安全默认和多重身份验证

Microsoft 365 商业高级版旨在通过预配置的安全设置帮助保护公司的用户帐户。 这些设置包括为所有管理员和用户帐户启用多重身份验证 (MFA)。 对于大多数组织来说,安全性默认值提供了很好的登录安全性级别。 对于必须满足更严格要求的组织,可以使用条件访问。

本文提供有关以下操作的信息:

备注

可以 使用安全 默认 值或 条件访问策略,但不能同时使用这两种策略。

安全性默认值

安全默认旨在从一开始就帮助保护公司的用户帐户。 启用后,安全默认将提供安全的默认设置,可通过以下方式帮助保护公司的安全:

  • 要求所有用户和管理员使用 Microsoft Authenticator 应用注册 MFA。
  • 在合适的时候警告使用 MFA 的用户,主要是当他们在新设备或应用上出现时,但更多的是用于关键角色和任务。
  • 正在禁用无法执行 MFA 的旧式身份验证客户端的身份验证。
  • 通过每次登录时要求额外的身份验证来保护管理员。

MFA 是保护公司的重要的第一步,安全默认使 MFA 易于实现。 如果订阅是在 2019 年 10 月 22 日或之后创建的,则可能已自动为你启用安全默认—应检查设置以确认。

提示

有关安全默认及其强制实施的策略的详细信息,请参阅什么是安全默认?

若要启用安全默认(或确认它们已启用)

  1. 使用安全管理员、条件访问管理员或全局管理员凭据登录到 Microsoft 365 管理中心

  2. 在左窗格中,选择 显示全部,然后在 管理中心 下,选择 Azure Active Directory

  3. Azure Active Directory 管理中心 的左窗格中,选择 Azure Active Directory

  4. 在仪表板的左侧菜单中,在 管理 部分中,选择 属性

    显示属性菜单项位置的 Azure Active Directory 管理中心的屏幕截图。

  5. 属性 页面底部,选择 管理安全默认

  6. 在右窗格中,你将看到 启用安全默认 设置。 如果选择了“”,则已启用安全默认,无需进一步操作。 如果当前未启用安全默认,请选择“”启用它们,然后选择 保存

条件访问

备注

如果一直在使用安全默认,则在使用条件访问之前,需要将其关闭。 可以使用安全默认或条件访问策略,但不能同时使用这两种策略。

如果公司或企业具有复杂的安全要求,或者需要更精细地控制安全策略,则应考虑使用条件访问而不是安全默认来实现类似或更高的安全状况。

条件访问允许你在向用户授予对应用程序或服务的访问权限前,先创建和定义对登录事件作出反应的策略,并可请求其他操作。 条件访问策略可以是细致和具体的,使用户无论何时何地都可以提高工作效率,同时还可以保护你的组织。

安全默认可供所有客户使用,而条件访问需要以下计划之一:

  • Azure Active Directory Premium P1 或 P2
  • Microsoft 365 商业高级版
  • Microsoft 365 E3 或 E5
  • 企业移动性和安全性 E3 或 E5

如果要使用条件访问来配置策略,请参阅以下分步指南:

若要详细了解条件访问,请参阅什么是条件访问? 有关创建条件访问策略的详细信息,请参阅创建条件访问策略

备注

如果你有提供条件访问计划或许可证,但尚未创建任何条件访问策略,则可使用安全默认。 但是,需要先关闭安全默认,然后才能使用条件访问策略。

下一个目标

在 Microsoft 365 商业高级版中保护管理员帐户