Udostępnij przez

Konfigurowanie uwierzytelniania wieloskładnikowego dla platformy Microsoft 365

Uwierzytelnianie wieloskładnikowe (nazywane również uwierzytelnianiem wieloskładnikowym, uwierzytelnianiem dwuskładnikowym lub uwierzytelnianiem dwuskładnikowym) wymaga drugiej metody weryfikacji dla logowania użytkowników i zwiększa bezpieczeństwo konta.

Ten artykuł zawiera instrukcje dotyczące konfigurowania uwierzytelniania wieloskładnikowego przy użyciu dostępnych opcji:

Aby uzyskać informacje o różnych opcjach uwierzytelniania wieloskładnikowego w usłudze Microsoft 365, zobacz Uwierzytelnianie wieloskładnikowe na platformie Microsoft 365

Co należy wiedzieć przed rozpoczęciem?

  • Przed ukończeniem procedur w tym artykule musisz mieć przypisane odpowiednie uprawnienia. Oto kilka opcji:

    • uprawnienia Microsoft Entra:

      • Włącz lub wyłącz ustawienia domyślne zabezpieczeń: Członkostwo w rolach administratora globalnego lub administratora zabezpieczeń .
      • Tworzenie zasad dostępu warunkowego i zarządzanie nimi: członkostwo w rolach administratora globalnego lub administratora dostępu warunkowego .

      Ważna

      Firma Microsoft rekomenduje używanie ról z najmniejszą liczbą uprawnień. Korzystanie z kont o niższych uprawnieniach pomaga zwiększyć bezpieczeństwo organizacji. Administrator globalny to rola o wysokim poziomie uprawnień, która powinna być ograniczona do scenariuszy awaryjnych, gdy nie można użyć istniejącej roli.

  • Aby używać domyślnych zabezpieczeń lub dostępu warunkowego, należy wyłączyć starszą uwierzytelnianie wieloskładnikowe dla poszczególnych użytkowników dla użytkowników w organizacji. Jeśli subskrypcja organizacji została uruchomiona po 2019 r., starsza wersja uwierzytelniania wieloskładnikowego dla poszczególnych użytkowników najprawdopodobniej nie jest włączona. Aby uzyskać więcej informacji, zobacz Enable per-user Microsoft Entra multifactor authentication to secure sign-in events (Włączanie uwierzytelniania wieloskładnikowego dla poszczególnych użytkowników w celu zabezpieczania zdarzeń logowania).

Uwaga

Jeśli do lipca 2019 r. skonfigurowano usługi katalogowe innych niż Microsoft z usługami Active Directory Federation Services (AD FS), skonfiguruj serwer usługi Azure MFA. Aby uzyskać więcej informacji, zobacz Zaawansowane scenariusze z uwierzytelnianiem wieloskładnikowym Microsoft Entra i rozwiązaniami sieci VPN innych niż Microsoft.

Zarządzanie wartościami domyślnymi zabezpieczeń

Dzierżawy platformy Microsoft 365 utworzone po październiku 2019 r. mają domyślnie włączone ustawienia domyślne zabezpieczeń. Aby wyświetlić lub zmienić bieżący stan domyślnych zabezpieczeń w organizacji, wykonaj następujące kroki:

  1. W centrum administracyjne Microsoft Entra przejdź do obszaru Omówienie tożsamości>. Możesz też przejść bezpośrednio do strony przeglądu Microsoft Entra.

  2. Na stronie przeglądu wybierz kartę Właściwości , a następnie przejdź do sekcji Ustawienia domyślne zabezpieczeń w dolnej części karty.

    W zależności od bieżącego stanu domyślnych zabezpieczeń jest dostępne jedno z następujących środowisk:

    • Wartości domyślne zabezpieczeń są włączone: Wyświetlany jest następujący tekst i dostępne są ustawienia Zarządzaj wartościami domyślnymi zabezpieczeń :

      Twoja organizacja jest domyślnie chroniona przez zabezpieczenia.

    • Co najmniej jedna zasady dostępu warunkowego istnieją w Tożsamość Microsoft Entra P1 lub P2: Wyświetlany jest następujący tekst i zarządzanie wartościami domyślnymi zabezpieczeń jest niedostępne:

      Twoja organizacja korzysta obecnie z zasad dostępu warunkowego, które uniemożliwiają włączenie wartości domyślnych zabezpieczeń. Za pomocą dostępu warunkowego można skonfigurować zasady niestandardowe, które umożliwiają takie same zachowanie zapewniane przez wartości domyślne zabezpieczeń.

      Zarządzanie dostępem warunkowym spowoduje przejście do strony Zasady , na której można zarządzać zasadami dostępu warunkowego. Aby przełączyć się między wartościami domyślnymi zabezpieczeń i zasadami dostępu warunkowego, zobacz sekcję Przywracanie do wartości domyślnych zabezpieczeń z sekcji Zasady dostępu warunkowego w tym artykule.

    • Wartości domyślne zabezpieczeń są wyłączone: wyświetlany jest następujący tekst i dostępne są ustawienia Zarządzaj wartościami domyślnymi zabezpieczeń :

      Twoja organizacja nie jest chroniona domyślnie przez zabezpieczenia.

  3. Jeśli jest dostępna funkcja Zarządzaj wartościami domyślnymi zabezpieczeń , wybierz ją, aby włączyć lub wyłączyć ustawienia domyślne zabezpieczeń.

    W wyświetlonym menu wysuwowym Ustawienia domyślne zabezpieczeń wykonaj jedną z następujących czynności:

    • Włącz wartości domyślne zabezpieczeń: na liście rozwijanej Ustawienia domyślne zabezpieczeń wybierz pozycję Włączone, a następnie wybierz pozycję Zapisz.
    • Wyłącz wartości domyślne zabezpieczeń: na liście rozwijanej Ustawienia domyślne zabezpieczeń wybierz pozycję Wyłączone. W sekcji Przyczyna wyłączenia wybierz pozycję Moja organizacja planuje używać dostępu warunkowego.

    Po zakończeniu pracy z wysuwem Ustawienia domyślne zabezpieczeń wybierz pozycję Zapisz

    Uwaga

    Nie wyłączaj wartości domyślnych zabezpieczeń, chyba że przełączasz się na zasady dostępu warunkowego w Tożsamość Microsoft Entra P1 lub P2.

Zarządzanie zasadami dostępu warunkowego

Jeśli Twoja organizacja platformy Microsoft 365 obejmuje Tożsamość Microsoft Entra P1 lub nowszym, możesz użyć dostępu warunkowego zamiast domyślnych zabezpieczeń, aby uzyskać wyższą postawę zabezpieczeń i bardziej szczegółową kontrolę. Przykład:

  • Microsoft 365 Business Premium (Tożsamość Microsoft Entra P1)
  • Microsoft 365 E3 (Tożsamość Microsoft Entra P1)
  • Microsoft 365 E5 (Tożsamość Microsoft Entra P2)
  • Subskrypcja dodatku

Aby uzyskać więcej informacji, zobacz Planowanie wdrożenia dostępu warunkowego.

Przejście z wartości domyślnych zabezpieczeń na zasady dostępu warunkowego wymaga następujących podstawowych kroków:

  1. Wyłącz wartości domyślne zabezpieczeń.

  2. Utwórz podstawowe zasady dostępu warunkowego, aby ponownie utworzyć zasady zabezpieczeń w ustawieniach domyślnych zabezpieczeń.

  3. Dostosuj wykluczenia uwierzytelniania wieloskładnikowego.

  4. Utwórz nowe zasady dostępu warunkowego.

Porada

Jeśli ustawienia domyślne zabezpieczeń są włączone, możesz utworzyć nowe zasady dostępu warunkowego, ale nie możesz ich włączyć. Po wyłączeniu ustawień domyślnych zabezpieczeń można włączyć zasady dostępu warunkowego.

Krok 1. Wyłączanie ustawień domyślnych zabezpieczeń

Ustawienia domyślne zabezpieczeń i zasady dostępu warunkowego nie mogą być włączone w tym samym czasie, dlatego najpierw należy wyłączyć ustawienia domyślne zabezpieczeń.

Aby uzyskać instrukcje, zobacz poprzednią sekcję Zarządzanie wartościami domyślnymi zabezpieczeń w tym artykule.

Krok 2. Tworzenie podstawowych zasad dostępu warunkowego w celu ponownego utworzenia zasad w ustawieniach domyślnych zabezpieczeń

Zasady domyślne zabezpieczeń są zalecaną przez firmę Microsoft bazą bazową dla wszystkich organizacji, dlatego przed utworzeniem innych zasad dostępu warunkowego należy ponownie utworzyć te zasady w obszarze Dostęp warunkowy.

Następujące szablony w obszarze Dostęp warunkowy ponownie tworzą zasady w ustawieniach domyślnych zabezpieczeń:

Aby utworzyć zasady dostępu warunkowego przy użyciu tych szablonów, wykonaj następujące kroki:

  1. W centrum administracyjne Microsoft Entra przejdź do obszaru Dostęp warunkowy | Strona zasad.

  2. W dostępie warunkowym | Strona Zasady wybierz pozycję Nowe zasady z szablonu.

  3. Na stronie Nowe zasady z szablonu sprawdź, czy wybrano kartę Wybierz szablon . Na karcie Wybierz szablon sprawdź, czy wybrano kartę Bezpieczna podstawa .

  4. Na karcie Bezpieczna podstawa wybierz jeden z wymaganych szablonów (na przykład Wymagaj uwierzytelniania wieloskładnikowego dla wszystkich użytkowników), a następnie wybierz pozycję Przejrzyj i utwórz.

    Porada

    Aby znaleźć i wybrać szablon Wymagaj uwierzytelniania wieloskładnikowego odpornego na wyłudzanie informacji dla administratorów, użyj pola Wyszukiwania.

  5. Na karcie Przeglądanie i tworzenie wyświetl lub skonfiguruj następujące ustawienia:

    • Sekcja Podstawy :

      • Nazwa zasad: zaakceptuj nazwę domyślną lub dostosuj ją.
      • Stan zasad: wybierz pozycję Wł.

    • Sekcja Przypisania: w sekcji Użytkownicy i grupy zwróć uwagę, że wartość Wykluczeni użytkownicy to Bieżący użytkownik i nie można jej zmienić. Tylko konta dostępu awaryjnego powinny być wykluczone z wymagań uwierzytelniania wieloskładnikowego. Aby uzyskać więcej informacji, zobacz następny krok.

    Po zakończeniu na karcie Przeglądanie i tworzenie wybierz pozycję Utwórz.

    Utworzone zasady są wyświetlane w obszarze Dostęp warunkowy | Strona zasad .

  6. Powtórz poprzednie kroki dla pozostałych szablonów.

Krok 3. Dostosowywanie wykluczeń uwierzytelniania wieloskładnikowego

Domyślnie zasady dostępu warunkowego utworzone w poprzednim kroku zawierają wykluczenia dla konta, które zostało zalogowane jako, i nie można modyfikować wykluczeń podczas tworzenia zasad.

Zalecamy co najmniej dwa konta administratora dostępu awaryjnego w każdej organizacji, które nie są przypisane do określonych osób i są używane tylko w nagłych wypadkach. Te konta muszą zostać wykluczone z wymagań uwierzytelniania wieloskładnikowego.

Może być konieczne usunięcie wykluczeń bieżącego konta i/lub dodanie wykluczeń konta dostępu awaryjnego do następujących zasad:

Przed utworzeniem niestandardowych zasad dostępu warunkowego utwórz konta dostępu awaryjnego, a następnie wykonaj następujące kroki, aby dostosować wykluczenia dotyczące zasad związanych z uwierzytelnianiem wieloskładnikowym:

  1. W dostępie warunkowym | Na stronie Zasady wybierz jedną z zasad związanych z uwierzytelnianiem wieloskładnikowym utworzonych w poprzednim kroku (na przykład Wymagaj uwierzytelniania wieloskładnikowego na potrzeby zarządzania Azure).

  2. Na stronie szczegółów zasad, która zostanie otwarta, wybierz pozycję Wszyscy dołączeni użytkownicy i określoni użytkownicy wykluczeni w sekcji Przypisania>użytkownicy .

  3. W wyświetlonych informacjach wybierz kartę Wyklucz .

  4. Na karcie Wykluczanie skonfigurowano następujące ustawienia:

    • Wybierz użytkowników i grupy, które mają zostać wykluczone z zasad: wybrana jest wartość Użytkownicy i grupy .

    • Wybierz wykluczonych użytkowników i grupy: wyświetlana jest wartość 1 użytkownika , a konto użytkownika użyte do utworzenia zasad zostanie wyświetlone.

      • Aby usunąć bieżące konto z listy wykluczonych użytkowników, wybierz pozycję >Usuń.

      Wartość zmieni się na 0 wybranych użytkowników i grup , a zostanie wyświetlony tekst ostrzeżenia Wybierz co najmniej jednego użytkownika lub grupę .

      • Aby dodać konta dostępu awaryjnego do listy wykluczonych użytkowników, wybierz 0 wybranych użytkowników i grup. W wyświetlonym menu wysuwnym Wybierz wykluczonych użytkowników i grupy znajdź i wybierz konta dostępu awaryjnego do wykluczenia. Wybrani użytkownicy są wyświetlani w okienku Wybrane . Po zakończeniu wybierz pozycję Wybierz.

      Po powrocie na stronę szczegółów zasad wybierz pozycję Zapisz.

  5. Powtórz poprzednie kroki dla pozostałych zasad związanych z uwierzytelnianiem wieloskładnikowym.

Porada

Ustawienie Blokuj starsze zasady uwierzytelniania prawdopodobnie nie wymaga żadnych wykluczeń, dzięki czemu można użyć poprzednich kroków w celu usunięcia istniejącego wykluczenia. Po prostu usuń zaznaczenie pola wyboru Użytkownicy i grupy w kroku 4.

Aby uzyskać więcej informacji na temat wykluczeń użytkowników w zasadach dostępu warunkowego, zobacz Wykluczenia użytkowników.

Krok 4. Tworzenie nowych zasad dostępu warunkowego

Teraz możesz utworzyć zasady dostępu warunkowego, które spełniają Twoje potrzeby biznesowe. Aby uzyskać więcej informacji, zobacz Planowanie wdrożenia dostępu warunkowego.

Przywróć wartości domyślne zabezpieczeń z zasad dostępu warunkowego

Wartości domyślne zabezpieczeń są wyłączone, gdy używasz zasad dostępu warunkowego. Jeśli co najmniej jedna zasady dostępu warunkowego istnieje w dowolnym stanie (tylko wyłączone, włączone lub raport), nie można włączyć wartości domyślnych zabezpieczeń. Przed włączeniem ustawień domyślnych zabezpieczeń należy usunąć wszystkie istniejące zasady dostępu warunkowego.

Uwaga

Przed usunięciem jakichkolwiek zasad dostępu warunkowego należy zarejestrować ich ustawienia.

Aby usunąć zasady dostępu warunkowego, wykonaj następujące kroki:

  1. W dostępie warunkowym | Na stronie Zasady wybierz zasady, które chcesz usunąć.

  2. Na otwartej stronie szczegółów wybierz pozycję Usuń w górnej części strony.

  3. W wyświetlonym oknie dialogowym Czy na pewno? wybierz pozycję Tak.

Po usunięciu wszystkich zasad dostępu warunkowego można włączyć wartości domyślne zabezpieczeń zgodnie z opisem w temacie Zarządzanie wartościami domyślnymi zabezpieczeń.

Zarządzanie starszą usługą MFA dla poszczególnych użytkowników

Zdecydowanie zalecamy używanie domyślnych zabezpieczeń lub dostępu warunkowego dla uwierzytelniania wieloskładnikowego w usłudze Microsoft 365. Jeśli nie możesz, ostatnią opcją jest uwierzytelnianie wieloskładnikowe dla poszczególnych kont Tożsamość Microsoft Entra za pośrednictwem Tożsamość Microsoft Entra Bezpłatna.

Aby uzyskać instrukcje, zobacz Enable per-user Microsoft Entra multifactor authentication to secure sign-in events (Włączanie uwierzytelniania wieloskładnikowego dla poszczególnych użytkowników w celu zabezpieczenia zdarzeń logowania).

Następne kroki

Zawartość pokrewna

  • Last updated on