启用每用户 Microsoft Entra 多重身份验证来保护登录事件

若要保护 Microsoft Entra ID 中的用户登录事件,可要求进行多重身份验证。 为了保护用户,建议使用条件访问策略启用 Microsoft Entra 多重身份验证。 条件访问是一项 Microsoft Entra ID P1/P2 功能,通过它,你可在某些情况下根据需要应用要求 MFA 的规则。 若要开始使用条件访问,请参阅教程:使用 Microsoft Entra 多重身份验证保护用户登录事件

对于不带条件访问的 Microsoft Entra ID 免费租户,你可以使用安全默认值来保护用户。 系统会根据需要提示用户进行 MFA,但你无法定义自己的规则来控制行为。

如果需要,你可转而使每个帐户进行每用户 Microsoft Entra 多重身份验证。 逐个为用户启用此功能后,他们每次登录时都会执行多重身份验证(有一些例外情况,例如,当他们从受信任的 IP 地址登录时,或者开启了“记住受信任设备上的 MFA”功能时)。

如果 Microsoft Entra ID 许可证不包括条件访问,并且你不想使用安全默认值,建议更改用户状态。 有关启用 MFA 的不同方法的详细信息,请参阅 Microsoft Entra 多重身份验证的功能和许可证

重要

本文详细介绍了如何查看和更改每用户 Microsoft Entra 多重身份验证的状态。 如果你使用条件访问或安全默认值,则请勿使用以下步骤查看或启用用户帐户。

通过条件访问策略启用 Microsoft Entra 多重身份验证不会更改用户的状态。 如果用户看似已被禁用,请不要担心。 条件访问不会更改状态。

如果你使用条件访问策略,请勿启用或强制执行每用户 Microsoft Entra 多重身份验证。

Microsoft Entra 多重身份验证用户状态

用户的状态反映了管理员是否已在每用户 Microsoft Entra 多重身份验证中登记用户。 Microsoft Entra 多重身份验证中的用户帐户具有下面 3 种不同状态:

State 描述 旧式身份验证受影响 浏览器应用受影响 新式身份验证受影响
已禁用 未在每用户 Microsoft Entra 多重身份验证中登记的用户的默认状态。 No
Enabled 用户已在每用户 Microsoft Entra 多重身份验证中登记,但仍可使用其密码进行旧式身份验证。 如果用户尚未注册 MFA 身份验证方法,则将在下次使用新式身份验证(例如通过 Web 浏览器)登录时收到注册提示。 否。 旧式身份验证继续工作,直到注册过程完成。 是的。 会话过期后,需要进行 Microsoft Entra 多重身份验证注册。 是的。 访问令牌过期后,需要进行 Microsoft Entra 多重身份验证注册。
已强制 用户在 Microsoft Entra 多重身份验证中按用户登记。 如果用户尚未注册身份验证方法,则将在下次使用新式身份验证(例如通过 Web 浏览器)登录时收到注册提示。 在“已启用”状态下完成注册的用户将自动更改为“已强制”状态 。 是的。 应用需要应用密码。 是的。 登录时需要 Microsoft Entra 多重身份验证。 是的。 登录时需要 Microsoft Entra 多重身份验证。

所有用户的初始状态均为已禁用。 在每用户 Microsoft Entra 多重身份验证中登记用户后,其状态会更改为“已启用”。 当已启用的用户登录并完成注册过程后,用户的状态将更改为“已强制”。 管理员可以为用户切换状态,包括从“已强制”到“已启用”或“已禁用” 。

注意

如果对某用户重新启用了每用户 MFA,且该用户不重新注册,其 MFA 状态在 MFA 管理 UI 中不会从“已启用”转换为“已强制” 。 管理员必须将用户的状态直接切换为“已强制”。

查看用户状态

若要查看和管理用户状态,请完成以下步骤:

  1. 至少以身份验证管理员的身份登录到 Microsoft Entra 管理中心
  2. 浏览到“标识”>“用户”>“所有用户”。
  3. 选择“每用户 MFA”。 从 Azure AD 中的“用户”窗口中选择“多重身份验证”的屏幕截图。
  4. 此时会打开一个显示用户状态的新页,如以下示例中所示。 显示用于执行 Microsoft Entra 多重身份验证的示例用户状态信息的屏幕截图

更改用户状态

若要为用户更改每用户 Microsoft Entra 多重身份验证状态,请完成以下步骤:

  1. 按照上述步骤查看用户的状态,访问 Microsoft Entra 多重身份验证的“用户”页。

  2. 查找要为其启用每用户 Microsoft Entra 多重身份验证的用户。 可能需要在顶部将视图更改为“用户”。 从用户选项卡中选择要更改其状态的用户

  3. 选中要更改其状态的用户的名称旁边的框。

  4. 在右侧的“快速步骤”下,选择“启用”或“禁用” 。 在以下示例中,用户 John Smith 的名称旁边有一个勾选标记,表示将启用该用户以供使用:通过单击快速步骤菜单上的“启用”来启用选定用户

    提示

    “已启用”的用户在注册 Microsoft Entra 多重身份验证后会自动切换到“已强制”。 如果用户已经注册,或者用户不接受连接旧式身份验证协议时发生中断,请将用户状态手动更改为“已强制”。

  5. 在打开的弹出窗口中确认你的选择。

启用用户后,通过电子邮件通知他们。 告诉用户显示了提示,要求他们在下次登录时注册。 此外,如果你的组织使用不支持新式身份验证的非浏览器应用,则他们需要创建应用密码。 有关详细信息,请参阅 Microsoft Entra 多重身份验证最终用户指南来帮助他们入门。

使用 Microsoft Graph 管理按用户 MFA

可以使用 Microsoft Graph REST API Beta 来管理按用户 MFA 设置。 可以使用 authentication 资源类型为用户公开身份验证方法状态。

要管理按用户 MFA,请使用 users/id/authentication/requirements 中的 perUserMfaState 属性。 有关详细信息,请参阅 strongAuthenticationRequirements 资源类型

查看按用户 MFA 状态

若要检索用户的按用户多重身份验证状态,请执行以下操作:

GET /users/{id | userPrincipalName}/authentication/requirements

例如:

GET https://graph.microsoft.com/beta/users/071cc716-8147-4397-a5ba-b2105951cc0b/authentication/requirements

如果用户已启用按用户 MFA,则响应为:

HTTP/1.1 200 OK
Content-Type: application/json

{
  "perUserMfaState": "enforced"
}

有关详细信息,请参阅获取身份验证方法状态

更改用户的 MFA 状态

若要更改用户的多重身份验证状态,请使用用户的 strongAuthenticationRequirements。 例如:

PATCH https://graph.microsoft.com/beta/users/071cc716-8147-4397-a5ba-b2105951cc0b/authentication/requirements
Content-Type: application/json

{
  "perUserMfaState": "disabled"
}

如果成功,响应为:

HTTP/1.1 204 No Content

有关详细信息,请参阅更新身份验证方法状态

后续步骤

若要配置 Microsoft Entra 多重身份验证设置,请参阅配置 Microsoft Entra 多重身份验证设置

若要管理 Microsoft Entra 多重身份验证的用户设置,请参阅使用 Microsoft Entra 多重身份验证管理用户设置

若要了解提示用户执行 MFA 与否的原因,请参阅 Microsoft Entra 多重身份验证报告