你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Azure AD 多重身份验证的功能和许可证
若要保护组织中的用户帐户,应使用多重身份验证。 对资源拥有访问特权的帐户尤其需要此功能。 Microsoft 365 和 Azure Active Directory (Azure AD) 用户和全局管理员可免费使用基本的多重身份验证功能。 如果想要为管理员升级功能,或者通过更多身份验证方法和更好的控制将多重身份验证扩展到其他用户,可通过多种方式购买 Azure AD 多重身份验证。
重要
本文详细说明 Azure AD 多重身份验证的不同许可和使用方式。 有关定价和计费的具体详细信息,请参阅 Azure AD 定价页。
可用的 Azure AD 多重身份验证版本
可以根据组织的需求,以几种不同的方式使用和许可 Azure AD 多重身份验证。 所有租户都有权通过安全默认值使用基本的多重身份验证功能。 根据你当前拥有的 Azure AD、EMS 或 Microsoft 365 许可证,你可能已有权使用高级 Azure AD 多重身份验证。 例如,Azure AD 外部标识中的前 50,000 名月度活跃用户可以免费使用 MFA 和其他高级版 P1 或 P2 功能。 有关详细信息,请参阅 Azure Active Directory 外部标识定价。
下表详细说明了获取 Azure AD 多重身份验证和某些功能的不同方式,以及每种方式的用例。
| 如果你是以下产品的用户 | 功能和用例 |
|---|---|
| Microsoft 365 商业高级版和 EMS 或 Microsoft 365 E3 和 E5 | EMS E3、Microsoft 365 E3 和 Microsoft 365 商业高级版包括 Azure AD 高级版 P1。 EMS E5 或 Microsoft 365 E5 包括 Azure AD Premium P2。 可使用以下部分所述的相同条件访问功能向用户提供多重身份验证。 |
| Azure AD Premium P1 | 在特定的情况下或者发生适合业务要求的事件时,使用 Azure AD 条件访问提示用户执行多重身份验证。 |
| Azure AD Premium P2 | 提供了最强的安全保障和改进的用户体验。 在 Azure AD Premium P1 功能的基础上增加了基于风险的条件访问,以适应用户模式并尽量减少出现多重身份验证提示。 |
| 所有 Microsoft 365 计划 | 可以使用安全默认值为所有用户启用 Azure AD 多重身份验证。 Azure AD 多重身份验证的管理通过 Microsoft 365 门户进行。 若要改进用户体验,请升级到 Azure AD Premium P1 或 P2 并使用条件访问。 有关详细信息,请参阅使用多重身份验证保护 Microsoft 365 资源。 |
| Office 365 免费版 Azure AD 免费版 |
可以根据需要使用安全默认值提示用户进行多重身份验证,但无法精细控制已启用的用户或方案,但它确实提供了额外的安全步骤。 即使不使用安全默认值来为每个人启用多重身份验证,也可以将分配有“Azure AD 全局管理员”角色的用户配置为使用多重身份验证。 此免费层功能确保关键的管理员帐户受到多重身份验证的保护。 |
基于许可证的功能比较
下表提供了 Azure AD 多重身份验证的各个版本中可用的功能列表。 规划保护用户身份验证的需求,然后确定哪种方法符合这些要求。 例如,尽管 Azure AD Free 提供安全默认值来实现 Azure AD 多重身份验证,但只能通过手机验证器应用显示身份验证提示,而不能通过电话呼叫或短信来显示。 如果无法确保将手机身份验证应用安装到用户的个人设备上,此方法可能存在限制。 有关更多详细信息,请参阅本主题后面的 Azure AD 免费层。
| 功能 | Azure AD Free - 安全默认值(已为所有用户启用) | Azure AD Free - 仅限全局管理员 | Office 365 | Azure AD Premium P1 | Azure AD Premium P2 |
|---|---|---|---|---|---|
| 使用 MFA 保护 Azure AD 租户管理员帐户 | ● | ●(仅限“Azure AD 全局管理员”帐户) | ● | ● | ● |
| 将移动应用用作第二个因素 | ● | ● | ● | ● | ● |
| 将电话呼叫用作第二个因素 | ● | ● | ● | ● | |
| 将短信用作第二个因素 | ● | ● | ● | ● | |
| 管理员控制验证方法 | ● | ● | ● | ● | |
| 欺诈警报 | ● | ● | |||
| MFA 报告 | ● | ● | |||
| 通话的自定义问候语 | ● | ● | |||
| 通话的自定义呼叫方 ID | ● | ● | |||
| 受信任的 IP | ● | ● | |||
| 记住受信任的设备的 MFA | ● | ● | ● | ● | |
| 适用于本地应用程序的 MFA | ● | ● | |||
| 条件性访问 | ● | ● | |||
| 基于风险的条件访问 | ● | ||||
| 标识保护(有风险的登录、有风险的用户) | ● | ||||
| 访问评审 | ● | ||||
| 权利管理 | ● | ||||
| Privileged Identity Management (PIM)、实时访问权限 | ● | ||||
| 生命周期工作流(预览版) | ● |
比较多重身份验证策略
若要强制执行 MFA,建议的方法是使用条件访问。 查看下表以确定你的许可证中包含哪些功能。
| 策略 | 安全默认值 | 条件性访问 | 每用户 MFA |
|---|---|---|---|
| Management | |||
| 一套标准的安全规则,以确保你的公司安全 | ● | ||
| 一键打开/关闭 | ● | ||
| 包含在 Office 365 许可中(请参阅许可注意事项) | ● | ● | |
| Microsoft 365 管理中心向导中的预配置模板 | ● | ● | |
| 配置灵活性 | ● | ||
| 功能 | |||
| 从策略中豁免用户 | ● | ● | |
| 通过电话呼叫或短信进行身份验证 | ● | ● | |
| 通过 Microsoft Authenticator 和软件令牌进行身份验证 | ● | ● | ● |
| 通过 FIDO2、Windows Hello 企业版和硬件令牌进行身份验证 | ● | ● | |
| 阻止旧身份验证协议 | ● | ● | ● |
| 自动保护新员工 | ● | ● | |
| 基于风险事件的动态 MFA 触发器 | ● | ||
| 身份验证和授权策略 | ● | ||
| 可基于位置和设备状态进行配置 | ● | ||
| 支持“仅报表”模式 | ● | ||
| 能够完全阻止用户/服务 | ● |
购买和启用 Azure AD 多重身份验证
若要使用 Azure AD 多重身份验证,请注册或购买符合条件的 Azure AD 层。 Azure AD 提供四个版本:Free、Office 365、Premium P1 和 Premium P2。
Free 版本随附在 Azure 订阅中。 有关如何使用安全默认值或者使用“Azure AD 全局管理员”角色保护帐户的信息,请参阅下面的部分。
Azure AD Premium 版本通过 Microsoft 代表、开放批量许可计划和云解决方案提供商计划提供。 Azure 和 Microsoft 365 订阅者还可以在线购买 Azure Active Directory 高级版 P1 和 P2。 登录购买。
购买所需的 Azure AD 层后,请规划并部署 Azure AD 多重身份验证。
Azure AD Free 层
Azure AD Free 租户中的所有用户都可以通过安全默认值使用 Azure AD 多重身份验证。 使用 Azure AD Free 安全默认值时,只能使用手机身份验证应用来完成 Azure AD 多重身份验证。
如果不希望为所有用户启用 Azure AD 多重身份验证,可以改为仅保护有“Azure AD 全局管理员”角色的用户账户。 此方法针对关键的管理员帐户提供更多的身份验证提示。 可以通过以下方式之一启用 Azure AD 多重身份验证,具体取决于所使用的帐户类型:
- 如果使用 Microsoft 帐户,请注册多重身份验证。
- 如果使用的不是 Microsoft 帐户,请在 Azure AD 中为用户或组启用多重身份验证。
后续步骤
- 有关费用的详细信息,请参阅 Azure AD 定价。
- 什么是条件访问?
- 什么是“标识保护”?
- 也可以按用户启用 MFA