如何：配置 Microsoft Entra 多重身份验证注册策略

Microsoft Entra ID 可保护帮助你管理 Microsoft Entra 多重身份验证注册的推出，方法是：将条件访问策略配置为，无论你登录到哪个新式身份验证应用，都需要注册 MFA。

什么是 Microsoft Entra 多重身份验证注册策略？

Microsoft Entra 多重身份验证提供了一种不仅仅是验证用户名和密码的方法来验证你的身份。 它为用户的登录提供了附加的安全保障。为了使用户能够响应 MFA 提示，他们必须首先注册 Microsoft Entra 多重身份验证。

建议要求对用户登录执行 Microsoft Entra 多重身份验证，因为这种身份验证方法可以：

• 通过一系列验证选项提供强身份验证。
• 在使组织做好准备以从“标识保护”的风险检测中自我修正方面起关键作用。

有关 Microsoft Entra 多重身份验证的详细信息，请参阅什么是 Microsoft Entra 多重身份验证？

策略配置

1. 至少以安全管理员身份登录到 Microsoft Entra 管理中心
2. 浏览到“保护”>“标识保护”>“MFA 注册策略”
   1. 在“分配”>“用户”下
      1. 在“包含”下，选择“所有用户”，或者如果要限制推出，则“选择个人和组”。
      2. 在“排除”下选择“用户和组”，然后选择组织的紧急访问帐户或不受限帐户。
3. “强制执行策略” - “开”
4. 保存

用户体验

Microsoft Entra ID 保护将在用户下次以交互方式登录时提示他们进行注册，并且他们将有 14 天的时间完成注册。 在此 14 天内，如果 MFA 不是必要条件，他们可以绕过注册，但在此期间结束时，他们将需要注册，然后才能完成登录过程。

如需相关用户体验的概述，请参阅：

• Microsoft Entra ID 保护的用户体验。

后续步骤

• 启用登录和用户风险策略
• 启用 Microsoft Entra 自助式密码重置
• 启用 Microsoft Entra 多重身份验证