如何:配置多重身份验证注册策略
Microsoft 通过将 Microsoft Entra ID 保护策略配置为要求 MFA 注册(无论你登录哪种新式身份验证应用),来帮助你管理多重身份验证 (MFA) 的部署。 多重身份验证是要求使用多种方式(而不仅仅是用户名和密码)对你的身份进行验证的一种方法。 它为用户登录提供了附加的安全层。为了让用户能够响应 MFA 提示,必须要求用户首先注册身份验证方法,例如 Microsoft Authenticator 应用。
我们建议你对所有用户登录都要求多重身份验证。根据我们的调查,如果使用 MFA,帐户遭到入侵的可能性将降低 99% 以上。 即使你并非所有时候都需要 MFA,此策略也可确保用户在需要执行 MFA 时做好准备。
有关详细信息,请参阅通用条件访问策略:要求对所有用户执行 MFA 一文。
策略配置
- 至少以安全管理员身份登录到 Microsoft Entra 管理中心。
- 浏览到“保护”>“标识保护”>“多重身份验证注册策略”。
- 在“分配”>“用户”下。
- 在“包含”下,选择“所有用户”,或者如果要限制推出,则“选择个人和组”。
- 在“排除”下选择“用户和组”,然后选择组织的紧急访问帐户或不受限帐户。
- 在“分配”>“用户”下。
- 将“策略强制实施”设置为“启用”。
- 选择“保存”。
用户体验
Microsoft Entra ID 保护将在用户下次以交互方式登录时提示他们进行注册,并且他们将有 14 天的时间完成注册。 在此 14 天内,如果 MFA 不是必要条件,他们可以绕过注册,但在此期间结束时,他们需要注册,然后才能完成登录过程。
如需相关用户体验的概述,请参阅: