设置 Microsoft 365 的多重身份验证
查看有关小型企业帮助和学习的所有小型企业内容。
查看 YouTube 上的 Microsoft 365 小型企业帮助。
多重身份验证意味着你和你的员工必须提供多种登录 Microsoft 365 的方式,它是保护业务的最简单方法之一。 根据你对 Microsoft 365 中的多重身份验证 (MFA) 及其支持的理解,可对其进行设置并推广到你的组织。
多重身份验证 (MFA) 是保护组织的重要第一步。 Microsoft 365 商业版提供使用安全默认值或条件访问策略为管理员和用户帐户启用 MFA 的选项。 对于大多数组织, 安全默认值 提供良好的登录安全性级别。 但是,如果组织必须满足更严格的要求,则可以使用 条件访问策略。
提示
如果需要有关本主题中步骤的帮助,请考虑 与 Microsoft 小型企业专家合作。 借助业务助手,你和你的员工在发展业务时,可以针对从加入到日常使用的各个方面随时访问小型企业专家。
准备工作
- 只有全局管理员才能管理 MFA。 有关详细信息,请参阅关于管理员角色。
- 如果你启用了旧版每用户 MFA,请关闭旧版每用户 MFA。
- 高级:如果你有使用 Active Directory 联合身份验证服务(AD FS)的第三方目录服务,请设置 Azure MFA 服务器。 有关详细信息 ,请参阅使用 Microsoft Entra 多重身份验证和第三方 VPN 解决方案的高级方案 。
观看:打开多重身份验证
步骤:启用多重身份验证
如果你在 2019 年 10 月 21 日之后购买了订阅或试用版,并且你在登录时收到 MFA 的提示,则已经自动为你的订阅启用安全性默认值。 如果你在 2019 年 10 月之前购买了订阅,请按照以下步骤启用 安全默认 MFA。
- 至少以安全管理员身份登录到 Microsoft Entra 管理中心。
- 浏览到 “标识>概述>属性”。
- 选择管理安全性默认设置。
- 将 “安全性默认值 ”设置为 “已启用”。
- 选择“保存”。
有关详细信息,请参阅 什么是安全默认值?
关闭每用户 MFA
如果你以前已启用了每用户 MFA,则必须在启用安全性默认值之前将其关闭。 在条件访问中配置策略和设置后,还应关闭每个用户的 MFA。
- 在 Microsoft 365 管理中心里,在左侧导航栏中选择“用户”>“活动用户”。
- 在 “活动用户 ”页上,选择 “多重身份验证”。
- 在多重身份验证页上,选择每个用户,并将其多重身份验证状态设置为 “已禁用”。
关闭安全默认 MFA
重要
不建议关闭 MFA。
至少以安全管理员或条件访问管理员身份登录到 Microsoft Entra 管理中心。
浏览到 “标识>概述>属性”。
选择管理安全性默认设置。
将 “安全性默认值 ”设置为 “禁用”, (不建议) 。
选择“保存”。
使用条件访问策略
如果你的组织有更精细的登录安全需求, 条件访问策略 可以提供更多的控制。 “条件访问”允许你在向用户授予对应用程序或服务的访问权限前,先创建和定义对登录事件作出反应并请求其他操作的策略。 还可以开始使用 条件访问模板。
重要
启用条件访问策略后,不要忘记禁用每用户 MFA。 这一点很重要,因为它会导致不一致的用户体验。
条件访问适用于购买 Microsoft Entra ID P1 或包含此 ID 的许可证的客户,例如 Microsoft 365 商业高级版和 Microsoft 365 E3。 有关详细信息,请参阅 创建条件访问策略。
基于风险的条件访问可通过 Microsoft Entra ID P2 许可证或包含基于风险的条件访问的许可证(如 Microsoft 365 E5)提供。 有关详细信息,请参阅基于风险的条件访问。
有关Microsoft Entra ID P1 和 P2 的详细信息,请参阅 Microsoft Entra 定价。
后续步骤 - 发送给用户
相关内容
设置多重身份验证(视频)
为手机启用多重身份验证 (文章)
安全默认值和多重身份验证 (文章)