Microsoft 通过配置 Microsoft Entra ID Protection 策略,帮助你更好地管理和部署多重身份验证(MFA),要求进行 MFA 注册,而不考虑你登录的任何现代身份验证应用程序。 多重身份验证是要求使用多种方式(而不仅仅是用户名和密码)对你的身份进行验证的一种方法。 它为用户登录提供了附加的安全层。为了让用户能够响应 MFA 提示,必须要求用户首先注册身份验证方法,例如 Microsoft Authenticator 应用。
我们建议你对所有用户登录都要求多重身份验证。根据我们的调查,如果使用 MFA,帐户遭到入侵的可能性将降低 99% 以上。 即使你一直不需要 MFA,此策略也可确保用户在需要时准备好 MFA。
有关详细信息,请参阅通用条件访问策略:要求对所有用户执行 MFA 一文。
策略配置
- 至少以安全管理员身份登录到 Microsoft Entra 管理中心。
- 浏览到 ID 保护>仪表板>多重身份验证注册策略。
- 在“分配”>“用户”下。
- 在“包含”下,选择“所有用户”,或者如果要限制推出,则“选择个人和组”。
- 在“排除”下选择“用户和组”,然后选择组织的紧急访问帐户或不受限帐户。
- 在“分配”>“用户”下。
- 将“策略强制实施”设置为“启用”。
- 选择“保存”。
用户体验
Microsoft Entra ID Protection 会提示用户在下次以交互方式登录时注册,并且他们有 14 天的时间完成注册。 在此 14 天的时间段内,如果 MFA 不作为条件,则可以绕过注册,但在期限结束时,必须注册才能完成登录过程。
有关相关用户体验的概述,请参阅以下内容: