多重驗證 (也稱為 MFA、雙重驗證或雙重驗證) ,使用者登入時需要第二種驗證方式,並提升帳號安全性。
本文包含使用可用選項設定多重身份驗證(MFA)的說明:
- 安全預設:所有 Microsoft 365 組織皆可透過 Microsoft Entra ID 免費提供。
- 條件存取政策:可在使用 Microsoft Entra ID P1 或 P2 的 Microsoft 365 組織中取得。
- 不建議使用 (舊有的每位用戶多重身份驗證) :所有Microsoft 365組織皆可透過 Microsoft Entra ID Free 提供。
關於 Microsoft 365 中多重驗證的不同選項,請參見 Microsoft 365 中的多重身份驗證
開始之前有哪些須知?
您必須先取得適當的權限,才能完成本文中的程序。 以下是一些選項:
-
- 開啟或關閉安全預設:全 域管理員 或 安全管理員 角色的成員身份。
- 建立並管理條件存取政策:加入 全域管理員 或 條件存取管理員 角色。
重要事項
Microsoft 建議您使用權限最少的角色。 使用較低權限的帳戶有助於提高組織的安全性。 全域系統管理員是高度特殊權限角色,應僅在無法使用現有角色的緊急案例下使用。
-
要使用安全預設或條件存取,你需要關閉組織內使用者的舊有每用戶多重驗證(MFA)。 如果你組織的訂閱是在 2019 年之後開始的,舊有的每用戶多重驗證很可能沒有啟用。 欲了解更多資訊,請參閱啟用每用戶 Microsoft Entra 多重身份驗證以保護登入事件。
注意事項
如果你在 2019 年 7 月之前設定了非Microsoft目錄服務,並且有 Active Directory 同盟服務 (AD FS) ,請設定 Azure MFA 伺服器。 欲了解更多資訊,請參閱 Microsoft Entra 多重驗證及非 Microsoft VPN 解決方案的進階情境。
管理安全性預設
2019 年 10 月後建立的 Microsoft 365 租戶預設是開啟安全預設。 要查看或更改組織中安全預設的現況,請依照以下步驟操作:
在 Microsoft Entra 系統管理中心,請前往身份>概覽。 或者,直接前往 Microsoft Entra 的總覽頁面。
在總覽頁面,選擇 屬性 標籤,然後前往該標籤底部的安全 預設 值區塊。
根據目前安全預設狀態,以下經驗之一可供選擇:
安全預設值開啟:顯示以下文字,並可 使用管理安全預設值 :
你的組織受到安全預設保護。
Microsoft Entra ID P1 或 P2 中存在一項或多項條件存取政策:顯示以下文字,且無法使用管理安全預設值:
您的組織目前正在使用條件存取政策,這會阻止您啟用安全預設值。 你可以使用條件存取來設定自訂政策,啟用與安全預設相同的行為。
「管理條件存取 」會帶你到 政策頁面 ,在那裡你可以管理條件存取政策。 要在安全預設與條件存取政策之間切換,請參閱本文中「 從條件存取政策還原為安全預設」 章節。
安全預設關閉:顯示以下文字,並可 使用管理安全預設值 :
你的組織不受安全預設保護。
如果有 「管理安全預設」 選項,請選擇以開啟或關閉安全預設。
在開啟 的安全預設(Security defaults )飛出視窗中,請執行以下其中一項:
- 開啟安全預設:在 安全預設 值下拉選單中,選擇 啟用,然後選擇 儲存。
- 關閉安全預設:在 安全預設 下拉選單中,選擇 「停用」。 在 「停用原因 」區塊中,選擇 「我的組織計劃使用條件存取」。
完成 安全性預設 視窗後,選擇 儲存
注意
除非你在 Microsoft Entra ID P1 或 P2 中切換到條件存取政策,否則不要關閉安全預設。
管理條件式存取原則
如果您的 Microsoft 365 組織包含 Microsoft Entra ID P1 或更新版本,您可以使用條件存取取代安全預設值,以獲得更高的安全防護態勢與更細緻的控制。 例如:
- Microsoft 365 商務進階版 (Microsoft Entra ID P1)
- Microsoft 365 E3 (Microsoft Entra ID P1)
- Microsoft 365 E5 (Microsoft Entra ID P2)
- 附加訂閱
欲了解更多資訊,請參閱 「條件存取部署計畫」。
從安全預設切換到條件存取政策需要以下基本步驟:
關閉安全預設。
建立基準條件存取政策,以重建安全預設中的安全政策。
調整多重身份驗證(MFA)排除條款。
建立新的條件存取政策。
提示
如果安全預設值已開啟,你可以建立新的條件存取政策,但無法開啟。 關閉安全預設後,你可以開啟條件存取政策。
步驟 1:關閉安全預設
安全預設和條件存取政策不能同時開啟,所以你首先要做的是關閉安全預設。
相關說明請參閱本文先前的 「管理安全預設值 」章節。
步驟 2:建立基準條件存取政策,以重新建立安全預設中的政策
安全預設中的政策是 Microsoft 推薦的所有組織的基準,因此在建立其他條件存取政策前,務必先在條件存取中重新建立這些政策。
以下條件存取範本在安全預設中重建政策:
- 要求所有使用者使用 MFA
- 要求管理員多重身份驗證(MFA ) (欲改善安全防護,請參見 「要求管理員防釣魚多重驗證 」)
- 封鎖舊版驗證
- 要求 Azure 管理使用 MFA
要使用這些範本建立條件存取政策,請遵循以下步驟:
在 Microsoft Entra 系統管理中心,前往條件存取 |政策頁面。
關於 條件存取 |政策 頁面,從範本中選擇
新政策。在「 從範本新增政策 」頁面,確認「 選擇範本 」標籤已被選中。 在 「選擇範本 」標籤中,確認是否選擇 了「安全基礎」 標籤。
在 Secure Foundation 標籤中,選擇其中一個所需範本, (例如「 要求所有使用者) 多重驗證 」,然後選擇 「檢視+建立」。
提示
要找到並選擇 「要求防釣魚多重驗證給管理員」 範本,請使用
搜尋 框。在 「Review + Create 」標籤中,檢視或設定以下設定:
基礎 部分:
- 政策名稱:接受預設名稱或自訂。
- 政策狀態: 選擇
指派 區塊:在 使用者與群組 區塊中,注意排除 使用者 的值是 「目前使用者 」,且無法更改。 只有 緊急存取帳號 才應該被排除在 MFA 要求之外。 欲了解更多資訊,請參閱下一步。
當你在「 Review + Create 」標籤結束後,選擇 「建立」。
您建立的政策已顯示在 條件存取 |政策 頁面。
對剩餘的範本重複前述步驟。
步驟三:調整多重身份驗證(MFA)排除條款
預設情況下,你在前一步建立的條件存取政策包含了你登入時帳戶的排除條款,且在建立政策時無法修改排除條款。
我們建議每個組織至少設置兩個緊急 存取管理員帳號,這些帳號 不分配給特定個人,且僅在緊急情況下使用。 這些帳號必須被排除在多重身份驗證(MFA)要求之外。
您可能需要移除當前帳戶除外項,或在以下政策中新增緊急存取帳戶除外項:
在建立自訂條件存取政策前,先建立緊急存取帳號,然後使用以下步驟調整多重身份驗證相關政策的排除條款:
關於條件存取 |政策頁面,選擇你在前一步建立的 MFA 相關政策之一,例如 (「要求多重身份驗證用於 Azure 管理) 」。
在開啟的政策細節頁面中,選擇「所有使用者已包含」及「指定使用者被排除>」的指定使用者。
在出現的資訊中,選擇 「排除 」標籤。
在 排除 標籤中,會設定以下內容:
選擇可免於該政策的使用者與群組:選取「 使用者與群組 」值。
選擇排除的使用者與群組:顯示 1位使用者 的值,並顯示用於建立政策的使用者帳號。
- 要從排除使用者列表中移除目前帳號,請選擇
>
移除。
值會變成 0 個使用者和群組被選取 ,並顯示警告文字「 選擇至少一個使用者或群組 」。
- 若要將緊急存取帳號加入排除使用者清單,請選擇 0 使用者及已選中的群組。 在開啟的 「選擇排除使用者與群組 」視窗中,找到並選擇要排除的緊急存取帳號。 被選中的使用者會顯示在 「已選取 」窗格中。 完成後,選擇 選擇。
回到保單詳情頁面,選擇 儲存。
- 要從排除使用者列表中移除目前帳號,請選擇
對剩餘的多重因素(MFA)相關政策重複前述步驟。
提示
Block 舊有認證政策大概不需要排除,所以你可以用前面的步驟移除現有的排除。 只要在步驟 4 取消勾選 Users 和 groups 。
欲了解更多關於條件存取政策中使用者排除的資訊,請參閱使用者排除。
步驟 4:建立新的條件存取政策
現在你可以建立符合企業需求的條件存取政策。 欲了解更多資訊,請參閱 「條件存取部署計畫」。
從條件存取政策中恢復安全預設
使用條件存取政策時,安全預設會被關閉。 如果有一個或多個條件存取政策存在於任何狀態 (關閉、 開啟或 僅報告) ,你就無法開啟安全預設。 你需要刪除所有現有的條件存取政策,才能開啟安全預設。
注意
在刪除任何條件存取政策之前,務必記錄它們的設定。
要刪除條件存取政策,請使用以下步驟:
關於 條件存取 |政策頁面,選擇你想刪除的政策。
在打開的詳細頁面中,選擇
頁面頂端的刪除。在開啟的「 你確定嗎?」 對話框中,選擇 「是」。
刪除所有條件存取政策後,你可以依照 管理安全預設值開啟。
管理舊有的每使用者多重因素驗證
我們強烈建議在 Microsoft 365 中使用安全預設或條件存取來進行 MFA。 如果不行,最後的選擇是透過 Microsoft Entra ID 免費版為個人 Microsoft Entra ID 帳號申請多重身份驗證(MFA)。
相關說明請參見啟用每用戶 Microsoft Entra 多重身份驗證以保障登入事件的安全。
後續步驟
使用者:
如果你無法登入,請參閱「終端使用者如何在 Microsoft Entra ID 中執行帳號恢復」
請設定您的 Microsoft 365 登入以進行多重驗證 ,並觀看以下影片: