设置 Microsoft 365 的多重身份验证

多重身份验证 (也称为 MFA、双因素身份验证或 2FA) 需要用户登录的第二种验证方法，并提高帐户安全性。

本文包含使用可用选项设置 MFA 的说明：

• 安全默认值：通过免费Microsoft Entra ID在所有 Microsoft 365 组织中可用。
• 条件访问策略：在具有 Microsoft Entra ID P1 或 P2 的 Microsoft 365 组织中可用。
• 不建议使用旧版每用户 MFA () ：通过免费Microsoft Entra ID在所有Microsoft 365 组织中可用。

有关 Microsoft 365 中 MFA 的不同选项的信息，请参阅 Microsoft 365 中的多重身份验证

开始前，有必要了解什么？

• 必须先分配适当的权限，然后才能执行本文中的过程。 下面是一些选项：

  • Microsoft Entra权限：

    • 打开或关闭安全默认值： 全局管理员 或 安全管理员 角色的成员身份。
    • 创建和管理条件访问策略： 全局管理员 或 条件访问管理员 角色的成员身份。

    重要

    Microsoft 建议使用权限最少的角色。 使用权限较低的帐户有助于提高组织的安全性。 全局管理员是一个权限很高的角色，应仅限于在无法使用现有角色的紧急情况下使用。

• 若要使用安全默认值或条件访问，需要关闭组织中用户的旧版每用户 MFA。 如果组织的订阅是在 2019 年之后启动的，则很可能未启用旧版每用户 MFA。 有关详细信息，请参阅启用每用户Microsoft Entra多重身份验证来保护登录事件。

• 高级：如果在 2019 年 7 月) 之前配置了具有 Active Directory 联合身份验证服务 (AD FS) (的非Microsoft目录服务，请设置 Azure MFA 服务器。 有关详细信息，请参阅具有Microsoft Entra多重身份验证和非Microsoft VPN 解决方案的高级方案。

管理安全性默认值

Microsoft 2019 年 10 月之后创建的 365 个租户默认启用安全默认值。 若要查看或更改组织中安全默认值的当前状态，请执行以下步骤：

1. 在Microsoft Entra 管理中心中，转到“标识>概述”。 或者，若要直接转到概述页，请使用 https://entra.microsoft.com/#view/Microsoft_AAD_IAM/TenantOverview.ReactView。

2. 在概述页上，选择“ 属性” 选项卡，然后转到选项卡底部的“ 安全默认值 ”部分。

   根据安全默认值的当前状态，提供以下体验之一：

   • 安全默认值处于打开状态：显示以下文本并提供了 “管理安全默认值 ”：

     你的组织受安全默认设置的保护。

   • Microsoft Entra ID P1 或 P2 中存在一个或多个条件访问策略：显示以下文本，并且“管理安全默认值”不可用：

     你的组织当前使用条件访问策略，这会阻止你启用安全默认值。 可以使用条件访问来配置自定义策略，以启用安全默认值提供的相同行为。

     “管理条件访问”将转到 “https://entra.microsoft.com/#view/Microsoft_AAD_ConditionalAccess/PoliciesList.ReactView策略” 页，以管理条件访问策略。 若要在安全默认值和条件访问策略之间切换，请参阅本文中的 从条件访问策略还原到安全默认值 部分。

   • 安全默认值处于关闭状态：显示以下文本并提供了 “管理安全默认值 ”：

     你的组织不受安全默认设置的保护。

3. 如果“ 管理安全默认值 ”可用，请选择它以打开或关闭安全默认值：

   在打开 的“安全默认值 ”浮出控件中，执行以下步骤之一：

   • 启用安全默认值：在 “安全默认值 ”下拉列表中，选择“ 已启用”，然后选择“ 保存”。

   • 关闭安全默认值：在 “安全默认值 ”下拉列表中，选择“ 已禁用”。 在 “禁用原因 ”部分中，选择“ 我的组织计划使用条件访问”。

     完成“安全默认值”浮出控件后，选择“保存”

   警告

   除非切换到 Microsoft Entra ID P1 或 P2 中的条件访问策略，否则不要关闭安全默认值。

管理条件访问策略

如果Microsoft 365 组织包含 Microsoft Entra ID P1 或更高版本，则可以使用条件访问而不是安全默认值，实现更高的安全态势和更精细的控制。 例如：

• Microsoft 365 商业高级版 (Microsoft Entra ID P1)
• Microsoft 365 E3 (Microsoft Entra ID P1)
• Microsoft 365 E5 (Microsoft Entra ID P2)
• 加载项订阅

有关详细信息，请参阅 规划条件访问部署。

从安全默认值切换到条件访问策略需要以下基本步骤：

1. 关闭安全默认值。

2. 创建基线条件访问策略，以在安全默认值中重新创建安全策略。

3. 调整 MFA 排除项。

4. 创建新的条件访问策略。

步骤 1：关闭安全默认值

不能同时启用安全默认值和条件访问策略，因此需要做的第一件事就是关闭安全默认值。

有关说明，请参阅本文前面的 管理安全默认值 部分。

步骤 2：创建基线条件访问策略以在安全默认值中重新创建策略

安全默认值中的策略是所有组织Microsoft建议的基线，因此在创建其他条件访问策略之前，请务必在条件访问中重新创建这些策略。

条件访问中的以下模板在安全默认值中重新创建策略：

• 要求对所有用户执行 MFA
• 要求管理员进行 MFA^*
• 阻止传统身份验证
• 要求 Azure 管理执行 MFA

^*你可以改用 管理员需要防钓鱼的 MFA 来改善安全状况。

若要使用这些模板创建条件访问策略，请执行以下步骤：

1. 在Microsoft Entra 管理中心，转到条件访问 |位于 的策略https://entra.microsoft.com/#view/Microsoft_AAD_ConditionalAccess/ConditionalAccessBlade/~/Policies页。

2. 在 条件访问 |“策略 ”页，选择“ 从模板新建策略”。

3. 在“ 从模板新建策略 ”页上，验证“ 选择模板 ”选项卡是否已选中。 在 “选择模板 ”选项卡上，验证是否已选中“ 安全基础 ”选项卡。

4. 在“ 安全基础 ”选项卡上，选择所需的模板之一 (例如“ 要求所有用户进行多重身份验证) ”，然后选择“ 查看 + 创建”。

   提示

   若要查找并选择“ 要求管理员进行防钓鱼多重身份验证” 模板，请使用 “搜索 ”框。

5. 在“ 查看 + 创建 ”选项卡上，查看或配置以下设置：

   • “基本信息 ”部分：

     • 策略名称：接受默认名称或对其进行自定义。
     • 策略状态：选择“启用”

   • “分配 ”部分：在“ 用户和组 ”部分中，请注意 “排除的用户” 值为 “当前用户 ”，无法更改它。 仅应从 MFA 要求中排除 紧急访问帐户 。 有关详细信息，请参阅下一步。

   完成“ 查看 + 创建 ”选项卡后，选择“ 创建”。

   创建的策略显示在 条件访问 | 上“策略 ”页。

6. 对其余模板重复上述步骤。

步骤 3：调整 MFA 排除项

默认情况下，在上一步中创建的条件访问策略包含已登录帐户的排除项，并且无法在策略创建期间修改排除项。

我们建议在每个组织中至少有两个 紧急访问管理员帐户 ，这些帐户未分配给特定个人，并且仅在紧急情况下使用。 需要从 MFA 要求中排除这些帐户。

可能需要删除当前帐户排除项和/或将紧急访问帐户排除添加到以下策略：

• 要求对所有用户执行 MFA
• 要求管理员进行 MFA 或 要求管理员使用防钓鱼 MFA
• 要求 Azure 管理执行 MFA

在创建自定义条件访问策略之前，请创建紧急访问帐户，然后使用以下步骤调整 MFA 相关策略的排除项：

1. 在条件访问 |上的https://entra.microsoft.com/#view/Microsoft_AAD_ConditionalAccess/ConditionalAccessBlade/~/Policies策略页，选择在上一步中创建的与 MFA 相关的策略之一， (例如，要求对Azure管理) 进行多重身份验证。

2. 在打开的策略详细信息页上，选择“分配>用户”部分中的“包括的所有用户”和“排除的特定用户”。

3. 在显示的信息中，选择“ 排除 ”选项卡。

4. 在“ 排除 ”选项卡上，配置了以下设置：

   • 选择要从策略中免除的用户和组：选择“ 用户和组 ”值。

   • 选择排除的用户和组：显示值 1 用户 ，并显示用于创建策略的用户帐户。

     • 若要从排除的用户列表中删除当前帐户，请选择“ >删除”。

     该值将更改为 0 个用户和组，并 显示警告文本 “选择至少一个用户或组 ”。

     • 若要将紧急访问帐户添加到排除的用户列表，请选择“0 个用户和组”。 在打开 的“选择排除的用户和组” 浮出控件中，找到并选择要排除的紧急访问帐户。 所选用户显示在“ 所选 ”窗格中。 完成后，选择“ 选择”。

     返回策略详细信息页，选择“ 保存”。

5. 对其余与 MFA 相关的策略重复上述步骤。

步骤 4：创建新的条件访问策略

现在可以创建满足业务需求的条件访问策略。 有关详细信息，请参阅 规划条件访问部署。

从条件访问策略还原为安全默认值

使用条件访问策略时，安全默认值处于关闭状态。 如果一个或多个条件访问策略处于任何状态， (“关闭”、“ 打开”或 “仅报告 ”) ，则无法启用安全默认值。 需要先删除所有现有的条件访问策略，然后才能启用安全默认值。

若要删除条件访问策略，请使用以下步骤：

1. 在条件访问 |上的“策略”页，选择要删除的策略。https://entra.microsoft.com/#view/Microsoft_AAD_ConditionalAccess/ConditionalAccessBlade/~/Policies

2. 在打开的详细信息页中，选择页面顶部的“ 删除 ”。

3. 在打开的“ 确定吗？” 对话框中，选择“ 是”。

删除所有条件访问策略后，可以打开安全默认值，如 管理安全默认值中所述。

管理旧版每用户 MFA

强烈建议在 Microsoft 365 中使用安全默认值或 MFA 条件访问。 如果不能，最后一个选项是通过免费Microsoft Entra ID为单个Microsoft Entra ID帐户进行 MFA。

有关说明，请参阅启用每用户Microsoft Entra多重身份验证来保护登录事件。

后续步骤

• 管理员：管理员 Microsoft 365 商业版中的帐户安全性

• 用户：

  • 什么是多重身份验证

  • 注册后登录

  • 更改执行其他验证的方式

  • 设置 Microsoft 365 登录进行多重身份验证 和以下视频：

相关内容

• 小型企业帮助 & 学习
• YouTube：Microsoft 365 小型企业版帮助
• 设置多重身份验证（视频）
• 为手机启用多重身份验证 (文章)
• Microsoft 365 的多重身份验证 (文章)