Microsoft 365 Lighthouse 中的多重身份验证页概述
Microsoft Entra ID 中的多重身份验证 (MFA) ,通过使用第二种身份验证形式提供额外的安全层,帮助保护客户租户免受因凭据丢失或被盗而导致的违规行为。
可通过多种方式启用 MFA:
条件访问策略 (建议) - 为具有 Microsoft Entra ID P1 或 P2 许可的租户启用条件访问策略。
安全默认值 - 为没有 Microsoft Entra ID P1 或 P2 许可的租户启用安全默认值。
每用户 MFA – 建议不要按用户启用 MFA,除非租户没有 Microsoft Entra ID P1 或 P2 许可,并且你不想使用安全默认值。
多重身份验证页提供了有关跨客户租户启用 MFA 的状态的详细信息,以及增强客户安全性的建议操作。 选择列表中的任意租户以查看有关该租户的更多详细信息,包括已配置了哪些需要 MFA 的条件访问策略,以及哪些用户仍需要注册 MFA。
多重身份验证页
“多重身份验证”页包括以下内容:
- MFA 强制实施
- MFA 注册
- MFA 见解
- 按租户提供的 MFA 见解
MFA 强制实施
MFA 强制图按租户衡量 MFA 强制实施进度,并按以下任一方式报告每个租户的 MFA 强制状态:
- 条件访问策略启用 - 启用了一个或多个需要 MFA 的策略。
- 安全默认值 - 启用安全默认值。
- 未检测到 MFA - 未启用需要 MFA 的条件访问策略,并且已禁用安全默认值。
注意
检测需要部署状态为“已启用”的 MFA 的条件访问策略并不意味着所有目标用户都需要使用 MFA 进行身份验证。 需要在 Microsoft 365 Lighthouse 或租户的 Microsoft Entra 管理中心中评估租户的条件访问策略,以确认租户是否安全。
MFA 注册
MFA 注册图按用户度量 MFA 注册进度,将每个用户的 MFA 注册状态报告为:
- 已注册 - 用户已注册 MFA。
- 未注册 MFA – 用户尚未注册 MFA。
- 已从 MFA 中排除 – 用户已被排除在 Lighthouse 中的 MFA 注册之外。
- 由于缺少许可证而数据不可用 – 用户是因缺少许可证而数据不可用的租户的成员。
注意
从 Lighthouse 中的 MFA 注册中排除用户不会自动导致用户从 Lighthouse 中的适用部署任务或租户中配置的条件访问策略中排除。 若要确保用户被排除在 Lighthouse 中的适用部署任务和租户中配置的条件访问策略之外,请参阅 管理多重身份验证。
MFA 见解
MFA 见解表可以通过 MFA 启用方法和 MFA 注册进度的可用性进行筛选。
该表为每个租户提供以下信息:
| 列 | 说明 |
|---|---|
| Tenant | 租户名称。 |
| 用户总数 | 租户中的用户数。 |
| 从 MFA 注册中排除的用户 | 在 Lighthouse 中从 MFA 注册中排除的用户数。 |
| 注册进度 | 未从 Lighthouse 中注册的 MFA 中排除的用户数。 注意: 已注册的用户数可能包括在 Lighthouse 中排除 MFA 注册的用户。 |
| MFA 启用方法 | 租户采用的 MFA 启用方法。 |
| 建议的操作 | 建议用于优化租户安全性的操作。 |
| 上次刷新 | 上次刷新数据的日期。 |
建议的操作
根据 MFA 启用、许可和注册进度,为每个租户确定建议的操作。
| MFA 启用 | 许可 | 注册进度 | 建议的操作 |
|---|---|---|---|
| 已启用条件访问策略 | 使用 Microsoft Entra ID P1 或 P2 | 完成 | 评估部署 |
| 未完成 | 评估部署,完成 MFA 注册 | ||
| 安全性默认值 | 使用 Microsoft Entra ID P1 或 P2 | 完成 | 部署条件访问 |
| 未完成 | 部署条件访问,完成 MFA 注册 | ||
| 没有 Microsoft Entra ID P1 或 P2 | 由于缺少许可证,数据不可用 | ||
| 未检测到 MFA | 使用 Microsoft Entra ID P1 或 P2 | 完成 | 部署条件访问 |
| 未完成 | 启用安全默认值,完成 MFA 注册 | ||
| 没有 Microsoft Entra ID P1 或 P2 | 由于缺少许可证,数据不可用 |
按租户提供的 MFA 见解
从列表中选择任意租户将打开该租户的 MFA 见解详细信息窗格,其中为每个租户提供以下信息:
- MFA 启用方法
- 条件访问策略
- 未注册 MFA 的用户
- 排除的用户
MFA 启用方法选项卡
该选项卡提供有关租户的 MFA 启用方法的特定于租户的详细信息、指向其他信息的链接,以及为优化租户安全性而应采取的后续步骤。
如果租户的 MFA 启用状态为 “未检测到 MFA”,Lighthouse 将通过选择“使用安全默认值”框来提示启用 安全默认值 。
条件访问策略选项卡
选项卡列出、链接到并报告租户中检测到的每个需要 MFA 的条件访问策略的状态。 可以使用提供的链接根据需要查看或编辑检测到的策略,以优化租户安全性。
用户未注册 MFA 选项卡
选项卡提供用于管理 MFA 注册的建议操作,并列出了已启用 MFA 但仍需要使用其允许的验证选项进行注册才能使用 MFA 的用户帐户。
管理员、成员和来宾用户可以导出、刷新或筛选未注册 MFA 表的用户,并允许你选择用户帐户以通过电子邮件发送、排除或阻止。
“排除的用户”选项卡
该选项卡列出了属于 Microsoft 365 Lighthouse - MFA 排除 安全组的用户帐户,并且已从 MFA 报表中排除。 可以导出和刷新列表,并从排除的用户列表中删除用户。
相关内容
在 Lighthouse (文章) 中管理多重身份验证
规划 Microsoft Entra 多重身份验证部署 (文章)
什么是安全默认值? (文章)
什么是条件访问? (文章)
了解如何将用户从每用户 MFA 转换为条件访问 (一文)