2 许可,并且你不想使用安全默认值。

多重身份验证页提供了有关跨客户租户启用 MFA 的状态的详细信息,以及增强客户安全性的建议操作。 选择列表中的任意租户以查看有关该租户的更多详细信息,包括已配置了哪些需要 MFA 的条件访问策略,以及哪些用户仍需要注册 MFA。

多重身份验证页

“多重身份验证”页包括以下内容:

  • MFA 强制实施
  • MFA 注册
  • MFA 见解
  • 按租户提供的 MFA 见解

“多重身份验证”页的屏幕截图。

MFA 强制实施

MFA 强制图按租户衡量 MFA 强制实施进度,并按以下任一方式报告每个租户的 MFA 强制状态:

  • 条件访问策略启用 - 启用了一个或多个需要 MFA 的策略。
  • 安全默认值 - 启用安全默认值。
  • 未检测到 MFA - 未启用需要 MFA 的条件访问策略,并且已禁用安全默认值。

注意

检测需要部署状态为“已启用”的 MFA 的条件访问策略并不意味着所有目标用户都需要使用 MFA 进行身份验证。 需要在 Microsoft 365 Lighthouse 或租户的 Microsoft Entra 管理中心中评估租户的条件访问策略,以确认租户是否安全。

MFA 注册

MFA 注册图按用户度量 MFA 注册进度,将每个用户的 MFA 注册状态报告为:

  • 已注册 - 用户已注册 MFA。
  • 未注册 MFA – 用户尚未注册 MFA。
  • 已从 MFA 中排除 – 用户已被排除在 Lighthouse 中的 MFA 注册之外。
  • 由于缺少许可证而数据不可用 – 用户是因缺少许可证而数据不可用的租户的成员。

注意

从 Lighthouse 中的 MFA 注册中排除用户不会自动导致用户从 Lighthouse 中的适用部署任务或租户中配置的条件访问策略中排除。 若要确保用户被排除在 Lighthouse 中的适用部署任务和租户中配置的条件访问策略之外,请参阅 管理多重身份验证

MFA 见解

MFA 见解表可以通过 MFA 启用方法和 MFA 注册进度的可用性进行筛选。

该表为每个租户提供以下信息:

说明
Tenant 租户名称。
用户总数 租户中的用户数。
从 MFA 注册中排除的用户 在 Lighthouse 中从 MFA 注册中排除的用户数。
注册进度 未从 Lighthouse 中注册的 MFA 中排除的用户数。
注意: 已注册的用户数可能包括在 Lighthouse 中排除 MFA 注册的用户。
MFA 启用方法 租户采用的 MFA 启用方法。
建议的操作 建议用于优化租户安全性的操作。
上次刷新 上次刷新数据的日期。

根据 MFA 启用、许可和注册进度,为每个租户确定建议的操作。

MFA 启用 许可 注册进度 建议的操作
已启用条件访问策略 使用 Microsoft Entra ID P1 或 P2 完成 评估部署
未完成 评估部署,完成 MFA 注册
安全性默认值 使用 Microsoft Entra ID P1 或 P2 完成 部署条件访问
未完成 部署条件访问,完成 MFA 注册
没有 Microsoft Entra ID P1 或 P2 由于缺少许可证,数据不可用
未检测到 MFA 使用 Microsoft Entra ID P1 或 P2 完成 部署条件访问
未完成 启用安全默认值,完成 MFA 注册
没有 Microsoft Entra ID P1 或 P2 由于缺少许可证,数据不可用

按租户提供的 MFA 见解

从列表中选择任意租户将打开该租户的 MFA 见解详细信息窗格,其中为每个租户提供以下信息:

  • MFA 启用方法
  • 条件访问策略
  • 未注册 MFA 的用户
  • 排除的用户

MFA 详细窗格的屏幕截图。

MFA 启用方法选项卡

该选项卡提供有关租户的 MFA 启用方法的特定于租户的详细信息、指向其他信息的链接,以及为优化租户安全性而应采取的后续步骤。

如果租户的 MFA 启用状态为 “未检测到 MFA”,Lighthouse 将通过选择“使用安全默认值”框来提示启用 安全默认值

条件访问策略选项卡

选项卡列出、链接到并报告租户中检测到的每个需要 MFA 的条件访问策略的状态。 可以使用提供的链接根据需要查看或编辑检测到的策略,以优化租户安全性。

用户未注册 MFA 选项卡

选项卡提供用于管理 MFA 注册的建议操作,并列出了已启用 MFA 但仍需要使用其允许的验证选项进行注册才能使用 MFA 的用户帐户。

管理员、成员和来宾用户可以导出、刷新或筛选未注册 MFA 表的用户,并允许你选择用户帐户以通过电子邮件发送、排除或阻止。

“排除的用户”选项卡

该选项卡列出了属于 Microsoft 365 Lighthouse - MFA 排除 安全组的用户帐户,并且已从 MFA 报表中排除。 可以导出和刷新列表,并从排除的用户列表中删除用户。

在 Lighthouse (文章) 中管理多重身份验证
规划 Microsoft Entra 多重身份验证部署 (文章)
什么是安全默认值?  (文章)
什么是条件访问?  (文章)
了解如何将用户从每用户 MFA 转换为条件访问 (一文)