Microsoft Entra 多重要素驗證的功能和授權

文章
06/24/2024

若要保護組織中的使用者帳戶，應該使用多重要素驗證。這項功能對於資源具有特殊存取權限的帳戶特別重要。 Microsoft 365 和 Microsoft Entra 使用者與全域管理員可以使用基本多重要素驗證功能，無需額外費用。如果您想要升級管理員的功能，或是使用更多驗證方法和更大的控制權以將多重要素驗證擴充至其餘使用者，則可以透過數種方式購買 Microsoft Entra 多重要素驗證。

重要

本文詳細說明 Microsoft Entra 多重要素驗證可授權及使用的不同方式。如需價格與計費的特定詳細資料，請參閱 Microsoft Entra 價格頁面。

Microsoft Entra 多重要素驗證的可用版本

依據您組織的需求，可以透過一些不同的方式使用及授權 Microsoft Entra 多重要素驗證。所有租用戶都有權透過「安全性預設值」取得基本多重要素驗證功能。根據您目前擁有的 Microsoft Entra ID、EMS 或 Microsoft 365 授權，您可能已經有權使用進階 Microsoft Entra 多重要素驗證。例如，Microsoft Entra 外部 ID 的前 50,000 個每月活躍使用者可以免費使用 MFA 與其他 Premium P1 或 P2 功能。如需詳細資訊，請參閱 Microsoft Entra 外部 ID 價格。

下表詳細說明取得 Microsoft Entra 多重要素驗證的不同方式，以及每種方式的一些功能和使用案例。

如果您使用	功能和使用案例
Microsoft 365 商務進階版與 EMS 或 Microsoft 365 E3 與 E5	EMS E3、Microsoft 365 E3 和 Microsoft 365 商務進階版包含 Microsoft Entra ID P1。 EMS E5 或 Microsoft 365 E5 包含 Microsoft Entra ID P2。您可以使用下列各節中所述的相同條件式存取功能，為使用者提供多重要素驗證。
Microsoft Entra ID P1	您可以使用 Microsoft Entra 條件式存取，在特定案例或事件期間提示使用者進行多重要素驗證，以符合您的商務需求。
Microsoft Entra ID P2	提供最強的安全性位置和改善使用者體驗。將風險型條件式存取新增至會配合使用者模式而調整的 Microsoft Entra ID P1 功能，並盡可能減少多重要素驗證提示。
所有 Microsoft 365 方案	您可以使用安全性預設值為所有使用者啟用 Microsoft Entra 多重要素驗證。 Microsoft Entra 多重要素驗證的管理是透過 Microsoft 365 入口網站進行。若要改善使用者體驗，請升級至 Microsoft Entra ID P1 或 P2，並使用條件式存取。如需詳細資訊，請參閱使用多重要素驗證保護 Microsoft 365 資源。
免費 Office 365 Microsoft Entra ID Free	您可以使用安全性預設值，視需要提示使用者進行多重要素驗證，您不能對已啟用的使用者或案例進行細微控制，但安全性預設值會確實提供額外的安全性步驟。即使未使用安全性預設值來為每個人啟用多重要素驗證，獲指派 Microsoft Entra 全域管理員角色的使用者還是可以設定為使用多重要素驗證。免費層的這項功能可以確保重要的系統管理員帳戶受到多重要素驗證保護。

以授權為基礎的功能比較

下表提供各種版本 Microsoft Entra ID 中可用於多重要素驗證的功能清單。規劃保護使用者驗證的需求，然後判斷哪一種方法符合這些需求。例如，雖然 Microsoft Entra ID Free 提供安全性預設值，以提供 Microsoft Entra 多重要素驗證，其中只有行動驗證器應用程式可用於驗證提示。如果您無法確保行動驗證應用程式是安裝在使用者的個人裝置上，這種方法可能會是一項限制。如需詳細資訊，請參閱本主題稍後的 Microsoft Entra ID Free 層。

功能	Microsoft Entra ID Free - 安全性預設值 (已針對所有使用者啟用)	Microsoft Entra ID Free - 僅限全域管理員	Office 365	Microsoft Entra ID P1	Microsoft Entra ID P2
使用 MFA 保護 Microsoft Entra 租用戶系統管理員帳戶	●	• (僅限 Microsoft Entra 全域管理員帳戶)	●	●	●
以行動應用程式做為第二個因素	●	●	●	●	●
以撥打電話做為第二個因素			●	●	●
以文字訊息作為第二個要素		●	●	●	●
系統管理員控制驗證方法		●	●	●	●
詐騙警示				●	●
MFA 報告				●	●
通話的自訂問候語				●	●
自訂的通話來電者 ID				●	●
可信任 IP				●	●
記住受信任裝置的 MFA		●	●	●	●
內部部署應用程式的 MFA				●	●
條件式存取				●	●
依據風險的條件式存取					●

比較多重要素驗證原則

建議的強制 MFA 方法是使用條件式存取。請參閱下列資料表，以判斷您的授權中包含哪些功能。

原則	安全性預設值	條件式存取	個別使用者 MFA
管理
確保公司安全的標準安全性規則集	●
單鍵開啟/關閉	●
包含在 Office 365 授權中 (請參閱授權考量)	●		●
Microsoft 365 系統管理中心精靈中預先設定的範本	●	●
設定彈性		●
功能
將使用者免除於原則之外		●	●
透過通話或簡訊進行驗證	●	●	●
透過 Microsoft Authenticator 與軟體權杖進行驗證	●	●	●
透過 FIDO2、Windows Hello 企業版與硬體權杖進行驗證		●	●
封鎖舊版驗證通訊協定	●	●	●
自動保護新員工	●	●
根據風險事件的動態 MFA 觸發程序		●
驗證與授權原則		●
可根據位置與裝置狀態進行設定		●
支援「報告專用」模式		●
完全封鎖使用者/服務的能力		●

購買並啟用Microsoft Entra 多重要素驗證

若要使用 Microsoft Entra 多重要素驗證，請註冊或購買符合資格的 Microsoft Entra 層。 Microsoft Entra ID 共有四個版本：Free、Office 365、Premium P1 與 Premium P2。

Azure 訂用帳戶即包含免費版。如需如何使用安全性預設值或保護具有 Microsoft Entra 全域管理員 角色的資訊，請參閱下一節。

Microsoft Entra ID P1 或 P2 版本可透過您的Microsoft 代表、開放大量授權計畫，以及雲端解決方案提供者計畫取得。 Azure 和 Microsoft 365 訂閱者也可以線上購買 Microsoft Entra ID P1 和 P2。登入以購買。

購買必要的 Microsoft Entra 層之後，規劃和部署 Microsoft Entra 多重要素驗證。

Microsoft Entra ID Free 層

Microsoft Entra ID Free 租用戶中的所有使用者都可以利用安全性預設值來使用 Microsoft Entra 多重要素驗證。使用 Microsoft Entra ID Free 安全性預設值時，行動驗證應用程式可使用於 Microsoft Entra 多重要素驗證。

如果您不想為所有使用者啟用 Microsoft Entra 多重要素驗證，可以改為選擇只保護具有 Microsoft Entra 全域管理員 角色的使用者帳戶。此方法會針對重要的系統管理員帳戶提供更多驗證提示。您可以根據您使用的帳戶類型，以下列其中一種方式啟用 Microsoft Entra 多重要素驗證：

如果您使用 Microsoft 帳戶，請註冊多重要素驗證。
如果您不使用 Microsoft 帳戶，請為 Microsoft Entra ID 中的使用者或群組開啟多重要素驗證。

分享方式：