在 Microsoft 365 中启用多重身份验证 (MFA)
安全默认值和需要 MFA 的条件访问之间的主要区别。
每个用户的 MFA 状态(已禁用、已启用、已强制执行)及其影响。
验证方法:身份验证器、短信/电话和 应用 兼容 TOTP。
使用 Microsoft Graph 进行自动化和控制以及排除的最佳实践。
保护帐户 您的组织不再是可选的:多因素身份验证 (MFA) 微软365 添加二次登录验证,防止使用被盗凭证。不再仅仅依赖密码,而是需要第二个因素,例如应用内提示或临时代码,即使攻击者知道您的密码,也能阻止他们。
除了提高安全性外, 用户体验 它可以非常灵活:使用 Microsoft Authenticator,许多验证只需轻触即可完成,无需输入代码。如果您管理租户,您会发现需要 MFA 的方式有很多:从安全默认值,到使用 P1/P2 许可证的条件访问,再到传统的“每用户 MFA”模型。
Microsoft 365 中的多重身份验证 (MFA) 是什么?
MFA 在经典用户名和密码的基础上增加了第二个因素, 证明你就是你这些因素通常包括:您知道的信息(密码或 PIN 码)、您拥有的信息(手机或实体钥匙)或您的身份信息(生物识别信息)。首次登录设备或应用时,除了密码外,您还需要完成这第二次验证。
实际上,这意味着即使有人获得了你的密码, 将无法进入 无需第二个身份验证因素。使用 Microsoft Authenticator 等应用,六位数验证码每 30 秒更改一次,您甚至可以通过点击来批准提示,这使得冒充变得困难,并简化了日常使用。
根据微软的数据,激活 MFA 降低风险 即使凭证被盗,也能将安全事故风险降低 99,99%。对于任何组织而言,这都是一项高效且低投入的安全增强措施。
开始之前:要求、选项和资源
如果您的租户是在 2019 年 10 月之后创建的,您可以 安全默认值已启用 默认情况下。这些默认设置需要基于适用于大多数组织的基线的 MFA,而无需额外的条件访问许可证。
如果您拥有 Microsoft Entra ID P1 或 P2(存在于 Microsoft 365 Business Premium、E3 或 E5 等计划中), 条件访问 它允许您创建精细的规则和例外情况,以根据风险、位置、应用等因素强制执行 MFA。为了实现更稳健、更灵活的安全态势,我们推荐您使用这种方法。
当管理员在组织或用户级别启用 MFA 时,每个人都必须完成简短的初始设置。 默认方法 是使用 Microsoft Authenticator 应用程序,但您也可以选择短信或电话,并且在兼容应用程序中还有基于 TOTP(临时代码)的替代方案。
对于小型企业,还有其他资源可以提供帮助,例如 YouTube 上的特定内容和材料, 可以促进部署您还可以在 Microsoft 网站上找到包含所有选项和详细信息的官方文档,这将有助于扩展您的知识并回答特定问题。
启用和管理安全默认值
安全默认设置是最快的方式 需要 MFA 无需自定义。要查看它们或更改其状态,请转到 Microsoft 管理中心。 https://entra.microsoft.com,转到“身份”>“常规租户信息”(或使用快捷方式 租户概览.ReactView),然后打开“属性”选项卡。在底部,您会找到“安全默认值”部分。
uBlock Origin完整教程:分步指南根据租户状态,您将看到以下场景之一:如果已启用,则会出现确认消息 该组织受到保护 默认情况下,如果配置了条件访问 (CA) 策略,您将无法启用它们,并且会提示您管理 CA;如果禁用它们,则组织将显示为不受安全默认值的保护。
要更改状态,请选择“管理安全默认值”。在弹出面板中,选择“已启用”并保存以激活它们。如果要停用它们,请选择“已禁用”,然后在“禁用原因”下选择“我的组织计划使用条件访问”。 留下记录 焦点变化。保存以应用更改。
请记住,安全默认值和条件访问 他们不能生活在一起 同时。如果您想使用 CA,请先禁用“安全默认值”。同样,要恢复“安全默认值”,您需要删除所有处于任意状态(启用、禁用或报告)的 CA 策略。
条件接收 (P1/P2):从基线到定制策略
使用 P1 或 P2 许可证,条件访问允许控制 更细粒度 安全默认值。建议的转换遵循四个步骤:禁用安全默认值、创建复制安全默认值保护的基准策略、调整 MFA 排除项,最后创建新的自定义策略。
1) 禁用安全默认值。我们之前见过这种情况:您不能同时使用 CA 和安全默认值,因此 这第一步 是强制性的。2) 从模板创建基准策略。前往“条件访问”>“策略”(政策),选择“新建模板策略”,“安全基础”选项卡并选择必要的(例如,“要求所有用户进行多重身份验证”)。
在“审核 + 创建”中,将策略设置为“开启”,根据需要自定义名称,然后审核“用户和组”。创建这些策略时,您会看到默认排除“当前用户”;稍后会详细介绍。 你会调整 排除项仅包含紧急访问帐户(突破玻璃策略)。创建策略并使用其余模板重复此操作。注意:如果您愿意,可以使用“要求管理员启用防模拟 MFA”来增强保护。
3) 调整 MFA 排除规则。微软建议至少设置两个不分配给特定个人的紧急访问账户。这些账户应该 选择退出 MFA 仅在出现问题时使用。编辑每个与 MFA 相关的策略,前往“分配”>“用户”>“排除”,删除列出的用户,然后添加紧急帐户。保存更改,并对每个适用的策略重复此操作。
4) 创建附加策略。在制定基准策略的基础上,添加反映您需求的新规则:例如,要求在危险地点进行 MFA, 放宽要求 在受信任的设备上,或对管理角色强制执行防网络钓鱼方法。当您需要恢复默认安全设置时,请删除所有 CA 策略,然后在“属性”中重新启用它们。
每个用户的 MFA(旧模型):状态和管理
“每用户 MFA” 方法仍然可用,特别是对于没有 CA 且不想使用安全默认值的租户,但微软 建议避免 支持上述方法。每个帐户可以处于三种状态:禁用、启用或强制/必需。
这些状态具有不同的含义:在“禁用”状态下,不请求 MFA;在“启用”状态下,用户已注册但 你仍然可以使用 在注册完成之前,需要使用传统身份验证的密码;在强制执行中,浏览器和现代应用程序登录需要 MFA,而传统应用程序通常需要应用程序密码。
在 Office 和 Windows Ink 中使用绘图板(Wacom、Huion)要查看和管理状态,请登录 Microsoft 管理中心。以身份验证策略管理员身份登录,导航至“身份”>“用户”>“所有用户”,然后点击“每用户 MFA”。然后,您可以打开“用户 MFA 设置”。 更新状态 为每个帐户创建并保存。如果您管理数千个用户,请使用状态或特定搜索词进行筛选,以避免出现空列表。
如果您需要更改状态:返回“每个用户启用 MFA”,选择相应帐户,然后选择“启用 MFA”或根据需要进行调整。启用后,请告知相关人员原因 通知将会出现 下次登录时注册,并考虑不支持现代身份验证的应用程序的应用程序密码。
使用 Microsoft Graph(测试版)实现自动化管理
您还可以使用 Graph API(测试版)查询和更新每个用户的 MFA 状态。要检索状态,请发出如下请求: 带回 perUserMfaState 属性:
GET 请求: GET /users/{id | userPrincipalName}/authentication/requirements
请求示例: GET https://graph.microsoft.com/beta/users/071cc716-8147-4397-a5ba-b2105951cc0b/authentication/requirements
如果用户启用了该功能,响应将包括类似 "perUserMfaState": "强制执行"要更改它,请在同一资源上使用 PATCH:
PATCH 示例: PATCH https://graph.microsoft.com/beta/users/071cc716-8147-4397-a5ba-b2105951cc0b/authentication/requirements
JSON 主体如下: { "perUserMfaState": "disabled" }如果一切顺利,您将收到 HTTP 204 无内容查看 Graph 文档以了解权限和生产注意事项。
最终用户设置:完成 MFA 注册
一旦管理员在组织中启用 MFA,每个用户都会完成登录过程。 初始设定 非常简短。典型流程如下:您登录 Microsoft 365 中的工作/学校帐户,输入密码后,系统会要求您提供“更多信息”。
向导建议使用 Microsoft Authenticator 应用作为默认方法。如果您的手机上已安装该应用,请按照以下步骤操作 新增帐户如果没有,它会提供下载链接。如果您希望接收短信或电话,请选择“我想设置其他方式”,并提供您的号码,以便使用六位数代码验证设备。
下次登录时,系统会要求您完成第二次验证,可以使用应用程序中的通知/代码或 SMS收到的验证码如果您使用不支持多重身份验证(现代身份验证)的应用程序,则需要创建应用程序密码才能使其保持正常运行。
要查看或添加登录方式,请前往“安全信息”页面,在那里您可以管理登录选项(身份验证器应用、短信/电话等)。建议为 不要被卡住 如果您丢失了主要的手机。
良好做法、替代方法和常见考虑
建议定义使用不同设备的方法,以避免依赖于单个设备。例如,结合 Microsoft身份验证器 在您的主手机上通过短信向另一部手机发送消息,或者在多个设备上安装该应用程序以进行备份。
不强制使用您的个人手机:您可以使用基于 TOTP(临时代码) 例如 andOTP、FreeOTP、Duo Mobile 或其他兼容的 安卓 e iOS请注意,这些代码通常会在 15 到 30 秒内过期,您必须在它们过期之前输入它们。
如何有效地将 OneDrive 与 Office 同步要查看您启用了哪些方法,请使用密码和双重身份验证登录后,访问“安全信息”页面。某些组织会维护特定的安全程序。 改变与恢复 密码(例如,通过内部门户),因此请按照您所在实体的指示进行操作(如果适用)。
如果你的组织使用较旧或旧版应用,则当 MFA 状态为“强制执行”时,你将需要应用密码。在有条件访问的情况下,你可以考虑“在受信任的设备上记住 MFA”来 减少摩擦 在不降低安全标准的情况下在企业团队中。
Microsoft Authenticator 的一个优点是它避免了漫游费用,因为它并不总是依赖短信;在很多情况下,批准推送通知就足够了。这种“一键式”体验 简化日常生活 并提高用户采用率。
从提供商面板启用或禁用 MFA(例如 GoDaddy)
如果您通过 GoDaddy 等提供商管理 Microsoft 365,则有一个“多重身份验证”页面,您可以在其中 启用并应用 针对特定用户的 MFA。使用您的 Microsoft 365 邮箱和密码登录(注意:GoDaddy 凭据在该页面上无效)。如果您没有管理员权限,则会看到登录错误。
要启用 MFA,请勾选所需用户的复选框,然后点击“启用 MFA”,确认提示,然后重新选择相同的用户以“强制执行 MFA”。每个用户都需要定义自己的访问方法。 登录 (您可以与他们分享说明。)如果需要,您还可以为选定的帐户禁用 MFA,之后他们只会被提示输入用户名和密码。
安全性、合规性和相关资源
如果您的组织在监管框架内运营,Microsoft 提供适用于以下环境的合规性文档 西班牙的ENS 以及 GDPR 和各服务数据本地化的指南。查看这些参考资料将有助于您验证实施 MFA 和其他措施是否符合您的监管义务。
为了规划条件访问部署,Microsoft 发布了分步指南和教程。您还可以找到相关资料,例如“设置多重身份验证”(文章和视频)、“为手机启用多重身份验证”以及以下白皮书: 明白为什么 特定登录是否需要 MFA。
寻求额外支持时,请记住,我们为小型企业和 YouTube 等频道提供了帮助内容,并附带实际演示。如果您希望委托他人实施, 专业合作伙伴 它们可以帮助您激活安全默认值、设计条件访问策略并有序地指导用户注册。
在 Microsoft 365 中采用 MFA 是那些既能提升安全性又不会增加不必要复杂性的决策之一:安全默认设置可让您快速上手,条件访问可让您实现精细控制,而每用户 MFA 则涵盖了遗留问题。如果您还能养成良好的习惯(备份方法、紧急账户、在适当的情况下设置应用密码),并为用户提供清晰的指导, 您的组织 将更好地防止凭证盗窃和冒充攻击。
艾萨克对字节世界和一般技术充满热情的作家。我喜欢通过写作分享我的知识,这就是我在这个博客中要做的,向您展示有关小工具、软件、硬件、技术趋势等的所有最有趣的事情。我的目标是帮助您以简单而有趣的方式畅游数字世界。
