Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Hasła są najczęstszą metodą uwierzytelniania użytkowników, ale są również najbardziej narażone. Osoby często używają słabych, łatwych do odgadnięcia haseł i używają tych samych poświadczeń w różnych usługach.
Aby zapewnić dodatkowy poziom zabezpieczeń, uwierzytelnianie wieloskładnikowe (znane również jako uwierzytelnianie wieloskładnikowe, uwierzytelnianie dwuskładnikowe lub 2FA) wymaga drugiej metody weryfikacji dla logowań użytkowników na podstawie:
- Coś, co użytkownik ma, nie jest łatwo zduplikowane. Na przykład smartfon.
- Coś unikatowego dla użytkownika. Na przykład odcisk palca lub inne atrybuty biometryczne.
Dodatkowa metoda weryfikacji jest używana dopiero po zweryfikowaniu hasła. Nawet jeśli silne hasło użytkownika zostanie naruszone, osoba atakująca nie ma telefonu inteligentnego ani odcisków palców użytkownika, aby ukończyć logowanie.
Dostępne metody włączania uwierzytelniania wieloskładnikowego w organizacjach platformy Microsoft 365, w tym microsoft 365 dla organizacji biznesowych, zostały opisane w poniższych sekcjach.
Aby uzyskać instrukcje dotyczące konfiguracji, zobacz Konfigurowanie uwierzytelniania wieloskładnikowego dla platformy Microsoft 365.
Ustawienia domyślne zabezpieczeń
Wartości domyślne zabezpieczeń to zestaw niemodyfikowalnych zasad we wszystkich organizacjach platformy Microsoft 365 za pośrednictwem bezpłatnego identyfikatora Microsoft Entra.
Wartości domyślne zabezpieczeń obejmują następujące funkcje zabezpieczeń:
- Wymagaj od wszystkich użytkowników i administratorów zarejestrowania się w celu Microsoft Entra uwierzytelniania wieloskładnikowego (MFA) przy użyciu aplikacji Microsoft Authenticator lub dowolnej aplikacji uwierzytelniania innej niż Microsoft, która obsługuje funkcję OATH TOTP.
- Wymagaj uwierzytelniania wieloskładnikowego dla kont administratorów przy każdym logowanie.
- Wymagaj uwierzytelniania wieloskładnikowego dla użytkowników w razie potrzeby (na przykład na nowych urządzeniach).
- Blokuj starsze protokoły uwierzytelniania (na przykład POP3 i IMAP4 w starych klientach poczty e-mail).
- Wymagaj uwierzytelniania wieloskładnikowego dla użytkowników i administratorów uzyskujących dostęp do usług azure Resource Manager (na przykład microsoft Azure Portal).
Wartości domyślne zabezpieczeń są włączone lub wyłączone w organizacji. Organizacje platformy Microsoft 365 utworzone po październiku 2019 r. mają domyślne ustawienia zabezpieczeń (w związku z tym uwierzytelnianie wieloskładnikowe) są domyślnie włączone, więc nie musisz nic robić, aby włączyć ustawienia domyślne zabezpieczeń lub uwierzytelnianie wieloskładnikowe w nowej organizacji. W wielu organizacjach wartości domyślne zabezpieczeń oferują dobry, podstawowy poziom zabezpieczeń logowania.
Aby uzyskać więcej informacji na temat ustawień domyślnych zabezpieczeń i wymuszanych zasad, zobacz Wymuszanie zasad zabezpieczeń w ustawieniach domyślnych zabezpieczeń.
Aby skonfigurować wartości domyślne zabezpieczeń, zobacz Zarządzanie wartościami domyślnymi zabezpieczeń.
Zasady dostępu warunkowego
Alternatywnie do korzystania z wartości domyślnych zabezpieczeń zasady dostępu warunkowego są dostępne dla organizacji, które mają identyfikator Microsoft Entra P1 lub P2. Na przykład:
- Microsoft 365 Business Premium (identyfikator Microsoft Entra P1)
- Microsoft 365 E3 (identyfikator Microsoft Entra P1)
- Microsoft 365 E5 (identyfikator Microsoft Entra P2)
- Subskrypcja dodatku
Porada
Organizacje z identyfikatorem Microsoft Entra P2 mają również dostęp do Ochrona tożsamości Microsoft Entra. Możesz utworzyć zasady dostępu warunkowego, aby wymagać uwierzytelniania wieloskładnikowego w przypadku podwyższonego ryzyka logowania. Aby uzyskać więcej informacji, zobacz Co to jest Ochrona tożsamości Microsoft Entra?.
Należy utworzyć zasady dostępu warunkowego, które reagują na zdarzenia logowania przed udzieleniem użytkownikowi dostępu do aplikacji lub usługi. Jeśli Twoja organizacja ma złożone wymagania dotyczące zabezpieczeń lub potrzebujesz szczegółowej kontroli nad zasadami zabezpieczeń, możesz użyć zasad dostępu warunkowego zamiast domyślnych zabezpieczeń.
Ważna
Organizacje mogą używać domyślnych zabezpieczeń lub zasad dostępu warunkowego, ale nie jednocześnie. Zasady dostępu warunkowego wymagają wyłączenia wartości domyślnych zabezpieczeń, dlatego ważne jest, aby ponownie utworzyć zasady z wartości domyślnych zabezpieczeń w zasadach dostępu warunkowego jako punkt odniesienia dla wszystkich użytkowników.
Aby uzyskać więcej informacji na temat zasad dostępu warunkowego, zobacz Co to jest dostęp warunkowy?.
Aby skonfigurować zasady dostępu warunkowego, zobacz Zarządzanie zasadami dostępu warunkowego.
Starsza wersja uwierzytelniania wieloskładnikowego dla użytkownika (niezalecana)
Jeśli nie możesz używać domyślnych zabezpieczeń ani dostępu warunkowego ze względów biznesowych, ostatnią opcją jest użycie starszej usługi MFA dla poszczególnych kont identyfikatorów Microsoft Entra. Ta opcja jest dostępna z bezpłatnym planem Microsoft Entra ID. Zdecydowanie zalecamy uwierzytelnianie wieloskładnikowe dla kont z rolami administratora, zwłaszcza roli administratora globalnego.
Aby uzyskać instrukcje dotyczące konfiguracji, zobacz Włączanie uwierzytelniania wieloskładnikowego dla poszczególnych użytkowników Microsoft Entra w celu zabezpieczenia zdarzeń logowania.
Ważna
Firma Microsoft rekomenduje używanie ról z najmniejszą liczbą uprawnień. Korzystanie z kont o niższych uprawnieniach pomaga zwiększyć bezpieczeństwo organizacji. Administrator globalny to rola o wysokim poziomie uprawnień, która powinna być ograniczona do scenariuszy awaryjnych, gdy nie można użyć istniejącej roli. Aby dowiedzieć się więcej, zobacz Informacje o rolach administratora w Centrum administracyjne platformy Microsoft 365.
Porównywanie metod uwierzytelniania wieloskładnikowego
W poniższej tabeli przedstawiono wyniki włączania uwierzytelniania wieloskładnikowego z ustawieniami domyślnymi zabezpieczeń, zasadami dostępu warunkowego lub ustawieniami konta użytkownika.
| Metoda | Metoda włączona | Wyłączono metodę | Dostępne metody uwierzytelniania |
|---|---|---|---|
| Ustawienia domyślne zabezpieczeń | Jeśli ustawienia domyślne zabezpieczeń są włączone, możesz utworzyć nowe zasady dostępu warunkowego, ale nie możesz ich włączyć. | Po wyłączeniu ustawień domyślnych zabezpieczeń można włączyć zasady dostępu warunkowego. | Aplikacja Microsoft Authenticator lub dowolna aplikacja uwierzytelniania spoza firmy Microsoft, która obsługuje OATH TOTP. |
| Zasady dostępu warunkowego | Jeśli co najmniej jedna zasady dostępu warunkowego istnieje w dowolnym stanie (tylko wyłączone, włączone lub raport), nie można włączyć wartości domyślnych zabezpieczeń. | Jeśli nie ma żadnych zasad dostępu warunkowego, możesz włączyć ustawienia domyślne zabezpieczeń. |
Aplikacja Microsoft Authenticator lub dowolna aplikacja uwierzytelniania spoza firmy Microsoft, która obsługuje OATH TOTP. Inne metody uwierzytelniania mogą być również dostępne, w zależności od skonfigurowanej siły uwierzytelniania. |
| Starsza wersja uwierzytelniania wieloskładnikowego dla użytkownika (niezalecana) | Zastępuje wartości domyślne zabezpieczeń i zasady dostępu warunkowego wymagające uwierzytelniania wieloskładnikowego przy każdym logowaniu. | Zastępowane przez wartości domyślne zabezpieczeń lub zasady dostępu warunkowego | Określony przez użytkownika podczas rejestracji uwierzytelniania wieloskładnikowego |
Następne kroki
Administratorzy:
Użytkownicy: skonfiguruj logowanie do platformy Microsoft 365 na potrzeby uwierzytelniania wieloskładnikowego i poniższego wideo:
Zawartość pokrewna
Włączanie uwierzytelniania wieloskładnikowego (wideo)
Włączanie uwierzytelniania wieloskładnikowego dla telefonu (wideo)