查看有关小型企业帮助和学习的所有小型企业内容。
查看 YouTube 上的 Microsoft 365 小型企业帮助。
多重身份验证 (也称为 MFA、双因素身份验证或 2FA) 需要用户登录的第二种验证方法,并提高帐户安全性。
本文包含使用可用选项设置 MFA 的说明:
安全默认值:通过免费Microsoft Entra ID在所有 Microsoft 365 组织中可用。
条件访问策略:在具有 Microsoft Entra ID P1 或 P2 的 Microsoft 365 组织中可用。
不建议使用旧版每用户 MFA () :通过免费Microsoft Entra ID在所有Microsoft 365 组织中可用。
有关 Microsoft 365 中 MFA 的不同选项的信息,请参阅 Microsoft 365 中的多重身份验证
开始前,有必要了解什么?
需要先分配权限,然后才能执行本文中的过程。 可以选择下列选项:
Microsoft Entra权限:
打开或关闭安全默认值:全局管理员或安全管理员*角色的成员身份。
创建和管理条件访问策略: 全局管理员* 或 条件访问管理员 角色的成员身份。
重要
* Microsoft建议使用权限最少的角色。 使用权限较低的帐户有助于提高组织的安全性。 全局管理员是一个权限很高的角色,应仅限于在无法使用现有角色的紧急情况下使用。
若要使用安全默认值或条件访问,需要关闭组织中用户的旧版每用户 MFA。 2019 年以后创建的组织中任何用户可能不会启用它。 有关说明,请参阅启用每用户Microsoft Entra多重身份验证来保护登录事件。
高级:如果在 2019 年 7 月) 之前配置了具有 Active Directory 联合身份验证服务 (AD FS) (的非Microsoft目录服务,请设置 Azure MFA 服务器。 有关详细信息,请参阅具有Microsoft Entra多重身份验证和非Microsoft VPN 解决方案的高级方案。
管理安全性默认值
Microsoft 2019 年 10 月之后创建的 365 个组织默认启用安全默认值。 若要查看或更改组织中安全默认值的当前状态,请执行以下步骤:
在 的Microsoft Entra 管理中心https://entra.microsoft.com中,转到“标识>概述”。 或者,若要直接转到概述页,请使用 https://entra.microsoft.com/#view/Microsoft_AAD_IAM/TenantOverview.ReactView。
在概述页上,选择“ 属性” 选项卡,然后转到选项卡底部的“ 安全默认值 ”部分。
根据安全默认值的当前状态,提供以下体验之一:
安全默认值处于打开状态:显示以下文本并提供了 “管理安全默认值 ”:
你的组织受安全默认设置的保护。
Microsoft Entra ID P1 或 P2 中存在一个或多个条件访问策略:显示以下文本,并且“管理安全默认值”不可用:
你的组织当前使用条件访问策略,这会阻止你启用安全默认值。 可以使用条件访问来配置自定义策略,以启用安全默认值提供的相同行为。
“管理条件访问”将转到 “https://entra.microsoft.com/#view/Microsoft_AAD_ConditionalAccess/PoliciesList.ReactView策略” 页,以管理条件访问策略。 若要在安全默认值和条件访问策略之间切换,请参阅本文中的 从条件访问策略还原到安全默认值 部分。
安全默认值处于关闭状态:显示以下文本并提供了 “管理安全默认值 ”:
你的组织不受安全默认设置的保护。
如果“ 管理安全默认值 ”可用,请选择它以打开或关闭安全默认值:
在打开 的“安全默认值 ”浮出控件中,执行以下步骤之一:
启用安全默认值:在 “安全默认值 ”下拉列表中,选择“ 已启用”,然后选择“ 保存”。
关闭安全默认值:在 “安全默认值 ”下拉列表中,选择“ 已禁用”。 在 “禁用原因 ”部分中,选择“ 我的组织计划使用条件访问”。
完成“安全默认值”浮出控件后,选择“保存”
重要
除非切换到 Microsoft Entra ID P1 或 P2 中的条件访问策略,否则不建议关闭安全默认值。
管理条件访问策略
如果Microsoft 365 组织包含 Microsoft Entra ID P1 或更高版本,则可以使用条件访问而不是安全默认值,实现更高的安全态势和更精细的控制。 例如:
Microsoft 365 商业高级版 (Microsoft Entra ID P1)
Microsoft 365 E3 (Microsoft Entra ID P1)
Microsoft 365 E5 (Microsoft Entra ID P2)
加载项订阅
有关详细信息,请参阅 规划条件访问部署。
从安全默认值切换到条件访问策略需要以下基本步骤:
关闭安全默认值。
创建基线条件访问策略,以在安全默认值中重新创建安全策略。
调整 MFA 排除项。
创建新的条件访问策略。
提示
如果启用了安全默认值,则可以创建新的条件访问策略,但无法启用它们。 关闭安全默认值后,可以打开条件访问策略。
步骤 1:关闭安全默认值
不能同时启用安全默认值和条件访问策略,因此需要做的第一件事就是关闭安全默认值。
有关说明,请参阅本文前面的 管理安全默认值 部分。
步骤 2:创建基线条件访问策略以在安全默认值中重新创建策略
安全默认值中的策略是所有组织Microsoft建议的基线,因此在创建其他条件访问策略之前,请务必在条件访问中重新创建这些策略。
条件访问中的以下模板在安全默认值中重新创建策略:
要求对所有用户执行 MFA
要求管理员进行 MFA*
阻止传统身份验证
要求 Azure 管理执行 MFA
*你可以改用 管理员需要防钓鱼的 MFA 来改善安全状况。
若要使用这些模板创建条件访问策略,请执行以下步骤:
在Microsoft Entra 管理中心,转到条件访问 |位于 的策略https://entra.microsoft.com/#view/Microsoft_AAD_ConditionalAccess/ConditionalAccessBlade/~/Policies页。
在 条件访问 |“策略 ”页,选择“ 从模板新建策略”。
在“ 从模板新建策略 ”页上,验证“ 选择模板 ”选项卡是否已选中。 在 “选择模板 ”选项卡上,验证是否已选中“ 安全基础 ”选项卡。
在“ 安全基础 ”选项卡上,选择所需的模板之一 (例如“ 要求所有用户进行多重身份验证) ”,然后选择“ 查看 + 创建”。
提示
若要查找并选择“ 要求管理员进行防钓鱼多重身份验证” 模板,请使用 “搜索 ”框。
在“ 查看 + 创建 ”选项卡上,查看或配置以下设置:
“基本信息 ”部分:
策略名称:接受默认名称或对其进行自定义。
策略状态:选择“启用”
“分配 ”部分:在“ 用户和组 ”部分中,请注意 “排除的用户” 值为 “当前用户 ”,无法更改它。 仅应从 MFA 要求中排除 紧急访问帐户 。 有关详细信息,请参阅下一步。
完成“ 查看 + 创建 ”选项卡后,选择“ 创建”。
创建的策略显示在 条件访问 | 上“策略 ”页。
对其余模板重复上述步骤。
步骤 3:调整 MFA 排除项
默认情况下,在上一步中创建的条件访问策略包含已登录帐户的排除项,并且无法在策略创建期间修改排除项。
我们建议在每个组织中至少有两个 紧急访问管理员帐户 ,这些帐户未分配给特定个人,并且仅在紧急情况下使用。 需要从 MFA 要求中排除这些帐户。
可能需要删除当前帐户排除项和/或将紧急访问帐户排除添加到以下策略:
要求对所有用户执行 MFA
要求管理员进行 MFA 或 要求管理员使用防钓鱼 MFA
要求 Azure 管理执行 MFA
在创建自定义条件访问策略之前,请创建紧急访问帐户,然后使用以下步骤调整 MFA 相关策略的排除项:
在条件访问 |上的策略页,选择在上一步中创建的与 MFA 相关的策略之一, (例如,要求对 Azure 管理) 进行多重身份验证。https://entra.microsoft.com/#view/Microsoft_AAD_ConditionalAccess/ConditionalAccessBlade/~/Policies
在打开的策略详细信息页上,选择“分配>用户”部分中的“包括的所有用户”和“排除的特定用户”。
在显示的信息中,选择“ 排除 ”选项卡。
在“ 排除 ”选项卡上,配置了以下设置:
选择要从策略中免除的用户和组:选择“ 用户和组 ”值。
选择排除的用户和组:显示值 1 用户 ,并显示用于创建策略的用户帐户。
若要从排除的用户列表中删除当前帐户,请选择“ >删除”。
该值将更改为 0 个用户和组,并 显示警告文本 “选择至少一个用户或组 ”。
若要将紧急访问帐户添加到排除的用户列表,请选择“0 个用户和组”。 在打开 的“选择排除的用户和组” 浮出控件中,找到并选择要排除的紧急访问帐户。 所选用户显示在“ 所选 ”窗格中。 完成后,选择“ 选择”。
返回策略详细信息页,选择“ 保存”。
对其余与 MFA 相关的策略重复上述步骤。
提示
“阻止旧身份验证”策略可能不需要排除项,因此可以使用前面的步骤删除现有排除项。 只需取消选中步骤 4 中的 “用户和组 ”。
有关条件访问策略中用户排除的详细信息,请参阅 用户排除。
步骤 4:创建 mew 条件访问策略
现在可以创建满足业务需求的条件访问策略。 有关详细信息,请参阅 规划条件访问部署。
从条件访问策略还原为安全默认值
使用条件访问策略时,安全默认值处于关闭状态。 如果一个或多个条件访问策略处于任何状态, (“关闭”、“ 打开”或 “仅报告 ”) ,则无法启用安全默认值。 需要先删除所有现有的条件访问策略,然后才能启用安全默认值。
警告
在删除任何条件访问策略之前,请务必记录其设置。
若要删除条件访问策略,请使用以下步骤:
在条件访问 |上的“策略”页,选择要删除的策略。https://entra.microsoft.com/#view/Microsoft_AAD_ConditionalAccess/ConditionalAccessBlade/~/Policies
在打开的详细信息页中,选择页面顶部的“ 删除 ”。
在打开的“ 确定吗?” 对话框中,选择“ 是”。
删除所有条件访问策略后,可以打开安全默认值,如 管理安全默认值中所述。
管理旧版每用户 MFA
强烈建议在 Microsoft 365 中使用安全默认值或 MFA 条件访问。 如果不能,最后一个选项是通过免费Microsoft Entra ID为单个Microsoft Entra ID帐户进行 MFA。
有关说明,请参阅启用每用户Microsoft Entra多重身份验证来保护登录事件。
后续步骤
管理员:管理员 Microsoft 365 商业版中的帐户安全性
用户:
什么是多重身份验证
注册后登录
更改执行其他验证的方式
设置 Microsoft 365 登录进行多重身份验证 和以下视频:
相关内容
设置多重身份验证(视频)
为手机启用多重身份验证 (文章)
Microsoft 365 的多重身份验证 (文章)