教學課程:使用 Microsoft Entra 多重要素驗證保護使用者登入事件
多重要素驗證是一個程式,會在登入事件期間提示使用者提供其他形式的識別。 例如,提示可能是在其手機中輸入代碼,或提供指紋掃描。 當您需要第二種識別形式時,安全性會增加,因為攻擊者無法取得或複製這個額外的因素。
Microsoft Entra 多重要素驗證和條件式存取原則可讓您彈性地要求用戶進行特定登入事件的 MFA。 如需 MFA 的概觀,建議您觀看這段影片: 如何在租用戶中設定及強制執行多重要素驗證。
重要
本教學課程說明系統管理員如何啟用 Microsoft Entra 多重要素驗證。 若要以使用者身分逐步執行多重要素驗證,請參閱 使用雙步驟驗證方法登入您的公司或學校帳戶。
如果您的 IT 小組未啟用使用 Microsoft Entra 多重要素驗證的能力,或在登入期間發生問題,請連絡技術支援中心以取得其他協助。
在本教學課程中,您將了解如何:
- 建立條件式存取原則,為一組用戶啟用 Microsoft Entra 多重要素驗證。
- 設定提示 MFA 的原則條件。
- 以使用者身分測試設定和使用多重要素驗證。
必要條件
若要完成本教學課程,您需要下列資源和許可權:
已啟用 Microsoft Entra ID P1 或試用版授權的工作 Microsoft Entra 租使用者。
- 如果您需要, 請免費建立一個。
具有條件式存取 管理員 istrator、Security 管理員 istrator 或 Global 管理員 istrator 許可權的帳戶。 某些 MFA 設定也可以由驗證原則 管理員 istrator 管理。 如需詳細資訊,請參閱驗證原則 管理員 istrator。
具有您知道之密碼的非系統管理員帳戶。 在本教學課程中,我們建立了名為 testuser 的帳戶。 在本教學課程中,您會測試設定及使用 Microsoft Entra 多重要素驗證的用戶體驗。
- 如果您需要建立使用者帳戶的相關信息,請參閱 使用 Microsoft Entra ID 新增或刪除使用者。
非管理員使用者所屬的群組。 在本教學課程中,我們建立了名為 MFA-Test-Group 的這類群組。 在本教學課程中,您會為此群組啟用 Microsoft Entra 多重要素驗證。
- 如果您需要建立群組的詳細資訊,請參閱 使用 Microsoft Entra ID 建立基本群組和新增成員。
建立條件式存取原則
提示
本文中的步驟可能會根據您從開始的入口網站稍有不同。
啟用和使用 Microsoft Entra 多重要素驗證的建議方式是搭配條件式存取原則。 條件式存取可讓您建立和定義原則,以回應登入事件,以及在使用者授與應用程式或服務存取權之前要求其他動作的原則。
條件式存取原則可以套用至特定使用者、群組和應用程式。 目標是保護您的組織,同時為需要它的使用者提供正確的存取層級。
在本教學課程中,我們會建立基本的條件式存取原則,以在使用者登入時提示 MFA。 在本系列稍後的教學課程中,我們會使用風險型條件式存取原則來設定 Microsoft Entra 多重要素驗證。
首先,建立條件式存取原則,並指派測試群組的使用者,如下所示:
以至少條件式存取 管理員 istrator 身分登入 Microsoft Entra 系統管理中心。
流覽至 [保護>條件式存取],選取 [+ 新增原則],然後選取 [建立新原則]。
輸入原則的名稱,例如 MFA 試驗。
在 [指派] 下,選取 [使用者] 或 [工作負載身分識別] 底下的目前值。
在 [此原則適用於什麼?] 底下,確認已選取 [使用者和群組]。
在 [包含] 下,選擇 [選取使用者和群組],然後選取 [使用者和群組]。
由於尚未指派任何人,因此會自動開啟使用者和群組清單(在下一個步驟中所示)。
瀏覽並選取您的 Microsoft Entra 群組,例如 MFA-Test-Group,然後選擇 [ 選取]。
我們已選取要套用原則的群組。 在下一節中,我們會設定套用原則的條件。
設定多重要素驗證的條件
現在已建立條件式存取原則,並指派一組測試使用者,請定義觸發原則的雲端應用程式或動作。 這些雲端應用程式或動作是您決定需要額外處理的案例,例如提示進行多重要素驗證。 例如,您可以決定存取財務應用程式或使用管理工具需要額外的驗證提示。
設定哪些應用程式需要多重要素驗證
在本教學課程中,設定條件式存取原則,以在使用者登入時要求多重要素驗證。
選取 [雲端應用程式或動作] 底下的目前值,然後在 [選取此原則套用至的專案] 下,確認已選取 [雲端應用程式]。
在 [包含] 下,選擇 [選取應用程式]。
由於尚未選取任何應用程式,因此會自動開啟應用程式清單(在下一個步驟中顯示)。
提示
您可以選擇將條件式存取原則套用至 [所有雲端應用程式 ] 或 [選取應用程式]。 若要提供彈性,您也可以從原則中排除特定應用程式。
流覽可使用的可用登入事件清單。 在本教學課程中,選取 [Windows Azure 服務管理 API ],讓原則套用至登入事件。 然後選擇選取。
設定存取的多重要素驗證
接下來,我們會設定訪問控制。 訪問控制可讓您定義要授與存取權之使用者的需求。 您可能需要使用已核准的用戶端應用程式或已加入 Microsoft Entra 識別子的裝置。
在本教學課程中,將訪問控制設定為在登入事件期間要求多重要素驗證。
在 [訪問控制] 下,選取 [授與] 底下的目前值,然後選取 [授與存取權]。
選取 [ 需要多重要素驗證],然後選擇 [ 選取]。
啟用原則
如果您想要查看設定如何影響使用者,或如果您不想立即使用原則,條件式存取原則可以設定為 [僅報告]。 由於本教學課程的目標用戶測試群組,讓我們啟用原則,然後測試 Microsoft Entra 多重要素驗證。
在 [啟用原則] 下,選取 [開啟]。
若要套用條件式存取原則,請選取 [ 建立]。
測試 Microsoft Entra 多重要素驗證
讓我們看看您的條件式存取原則和 Microsoft Entra 多重要素驗證運作情形。
首先,登入不需要 MFA 的資源:
在 InPrivate 或 incognito 模式中開啟新的瀏覽器視窗,並瀏覽至 https://account.activedirectory.windowsazure.com。
使用瀏覽器的私人模式可防止任何現有的認證影響此登入事件。
使用非系統管理員測試使用者登入,例如 testuser。 請務必包含
@
和用戶帳戶的功能變數名稱。如果這是使用此帳戶登入的第一個實例,系統會提示您變更密碼。 不過,系統不會提示您設定或使用多重要素驗證。
關閉瀏覽器視窗。
您已將條件式存取原則設定為需要額外的驗證才能登入。 由於該設定,系統會提示您使用 Microsoft Entra 多重要素驗證,或如果您尚未這麼做,請設定方法。 登入 Microsoft Entra 系統管理中心,以測試這項新需求:
在 InPrivate 或 incognito 模式中開啟新的瀏覽器視窗,然後登入 Microsoft Entra 系統管理中心。
使用非系統管理員測試使用者登入,例如 testuser。 請務必包含
@
和用戶帳戶的功能變數名稱。您必須註冊並使用 Microsoft Entra 多重要素驗證。
選取 [下一步 ] 以開始程式。
您可以選擇設定驗證電話、辦公室電話或行動應用程式以進行驗證。 驗證電話 支援簡訊和來電、 辦公室電話 支援撥打具有擴充功能的號碼,而 行動應用程式支援使用行動應用程式 來接收驗證通知或產生驗證碼。
完成畫面上的指示,以設定您已選取的多重要素驗證方法。
關閉瀏覽器視窗,然後再次登入 Microsoft Entra 系統管理中心 ,以測試您所設定的驗證方法。 例如,如果您已設定行動應用程式進行驗證,您應該會看到如下所示的提示。
關閉瀏覽器視窗。
清除資源
如果您不想再使用您在本教學課程中設定的條件式存取原則,請使用下列步驟刪除原則:
以至少條件式存取 管理員 istrator 身分登入 Microsoft Entra 系統管理中心。
流覽至 [保護>條件式存取],然後選取您所建立的原則,例如 MFA 試驗。
選取 [ 刪除],然後確認您想要刪除原則。
下一步
在本教學課程中,您已針對選取的使用者群組使用條件式存取原則來啟用 Microsoft Entra 多重要素驗證。 您已了解如何︰
- 建立條件式存取原則,為一組 Microsoft Entra 用戶啟用 Microsoft Entra 多重要素驗證。
- 設定提示進行多重要素驗證的原則條件。
- 以使用者身分測試設定和使用多重要素驗證。