设置 Microsoft 365 的多重身份验证

多重身份验证意味着你和你的员工必须提供多种登录 Microsoft 365 的方式，它是保护业务的最简单方法之一。根据你对 Microsoft 365 中的多重身份验证 (MFA) 及其支持的理解，可对其进行设置并推广到你的组织。

重要

如果你在 2019 年 10 月 21 日之后购买了订阅或试用版，并且你在登录时收到 MFA 的提示，则已经自动为你的订阅启用安全性默认值。

提示

如果需要有关本主题中步骤的帮助，请考虑与 Microsoft 小型企业专家合作。借助业务助手，你和你的员工在发展业务时，可以针对从加入到日常使用的各个方面随时访问小型企业专家。

观看：打开多重身份验证

请在我们的 YouTube 频道中查看此视频和其他内容。

你必须是全局管理员才能管理 MFA。更多相关信息，请参阅关于管理员角色。
如果你启用了旧版每用户 MFA，请关闭旧版每用户 MFA。
如果你在 Windows 设备上有 Office 2013 客户端，启用 Office 2013 客户端的新式验证。
高级：如果你有使用 Active Directory 联合身份验证服务（AD FS）的第三方目录服务，请设置 Azure MFA 服务器。有关详细信息，请参阅具有 Azure Active Directory 多重身份验证的高级方案和第三方 VPN 解决方案。

如果你以前已启用了每用户 MFA，则必须在启用安全性默认值之前将其关闭。

对于大多数组织来说，安全性默认值提供很好的额外登录安全性级别。有关详细信息，请参阅什么是安全性默认值？

如果你的订阅是新的，则可能已自动为你启用安全性默认值。

可通过 Microsoft Azure 门户中 Azure Active Directory (Azure AD) 的“属性”窗格启用或禁用安全性默认值。

如果你已在使用基准条件访问策略，则会在你使用安全性默认值之前，提示你将其关闭。

如果你的组织具有更精细的登录安全需求，条件访问策略可以为你提供更多控制。 “条件访问”允许你在向用户授予对应用程序或服务的访问权限前，先创建和定义对登录事件作出反应并请求其他操作的策略。

重要

在你启用条件访问策略前，请关闭每用户 MFA 和安全性默认值。

条件访问适用于已购买 Azure AD Premium P1 的客户，或包含此功能的许可证（如 Microsoft 365 商业高级版和 Microsoft 365 E3）。有关详细信息，请参阅创建条件访问策略。

基于风险的条件访问可通过 Azure AD Premium P2 许可证或包含此功能的许可证 (例如 Microsoft 365 E5) 获得。更多相关信息，请参阅基于风险的条件访问。

有关 Azure AD P1 和 P2 的详细信息，请参阅 Azure Active Directory 定价。

对于大多数订阅，新式验证会自动启用，但如果在 2017 年 8 月之前购买了订阅，可能需要启用新式验证才能使用多重身份验证等功能，以在 Outlook 等 Windows 客户端中正常工作。