尋找並解決系統管理員強式驗證涵蓋範圍中的差距

需要租使用者中系統管理員的多重要素驗證(MFA)是您可以採取以增加租使用者安全性的第一個步驟之一。 在本文中,我們將討論如何確定您的所有系統管理員都受到多重要素驗證所涵蓋。

偵測 Microsoft Entra 內建系統管理員角色的目前使用量

Microsoft Entra ID 安全分數會為租使用者中的系統管理角色 提供需要 MFA 的分數 。 此改進動作會追蹤全域管理員、安全性系統管理員、Exchange 系統管理員和 SharePoint 系統管理員的 MFA 使用量。

有不同方式可以檢查您的系統管理員是否由 MFA 原則涵蓋。

  • 若要針對特定系統管理員的登入進行疑難排解,您可以使用登入記錄。 登入記錄可讓您篩選 特定使用者的驗證需求 。 任何驗證需求 單一要素驗證 登入,表示登入不需要多重要素驗證原則。

    Screenshot of the sign-in log.

    檢視特定登入的詳細資料時,請選取 [驗證詳細 資料] 索引標籤,以取得 MFA 需求的詳細資料。 如需詳細資訊,請參閱 登入記錄活動詳細資料

    Screenshot of the authentication activity details.

  • 若要根據使用者授權選擇要啟用的原則,我們有新的 MFA 啟用精靈可協助您 比較 MFA 原則 ,並查看哪些步驟適合您的組織。 此精靈會顯示過去 30 天內受 MFA 保護的系統管理員。

    Screenshot of the multifactor authentication enablement wizard.

  • 您可以執行 此腳本 ,以程式設計方式產生具有過去 30 天內使用或不使用 MFA 登入之目錄角色指派的所有使用者報告。 此腳本會列舉所有作用中內建和自訂角色指派、所有合格的內建和自訂角色指派,以及指派角色的群組。

在您的系統管理員上強制執行多重要素驗證

如果您發現未受多重要素驗證保護的系統管理員,您可以使用下列其中一種方式加以保護:

  • 如果您的系統管理員已獲得 Microsoft Entra ID P1 或 P2 的授權,您可以 建立條件式存取原則 來強制執行系統管理員的 MFA。 您也可以更新此原則,要求自訂角色中的使用者使用 MFA。

  • 執行 MFA 啟用精靈 以選擇您的 MFA 原則。

  • 如果您在 Privileged Identity Management 指派自訂或內建系統管理員角色,請在角色啟用時要求多重要素驗證。

為您的系統管理員使用無密碼和網路釣魚防護驗證方法

在您的系統管理員強制執行多重要素驗證並已使用它一段時間之後,是時候提高增強式驗證的列,並使用無密碼和網路釣魚防護驗證方法:

您可以在 Microsoft Entra 驗證方法 深入瞭解這些驗證方法及其安全性考慮。

下一步

使用 Microsoft Authenticator 來啟用無密碼登入