Steg 1. Öka inloggningssäkerheten för hybridarbetare med MFA
Använd multifaktorautentisering (MFA) om du vill öka inloggningssäkerheten för hybridarbetare. MFA kräver att användarinloggningar underkastas en ytterligare verifiering utöver lösenordet för användarkontot. Även om en användare som vill vålla skada bestämmer ett lösenord för ett användarkonto, måste de också kunna svara på en ytterligare verifiering, till exempel ett textmeddelande som skickas till en smartphone innan åtkomst beviljas.
För alla användare, inklusive hybridarbetare och särskilt administratörer, rekommenderar Microsoft starkt MFA.
Det finns tre sätt till att kräva att dina användare ska använda MFA baserat på ditt Microsoft 365-abonnemang.
| Planera | Rekommendation |
|---|---|
| Alla Microsoft 365-abonnemang (utan Azure Active Directory Premium P1- eller P2-licenser) | Aktivera standardinställningar för säkerhet i Azure AD. Standardinställningar för säkerhet i Azure AD inkluderar MFA för användare och administratörer. |
| Microsoft 365 E3 (inkluderar Azure Active Directory Premium P1-licenser) | Använd vanliga principer för villkorsstyrd åtkomst för att konfigurera följande principer: - Kräv MFA för administratörer - Kräv MFA för alla användare - Blockera äldre autentisering |
| Microsoft 365 E5 (inkluderar Azure Active Directory Premium P2-licenser) | Dra nytta av Azure AD Identity Protection och börja implementera Microsofts rekommenderade uppsättning av principer för villkorsstyrd åtkomst och relaterade principer genom att skapa dessa principer: - Kräv MFA när inloggningsrisker är medel eller hög - Blockera klienter som inte har stöd för modern autentisering - Användare med hög risk måste byta lösenord |
Standardinställningar för säkerhet
Standardinställningar för säkerhet är en ny funktion för Microsoft 365 och Office 365, betalade eller utvärderingsprenumerationer skapade efter den 21 oktober 2019. De här prenumerationerna har aktiverat standardinställningar för säkerhet som kräver att alla dina användare ska använda MFA med programmet Microsoft Authenticator-appen.
Användare har 14 dagar på sig att registrera sig för MFA med Microsoft Authenticator-appen från sina smartphones, som börjar från första gången de loggar in efter att standardinställningar för säkerhet har aktiverats. Efter 14 dagar kommer användaren inte att kunna logga in förrän MFA-registreringen är klar.
Standardinställningar för säkerhet säkerställer att alla organisationer har en grundläggande säkerhetsnivå för användarinloggning som är aktiverad som standard. Du kan inaktivera standardinställningar för säkerhet till förmån för MFA med Principer för villkorsstyrd åtkomst eller för enskilda konton.
Mer information finns i den här översikten över standardinställningar för säkerhet.
Principer för villkorsstyrd åtkomst
Principer för villkorsstyrd åtkomst är en uppsättning regler som anger villkoren under vilka inloggningar utvärderas och tillåts. Du kan till exempel skapa en princip för villkorsstyrd åtkomst som anger:
- Om namnet på användarkontot är medlem i en grupp för användare som är tilldelade rollerna Exchange, användare, lösenord, säkerhet, SharePoint eller global administratör krävs MFA innan åtkomst tillåts.
Med den här principen kan du kräva MFA baserat på gruppmedlemskap, i stället för att försöka konfigurera enskilda användarkonton för MFA när de tilldelas eller tas bort från dessa administratörsroller.
Du kan också använda principer för villkorsstyrd åtkomst för mer avancerade funktioner, t. ex. krav på att inloggningen görs från en kompatibel enhet, t. ex. en bärbar dator med Windows 10.
Villkorsstyrd åtkomst kräver Azure Active Directory Premium P1-licens som ingår i Microsoft 365 E3 och E5.
Mer information finns i den här översikt över villkorsstyrd åtkomst.
Stöd för Azure AD Identity Protection
Med Azure AD Identity Protection kan du skapa en ytterligare princip för villkorsstyrd åtkomst som anger följande:
- Om risken för inloggningen fastställs som medel eller hög risk krävs MFA.
För Azure Active Directory Identity Protection krävs Azure Active Directory Premium P2-licenser, som ingår i Microsoft 365 E5.
Mer information finns i Riskbaserad villkorsstyrd åtkomst.
Med Azure AD Identity Protection kan du också skapa en princip som kräver att dina användare registrerar sig för MFA. Mer information finns i Konfigurera Azure AD Multi-Factor Authentication registreringspolicy
Använda dessa metoder tillsammans
Tänk på följande:
- Du kan inte aktivera standardinställningar för säkerhet om du har aktiverat principer för villkorsstyrd åtkomst.
- Du kan inte aktivera principer för villkorsstyrd åtkomst om du har aktiverat standardinställningar för säkerhet.
Om standardinställningar för säkerhet är aktiverade, blir alla nya användare ombedda att registrera sig och använda Microsoft Authenticator-appen.
I den här tabellen visas resultatet av att aktivera MFA med standardinställningar för säkerhet och principer för villkorsstyrd åtkomst.
| Metod | Aktiverad | Inaktiverad | Ytterligare autentiseringsmetod |
|---|---|---|---|
| Standardinställningar för säkerhet | Det går inte att använda principer för villkorsstyrd åtkomst | Det går att använda principer för villkorsstyrd åtkomst | Microsoft Authenticator-appen |
| Principer för villkorsstyrd åtkomst | Om några är aktiverade kan du inte aktivera standardinställningar för säkerhet | Om alla är inaktiverade kan du aktivera standardinställningar för säkerhet | Användare anger under MFA-registrering |
Tillåt användarna att återställa sina egna lösenord
Med självbetjäning för återställning av lösenord (SSPR) kan användarna återställa sina egna lösenord utan att det påverkar IT-personal. Användarna kan snabbt återställa lösenorden när som helst och från vilken plats som helst. Mer information finns i Planera distribution av självbetjäning för återställning av lösenord i Azure Active Directory.
Logga in i SaaS-appar med Azure AD
Förutom att tillhandahålla molnverifiering för användare kan även Azure AD vara ditt primära sätt att skydda alla dina appar, oavsett om de är lokala, i Microsofts moln eller i ett annat moln. Genom att integrera dina appar i Azure AD kan du göra det enkelt för hybridarbetare att upptäcka vilka appar de behöver och att logga in på dem på ett säkert sätt.
Tekniska resurser för administratörer om MFA och identitet
- De 5 bästa sätten på vilka Azure AD kan hjälpa dig att aktivera distansarbete
- Identitets översikt för Microsoft 365
- Azure Academy Azure AD-utbildningsvideor
Resultat i steg 1
När du har distribuerat MFA måste dina användare:
- Använda MFA för-inloggning.
- Ha genomfört processen för MFA-registrering och använda MFA för alla inloggningar.
- Kan använda SSPR för att återställa sina egna lösenord.
Nästa steg
Fortsätt med Steg 2 om du vill tillhandahålla fjärråtkomst till lokala appar och tjänster.