Säkra användarinloggningar till din Microsoft 365-klientSecure user sign-ins to your Microsoft 365 tenant

Så här ökar du säkerheten för användarinloggningar:To increase the security of user sign-ins:

  • Använda Windows Hello för företagUse Windows Hello for Business
  • Använd Azure Active Directory (Azure AD) lösenordsskyddUse Azure Active Directory (Azure AD) Password Protection
  • Använd multifaktorautentisering (MFA)Use multi-factor authentication (MFA)
  • Distribuera identitet och enhetsåtkomst konfigurationerDeploy identity and device access configurations
  • Skydda mot referens kompromiss med Azure AD Identity ProtectionProtect against credential compromise with Azure AD Identity Protection

Windows Hello för företagWindows Hello for Business

Windows Hello för företag i Windows 10 Enterprise ersätter lösenord med stark tvåfaktorsautentisering när du loggar in på en Windows-enhet.Windows Hello for Business in Windows 10 Enterprise replaces passwords with strong two-factor authentication when signing on a Windows device. De två faktorerna är en ny typ av användaruppgifter som är kopplade till en enhet och ett biometriskt attribut eller en PIN-kod.The two factors are a new type of user credential that is tied to a device and a biometric or PIN.

Mer information finns i Översikt över Windows Hello för företag.For more information, see Windows Hello for Business Overview.

Azure AD-lösenordsskyddAzure AD Password Protection

Azure AD Password Protection upptäcker och blockerar kända svaga lösenord och deras varianter och kan också blockera ytterligare svaga termer som är specifika för din organisation.Azure AD Password Protection detects and blocks known weak passwords and their variants and can also block additional weak terms that are specific to your organization. Standard globala förbjudna lösenordslistor tillämpas automatiskt på alla användare i en Azure AD-klient.Default global banned password lists are automatically applied to all users in an Azure AD tenant. Du kan definiera ytterligare poster i en anpassad förbjuden lösenordslista.You can define additional entries in a custom banned password list. När användare ändrar eller återställer sina lösenord kontrolleras dessa förbjudna lösenordslistor för att använda starka lösenord.When users change or reset their passwords, these banned password lists are checked to enforce the use of strong passwords.

Mer information finns i Konfigurera Azure AD-lösenordsskydd.For more information, see Configure Azure AD password protection.

MFAMFA

MFA kräver att användarinloggningar underkastas en ytterligare verifiering utöver lösenordet för användarkontot.MFA requires that user sign-ins be subject to an additional verification beyond the user account password. Även om en användare som vill vålla skada bestämmer ett lösenord för ett användarkonto, måste de också kunna svara på en ytterligare verifiering, till exempel ett textmeddelande som skickas till en smartphone innan åtkomst beviljas.Even if a malicious user determines a user account password, they must also be able to respond to an additional verification, such as a text message sent to a smartphone before access is granted.

Rätt lösenord plus extra verifiering gör att inloggningen lyckas

Ditt första steg i att använda MFA är att kräva det för alla administratörskonton, även kända som privilegierade konton.Your first step in using MFA is to require it for all administrator accounts, also known as privileged accounts.

Utöver detta första steg rekommenderar Microsoft MFA för alla användare.Beyond this first step, Microsoft recommends MFA For all users.

Det finns tre sätt att kräva att dina administratörer eller användare använder MFA baserat på din Microsoft 365-plan.There are three ways to require your administrators or users to use MFA based on your Microsoft 365 plan.

PlaneraPlan RekommendationRecommendation
Alla Microsoft 365-abonnemang (utan Azure Active Directory Premium P1- eller P2-licenser)All Microsoft 365 plans (without Azure AD Premium P1 or P2 licenses) Aktivera standardinställningar för säkerhet i Azure AD.Enable Security defaults in Azure AD. Standardinställningar för säkerhet i Azure AD inkluderar MFA för användare och administratörer.Security defaults in Azure AD include MFA for users and administrators.
Microsoft 365 E3 (inkluderar Azure Active Directory Premium P1-licenser)Microsoft 365 E3 (includes Azure AD Premium P1 licenses) Använd vanliga principer för villkorsstyrd åtkomst för att konfigurera följande principer:Use Common Conditional Access policies to configure the following policies:
- Kräv MFA för administratörer- Require MFA for administrators
- Kräv MFA för alla användare- Require MFA for all users
- Blockera äldre autentisering- Block legacy authentication
Microsoft 365 E5 (inkluderar Azure Active Directory Premium P2-licenser)Microsoft 365 E5 (includes Azure AD Premium P2 licenses) Dra nytta av Azure AD Identity Protection och börja implementera Microsofts rekommenderade uppsättning av villkorsstyrd åtkomst och relaterade principer genom att skapa de två principerna:Taking advantage of Azure AD Identity Protection, begin to implement Microsoft's recommended set of conditional access and related policies by creating these two policies:
- Kräv MFA när inloggningsrisker är medel eller hög- Require MFA when sign-in risk is medium or high
- Användare med hög risk måste byta lösenord- High risk users must change password

Standardinställningar för säkerhetSecurity defaults

Standardinställningar för säkerhet är en ny funktion för Microsoft 365 och Office 365, betalade eller utvärderingsprenumerationer skapade efter den 21 oktober 2019.Security defaults is a new feature for Microsoft 365 and Office 365 paid or trial subscriptions created after October 21, 2019. De här prenumerationerna har aktiverat standardinställningar för säkerhet som kräver att alla dina användare ska använda MFA med programmet Microsoft Authenticator-appen.These subscriptions have security defaults turned on, which requires all of your users to use MFA with the Microsoft Authenticator app.

Användare har 14 dagar på sig att registrera sig för MFA med Microsoft Authenticator-appen från sina smartphones, som börjar från första gången de loggar in efter att standardinställningar för säkerhet har aktiverats.Users have 14 days to register for MFA with the Microsoft Authenticator app from their smart phones, which begins from the first time they sign in after security defaults has been enabled. Efter 14 dagar kommer användaren inte att kunna logga in förrän MFA-registreringen är klar.After 14 days have passed, the user won't be able to sign in until MFA registration is completed.

Standardinställningar för säkerhet säkerställer att alla organisationer har en grundläggande säkerhetsnivå för användarinloggning som är aktiverad som standard.Security defaults ensure that all organizations have a basic level of security for user sign-in that is enabled by default. Du kan inaktivera standardinställningar för säkerhet till förmån för MFA med Principer för villkorsstyrd åtkomst eller för enskilda konton.You can disable security defaults in favor of MFA with Conditional Access policies or for individual accounts.

Mer information finns i översikt av säkerhetsstandarder.For more information, see the overview of security defaults.

Principer för villkorsstyrd åtkomstConditional Access policies

Policyer för villkorlig åtkomst är en uppsättning regler som anger villkoren för att inloggningar utvärderas och åtkomst beviljas.Conditional Access policies are a set of rules that specify the conditions under which sign-ins are evaluated and access is granted. Du kan till exempel skapa en princip för villkorsstyrd åtkomst som anger:For example, you can create a Conditional Access policy that states:

  • Om namnet på användarkontot är medlem i en grupp för användare som är tilldelade rollerna Exchange, användare, lösenord, säkerhet, SharePoint eller global administratör krävs MFA innan åtkomst tillåts.If the user account name is a member of a group for users that are assigned the Exchange, user, password, security, SharePoint, or global administrator roles, require MFA before allowing access.

Med den här principen kan du kräva MFA baserat på gruppmedlemskap, i stället för att försöka konfigurera enskilda användarkonton för MFA när de tilldelas eller tas bort från dessa administratörsroller.This policy allows you to require MFA based on group membership, rather than trying to configure individual user accounts for MFA when they are assigned or unassigned from these administrator roles.

Du kan också använda principer för villkorsstyrd åtkomst för mer avancerade funktioner, t. ex. krav på att inloggningen görs från en kompatibel enhet, t. ex. en bärbar dator med Windows 10.You can also use Conditional Access policies for more advanced capabilities, such as requiring that the sign-in is done from a compliant device, such as your laptop running Windows 10.

Villkorsstyrd åtkomst kräver Azure Active Directory Premium P1-licens som ingår i Microsoft 365 E3 och E5.Conditional Access requires Azure AD Premium P1 licenses, which are included with Microsoft 365 E3 and E5.

Mer information finns i översikt av villkorsstyrd åtkomst.For more information, see the overview of Conditional Access.

Använda dessa metoder tillsammansUsing these methods together

Tänk på följande:Keep the following in mind:

  • Du kan inte aktivera standardinställningar för säkerhet om du har aktiverat principer för villkorsstyrd åtkomst.You cannot enable security defaults if you have any Conditional Access policies enabled.
  • Du kan inte aktivera principer för villkorsstyrd åtkomst om du har aktiverat standardinställningar för säkerhet.You cannot enable any Conditional Access policies if you have security defaults enabled.

Om standardinställningar för säkerhet är aktiverade, blir alla nya användare ombedda att registrera sig och använda Microsoft Authenticator-appen.If security defaults are enabled, all new users are prompted for MFA registration and the use of the Microsoft Authenticator app.

I den här tabellen visas resultatet av att aktivera MFA med standardinställningar för säkerhet och principer för villkorsstyrd åtkomst.This table shows the results of enabling MFA with security defaults and Conditional Access policies.

MetodMethod AktiveradEnabled InaktiveradDisabled Ytterligare autentiseringsmetodAdditional authentication method
Standardinställningar för säkerhetSecurity defaults Det går inte att använda principer för villkorsstyrd åtkomstCan’t use Conditional Access policies Det går att använda principer för villkorsstyrd åtkomstCan use Conditional Access policies Microsoft Authenticator-appenMicrosoft Authenticator app
Principer för villkorsstyrd åtkomstConditional Access policies Om några är aktiverade kan du inte aktivera standardinställningar för säkerhetIf any are enabled, you can’t enable security defaults Om alla är inaktiverade kan du aktivera standardinställningar för säkerhetIf all are disabled, you can enable security defaults Användare anger under MFA-registreringUser specifies during MFA registration

Konfigurationer av identiteter och enhetsåtkomstIdentity and device access configurations

Identitets- och enhetsåtkomstinställningar och policyer rekommenderas förutsättningsfunktioner och deras inställningar i kombination med villkorlig åtkomst, Intune och Azure AD Identity Protection-principer som avgör om en given åtkomstbegäran ska beviljas och under vilka villkor.Identity and device access settings and policies are recommended prerequisite features and their settings combined with Conditional Access, Intune, and Azure AD Identity Protection policies that determine whether a given access request should be granted and under what conditions. Denna bestämning baseras på användarkontot för inloggningen, den enhet som används, appen som användaren använder för åtkomst, platsen från vilken begäran om åtkomst görs och en bedömning av risken för begäran.This determination is based on the user account of the sign-in, the device being used, the app the user is using for access, the location from which the access request is made, and an assessment of the risk of the request. Denna funktion hjälper till att säkerställa att endast godkända användare och enheter kan komma åt dina kritiska resurser.This capability helps ensure that only approved users and devices can access your critical resources.

Anteckning

För Azure Active Directory Identity Protection krävs Azure Active Directory Premium P2-licenser, som ingår i Microsoft 365 E5.Azure AD Identity Protection requires Azure AD Premium P2 licenses, which are included with Microsoft 365 E5.

Policyer för identitets- och enhetsåtkomst definieras för att användas i tre nivåer:Identity and device access policies are defined to be used in three tiers:

  • Baslinjeskydd är en minsta säkerhetsnivå för dina identiteter och enheter som har åtkomst till dina appar och data.Baseline protection is a minimum level of security for your identities and devices that access your apps and data.
  • Känsligt skydd ger ytterligare säkerhet för specifika data.Sensitive protection provides additional security for specific data. Identiteter och enheter är föremål för högre säkerhetsnivåer och krav på enhetens hälsa.Identities and devices are subject to higher levels of security and device health requirements.
  • Skydd för miljöer med högt reglerad eller sekretessbelagd information gäller typiskt små mängder data som är mycket klassificerade, innehåller affärshemligheter eller är föremål för dataregler.Protection for environments with highly regulated or classified data is for typically small amounts of data that are highly classified, contain trade secrets, or is subject to data regulations. Identiteter och enheter är föremål för mycket högre säkerhetsnivåer och krav på enhetens hälsa.Identities and devices are subject to much higher levels of security and device health requirements.

Dessa nivåer och deras motsvarande konfigurationer ger konsekventa skyddsnivåer för dina data, identiteter och enheter.These tiers and their corresponding configurations provide consistent levels of protection across your data, identities, and devices.

Microsoft rekommenderar starkt att du konfigurerar och rullar ut policyer för identitets- och enhetsåtkomst i din organisation, inklusive specifika inställningar för Microsoft Teams, Exchange Online och SharePoint.Microsoft highly recommends configuring and rolling out identity and device access policies in your organization, including specific settings for Microsoft Teams, Exchange Online, and SharePoint. Mer information finns i konfigurationer för identitets- och enhetsåtkomst.For more information, see Identity and device access configurations.

Azure AD Identity ProtectionAzure AD Identity Protection

I det här avsnittet får du lära dig hur du konfigurerar principer som skyddar mot obehörig inloggning, där en angripare bestämmer en användares kontonamn och lösenord för att få åtkomst till organisationens molntjänster och data.In this section, you'll learn how to configure policies that protect against credential compromise, where an attacker determines a user’s account name and password to gain access to an organization’s cloud services and data. Azure AD Identity Protection tillhandahåller ett antal olika sätt som förhindrar att en obehörig angripare kan kompromettera användarkontots inloggningsuppgifter.Azure AD Identity Protection provides a number of ways to help prevent an attacker from compromising a user account's credentials.

Med Azure AD Identity Protection kan du:With Azure AD Identity Protection, you can:

FunktionCapability BeskrivningDescription
Fastställa och åtgärda potentiella säkerhetsproblem i organisationens identiteterDetermine and address potential vulnerabilities in your organization’s identities I Azure AD används maskininlärning för att identifiera avvikelser och misstänkt aktivitet, till exempel inloggningar och aktiviteter efter inloggning.Azure AD uses machine learning to detect anomalies and suspicious activity, such as sign-ins and post-sign-in activities. Med dessa data genererar Azure AD Identity Protection rapporter och aviseringar som hjälper dig att utvärdera problem och vidta åtgärder.Using this data, Azure AD Identity Protection generates reports and alerts that help you evaluate the issues and take action.
Identifiera misstänkta åtgärder som är relaterade till organisationens identitet och svara på dem automatisktDetect suspicious actions that are related to your organization’s identities and respond to them automatically Du kan konfigurera riskbaserade principer som automatiskt reagerar på problem som upptäcks när en viss risknivå har uppnåtts.You can configure risk-based policies that automatically respond to detected issues when a specified risk level has been reached. Dessa principer, förutom andra kontroller för villkorsstyrd åtkomst i Azure AD och Microsoft Intune, kan antingen automatiskt blockera åtkomst eller utföra korrigeringsåtgärder, t.ex. återställning av lösenord och krav på multifaktorautentisering för efterföljande inloggningar.These policies, in addition to other Conditional Access controls provided by Azure AD and Microsoft Intune, can either automatically block access or take corrective actions, including password resets and requiring Azure AD Multi-Factor Authentication for subsequent sign-ins.
Undersök misstänkta händelser och åtgärda dem med administrativa åtgärderInvestigate suspicious incidents and resolve them with administrative actions Du kan undersöka riskhändelser med hjälp av information om säkerhetshändelsen.You can investigate risk events using information about the security incident. Enkla arbetsflöden är tillgängliga för att spåra undersökningar och initiera åtgärder för reparationer, som återställning av lösenord.Basic workflows are available to track investigations and initiate remediation actions, such as password resets.

Se mer information om Azure AD Identity Protection.See more information about Azure AD Identity Protection.

Se stegen för att aktivera Azure AD Identity Protection.See the steps to enable Azure AD Identity Protection.

Administrera tekniska resurser för MFA och säkra inloggningarAdmin technical resources for MFA and secure sign-ins

Nästa stegNext step

Hantera dina användarkontonManage your user accounts