在 Microsoft 365 商业高级版 中启用多重身份验证

多重身份验证 (MFA) 是保护组织的关键第一步。 Microsoft 365 商业高级版包括使用安全默认值或条件访问策略为管理员和用户帐户启用 MFA 的选项。 对于大多数组织来说，安全性默认值提供了很好的登录安全性级别。 但是，如果组织必须满足更严格的要求，则可以改用条件访问策略。

本文提供有关以下操作的信息：

• 安全默认（适用于大多数企业）
• 条件访问（适用于具有更严格安全要求的企业）

注意

可以使用安全默认值或条件访问策略，但不能同时使用这两种策略。

安全性默认值

安全性默认值

安全默认旨在从一开始就帮助保护公司的用户帐户。 启用后，安全默认将提供安全的默认设置，可通过以下方式帮助保护公司的安全：

• 要求所有用户和管理员使用 Microsoft Authenticator 应用 或任何使用 OATH TOTP 的第三方应用程序注册 MFA。
• 在合适的时候警告使用 MFA 的用户，主要是当他们在新设备或应用上出现时，但更多的是用于关键角色和任务。
• 正在禁用无法执行 MFA 的旧式身份验证客户端的身份验证。
• 通过每次登录时要求额外的身份验证来保护管理员。

MFA 是保护公司的重要的第一步，安全默认使 MFA 易于实现。 如果你的订阅是在 2019 年 10 月 22 日或之后创建的，则可能会自动为你启用安全默认值，你应该检查设置进行确认。

提示

有关安全默认值及其强制实施的策略的详细信息，请参阅Microsoft Entra ID 中的安全默认值。

若要启用安全默认（或确认它们已启用）

1. 至少以安全管理员身份登录到Microsoft Entra管理中心。

2. 浏览到 “标识>概述>属性”。

3. 选择管理安全性默认设置。

4. 将 “安全性默认值 ”设置为 “已启用”。

5. 选择“保存”。

   重要

   如果组织使用条件访问，则禁用安全默认值。 可以使用安全默认值或条件访问，但不能同时使用两者。

条件访问

条件访问

如果公司或企业具有复杂的安全要求，或者需要更精细地控制安全策略，则应考虑使用条件访问而不是安全默认来实现类似或更高的安全状况。

通过条件访问，可以创建和定义策略，在向用户授予对应用程序或服务的访问权限之前，对登录事件做出响应并请求其他操作。 条件访问策略可以是细致和具体的，使用户无论何时何地都可以提高工作效率，同时还可以保护你的组织。

安全默认值适用于所有客户。 条件访问需要以下订阅之一：

• Microsoft Entra ID P1 或 P2
• Microsoft 365 商业高级版
• Microsoft 365 E3 或 E5
• 企业移动性和安全性 E3 或 E5

如果要使用条件访问来配置策略，请参阅以下分步指南：

• 要求对管理员执行 MFA
• 要求 Azure 管理执行 MFA
• 阻止传统身份验证
• 要求对所有用户执行 MFA
• 要求Microsoft Entra多重身份验证注册 - 需要Microsoft Entra ID 保护，这是Microsoft Entra ID P2 的一部分

若要详细了解条件访问，请参阅 什么是条件访问？ 有关创建条件访问策略的详细信息，请参阅 创建条件访问策略。

注意

如果你有提供条件访问计划或许可证，但尚未创建任何条件访问策略，则可使用安全默认。 但是，需要先关闭安全默认，然后才能使用条件访问策略。

后续步骤

在 Microsoft 365 商业高级版中保护管理员帐户