Microsoft Entra 多重要素驗證的功能和授權
若要保護組織中的使用者帳戶,應該使用多重要素驗證。 這項功能對於具有資源特殊許可權存取權的帳戶來說特別重要。 基本多重要素驗證功能適用于 Microsoft 365 和 Microsoft Entra 使用者和全域管理員,無需額外費用。 如果您想要升級系統管理員的功能,或使用更多驗證方法和更大的控制權,將多重要素驗證延伸至其餘使用者,您可以透過數種方式購買 Microsoft Entra 多重要素驗證。
重要
本文詳細說明 Microsoft Entra 多重要素驗證可授權和使用的不同方式。 如需定價和計費的特定詳細資料,請參閱 Microsoft Entra 定價頁面 。
Microsoft Entra 多重要素驗證的可用版本
Microsoft Entra 多重要素驗證可根據貴組織的需求,以幾種不同的方式使用和授權。 所有租使用者都有權透過安全性預設值獲得基本多重要素驗證功能。 根據您目前擁有的 Microsoft Entra 識別碼、EMS 或 Microsoft 365 授權,您可能已有權使用進階 Microsoft Entra 多重要素驗證。 例如,Microsoft Entra 外部 ID中的前 50,000 名每月使用中使用者可以使用 MFA 和其他免費進階版 P1 或 P2 功能。 如需詳細資訊,請參閱 Microsoft Entra 外部 ID定價 。
下表詳細說明取得 Microsoft Entra 多重要素驗證的不同方式,以及每個功能的一些功能和使用案例。
| 如果您是 的使用者 | 功能和使用案例 |
|---|---|
| Microsoft 365 商務進階版和 EMS 或 Microsoft 365 E3 和 E5 | EMS E3、Microsoft 365 E3 和 Microsoft 365 商務進階版包含 Microsoft Entra ID P1。 EMS E5 或 Microsoft 365 E5 包含 Microsoft Entra ID P2。 您可以使用下列各節中所述的相同條件式存取功能,為使用者提供多重要素驗證。 |
| Microsoft Entra ID P1 | 您可以使用 Microsoft Entra 條件式存取 ,在特定案例或事件期間提示使用者進行多重要素驗證,以符合您的商務需求。 |
| Microsoft Entra ID P2 | 提供最強的安全性位置和改善的使用者體驗。 將 風險型條件式存取 新增至適應使用者模式的 Microsoft Entra ID P1 功能,並將多重要素驗證提示降到最低。 |
| 所有 Microsoft 365 方案 | 您可以使用安全性預設值 為所有使用者 啟用 Microsoft Entra 多重要素驗證。 Microsoft Entra 多重要素驗證的管理是透過 Microsoft 365 入口網站。 如需改善的使用者體驗,請升級至 Microsoft Entra ID P1 或 P2,並使用條件式存取。 如需詳細資訊,請參閱 使用多重要素驗證 保護 Microsoft 365 資源。 |
| Office 365 免費版 Microsoft Entra ID Free |
您可以使用 安全性預設值 ,視需要提示使用者進行多重要素驗證,但您沒有啟用的使用者或案例的細微控制,但它確實提供額外的安全性步驟。 即使安全性預設值不是用來為每個人啟用多重要素驗證,指派 Microsoft Entra Global 管理員istrator 角色的使用者 也可以設定為使用多重要素驗證。 免費層的這項功能可確保重要的系統管理員帳戶受到多重要素驗證的保護。 |
以授權為基礎的功能比較
下表提供各種版本的 Microsoft Entra ID 中可用於多重要素驗證的功能清單。 規劃保護使用者驗證的需求,然後判斷哪一種方法符合這些需求。 例如,雖然 Microsoft Entra ID Free 提供安全性預設值,以提供 Microsoft Entra 多重要素驗證,其中只有行動驗證器應用程式可用於驗證提示。 如果您無法確定行動驗證應用程式已安裝在使用者的個人裝置上,這種方法可能是一項限制。 如需詳細資訊,請參閱 本主題稍後的 Microsoft Entra ID 免費層 。
| 功能 | Microsoft Entra ID Free - 安全性預設值 (為所有使用者啟用) | Microsoft Entra ID Free - 僅限全域管理員istrators | Office 365 | Microsoft Entra ID P1 | Microsoft Entra ID P2 |
|---|---|---|---|---|---|
| 使用 MFA 保護 Microsoft Entra 租使用者系統管理員帳戶 | ● | • ( 僅限 Microsoft Entra Global 管理員istrator 帳戶) | ● | ● | ● |
| 行動應用程式作為第二個因素 | ● | ● | ● | ● | ● |
| 電話呼叫作為第二個因素 | ● | ● | ● | ||
| 以文字訊息作為第二個因素 | ● | ● | ● | ● | |
| 管理員驗證方法的控制 | ● | ● | ● | ● | |
| 詐騙警示 | ● | ● | |||
| MFA 報告 | ● | ● | |||
| 通話的自訂問候語 | ● | ● | |||
| 通話的自訂來電者識別碼 | ● | ● | |||
| 可信任 IP | ● | ● | |||
| 記住受信任裝置的 MFA | ● | ● | ● | ● | |
| 內部部署應用程式的 MFA | ● | ● | |||
| 條件式存取 | ● | ● | |||
| 風險型條件式存取 | ● |
比較多重要素驗證原則
我們建議強制執行 MFA 的方法是使用 條件式存取 。 請檢閱下表,以判斷授權中包含的功能。
| 原則 | 安全性預設值 | 條件式存取 | 每位使用者 MFA |
|---|---|---|---|
| 管理 | |||
| 一組標準的安全性規則,以保護您的公司安全 | ● | ||
| 單鍵開啟/關閉 | ● | ||
| 包含在 Office 365 授權中(請參閱 授權考慮 ) | ● | ● | |
| Microsoft 365 系統管理中心精靈中預先設定的範本 | ● | ● | |
| 設定彈性 | ● | ||
| 功能 | |||
| 免除使用者原則 | ● | ● | |
| 透過電話或簡訊進行驗證 | ● | ● | ● |
| 由 Microsoft Authenticator 和軟體權杖進行驗證 | ● | ● | ● |
| 由 FIDO2、Windows Hello 企業版和硬體權杖進行驗證 | ● | ● | |
| 封鎖舊版驗證通訊協定 | ● | ● | ● |
| 新員工會自動受到保護 | ● | ● | |
| 根據風險事件動態 MFA 觸發程式 | ● | ||
| 驗證和授權原則 | ● | ||
| 根據位置和裝置狀態設定 | ● | ||
| 支援「僅限報表」模式 | ● | ||
| 完全封鎖使用者/服務的能力 | ● |
購買並啟用 Microsoft Entra 多重要素驗證
若要使用 Microsoft Entra 多重要素驗證,請註冊或購買合格的 Microsoft Entra 層。 Microsoft Entra ID 有四個版本:Free、Office 365、進階版 P1 和 進階版 P2。
Azure 訂用帳戶即包含免費版。 如需如何使用安全性預設值或保護具有 Microsoft Entra Global 管理員istrator 角色的帳戶的資訊,請參閱下列 章節。
Microsoft Entra ID P1 或 P2 版本可透過您的 Microsoft 代表、 開放大量授權方案和 雲端解決方案提供者計畫 取得。 Azure 和 Microsoft 365 訂閱者也可以線上購買 Microsoft Entra ID P1 和 P2。 登入 以購買。
購買必要的 Microsoft Entra 層之後, 請規劃和部署 Microsoft Entra 多重要素驗證 。
Microsoft Entra ID 免費層
Microsoft Entra ID 免費租使用者中的所有使用者都可以使用安全性預設值來使用 Microsoft Entra 多重要素驗證。 使用 Microsoft Entra ID 免費安全性預設值時,行動驗證應用程式可用於 Microsoft Entra 多重要素驗證。
如果您不想為所有使用者啟用 Microsoft Entra 多重要素驗證,您可以改為選擇只保護具有 Microsoft Entra Global 管理員istrator 角色的 使用者帳戶。 此方法提供重要系統管理員帳戶的更多驗證提示。 您可以根據您使用的帳戶類型,以下列其中一種方式啟用 Microsoft Entra 多重要素驗證:
- 如果您使用 Microsoft 帳戶, 請註冊多重要素驗證 。
- 如果您未使用 Microsoft 帳戶,請在 Microsoft Entra ID 中開啟使用者或群組的多重要素驗證。
下一步
- 如需成本的詳細資訊,請參閱 Microsoft Entra 定價 。
- 什麼是條件式存取
- 什麼是 Identity Protection?
- 您也可以 根據每個使用者啟用 MFA