设置 Microsoft 365 的多重身份验证

查看 YouTube 上的 Microsoft 365 小型企业帮助

多重身份验证意味着你和你的员工必须提供多种登录 Microsoft 365 的方式,它是保护业务的最简单方法之一。 根据你对 Microsoft 365 中的多重身份验证 (MFA) 及其支持的理解,可对其进行设置并推广到你的组织。

重要

如果你在 2019 年 10 月 21 日之后购买了订阅或试用版,并且你在登录时收到 MFA 的提示,则已经自动为你的订阅启用安全性默认值

提示

如果需要有关本主题中步骤的帮助,请考虑 与 Microsoft 小型企业专家合作。 借助业务助手,你和你的员工在发展业务时,可以针对从加入到日常使用的各个方面随时访问小型企业专家。

观看:打开多重身份验证

请在我们的 YouTube 频道中查看此视频和其他内容。

  1. 转到 Microsoft 365 管理中心:https://admin.microsoft.com
  2. 选择 显示全部,然后选择 Azure Active Directory 管理中心
  3. 选择 Azure Active Directory属性管理安全默认值
  4. 在“启用安全默认设置”下,选择“”,然后选择“保存”。

准备工作

关闭旧版每用户 MFA

如果你以前已启用了每用户 MFA,则必须在启用安全性默认值之前将其关闭。

  1. 在 Microsoft 365 管理中心中,在左侧导航栏中选择“用户”>“活动用户”。
  2. 在“活动用户”页面上,选择“多重身份验证”。
  3. 在“多重身份验证”页面上,选择每个用户并将其多重身份验证状态设置为“禁用”。

打开或关闭安全性默认值

对于大多数组织来说,安全性默认值提供很好的额外登录安全性级别。 有关详细信息,请参阅什么是安全性默认值?

如果你的订阅是新的,则可能已自动为你启用安全性默认值。

可通过 Microsoft Azure 门户中 Azure Active Directory (Azure AD) 的“属性”窗格启用或禁用安全性默认值。

  1. 使用全局管理员凭据登录 Microsoft 365 管理中心
  2. 在左侧导航栏中,选择“全部显示”,然后在 管理中心 下,选择“Azure Active Directory”。
  3. Azure Active Directory 管理中心 中选择“Azure Active Directory”>“属性”。
  4. 在页面底部,选择“管理安全性默认值”。
  5. 选择“”启用安全性默认值,或选择“”禁用安全性默认值,然后选择“保存”。

如果你已在使用基准条件访问策略,则会在你使用安全性默认值之前,提示你将其关闭。

  1. 转到“条件访问 - 策略”页面
  2. 选择“”的每个基准策略,然后将“启用策略”设置为“”。
  3. 转到“Azure Active Directory - 属性”页面
  4. 在页面底部,选择“管理安全性默认值”。
  5. 选择“”启用安全性默认值,或选择“”禁用安全性默认值,然后选择“保存”。

使用条件访问策略

如果你的组织具有更精细的登录安全需求,条件访问策略可以为你提供更多控制。 “条件访问”允许你在向用户授予对应用程序或服务的访问权限前,先创建和定义对登录事件作出反应并请求其他操作的策略。

重要

在你启用条件访问策略前,请关闭每用户 MFA 和安全性默认值。

条件访问适用于已购买 Azure AD Premium P1 的客户,或包含此功能的许可证(如 Microsoft 365 商业高级版 和 Microsoft 365 E3)。有关详细信息,请参阅 创建条件访问策略

基于风险的条件访问可通过 Azure AD Premium P2 许可证或包含此功能的许可证 (例如 Microsoft 365 E5) 获得。更多相关信息,请参阅 基于风险的条件访问

有关 Azure AD P1 和 P2 的详细信息,请参阅 Azure Active Directory 定价

为你的组织启用新式验证

对于大多数订阅,新式验证会自动启用,但如果在 2017 年 8 月之前购买了订阅,可能需要启用新式验证才能使用多重身份验证等功能,以在 Outlook 等 Windows 客户端中正常工作。

  1. Microsoft 365 管理中心中,在左侧导航栏中选择“设置”>“组织设置”。
  2. 在“服务”选项卡下,选择“新式验证”,然后在“新式验证”窗格中,确保已选择“启用新式验证”选项。选择“保存更改”。

后续步骤

设置多重身份验证(视频)

打开手机的多重身份验证(视频)\

安全默认值和多重身份验证(文章)