设置 Microsoft 365 的多重身份验证

查看有关小型企业帮助和学习的所有小型企业内容。

查看 YouTube 上的 Microsoft 365 小型企业帮助

多重身份验证意味着你和你的员工必须提供多种登录 Microsoft 365 的方式,它是保护业务的最简单方法之一。 根据你对 Microsoft 365 中的多重身份验证 (MFA) 及其支持的理解,可对其进行设置并推广到你的组织。

多重身份验证 (MFA) 是保护组织的重要第一步。 Microsoft 365 商业版提供了使用安全默认值或条件访问策略为管理员和用户帐户启用 MFA 的选项。 对于大多数组织, 安全默认值 提供良好的登录安全性级别。 但是,如果组织必须满足更严格的要求,则可以使用 条件访问策略

提示

如果需要有关本主题中步骤的帮助,请考虑 与 Microsoft 小型企业专家合作。 借助业务助手,你和你的员工在发展业务时,可以针对从加入到日常使用的各个方面随时访问小型企业专家。

准备工作

观看:打开多重身份验证

步骤:启用多重身份验证

如果你在 2019 年 10 月 21 日之后购买了订阅或试用版,并且你在登录时收到 MFA 的提示,则已经自动为你的订阅启用安全性默认值。 如果你在 2019 年 10 月之前购买了订阅,请按照以下步骤启用 安全默认 MFA

  1. 至少以安全管理员身份登录到Microsoft Entra 管理中心
  2. 浏览到 “标识>概述>属性”。
  3. 选择管理安全性默认设置
  4. “安全性默认值 ”设置为 “已启用”。
  5. 选择“保存”。

有关详细信息,请参阅 什么是安全默认值

关闭每用户 MFA

如果你以前已启用了每用户 MFA,则必须在启用安全性默认值之前将其关闭。 在条件访问中配置策略和设置后,还应关闭每个用户的 MFA。

  1. 在 Microsoft 365 管理中心里,在左侧导航栏中选择“用户”>“活动用户”。
  2. “活动用户 ”页上,选择 “多重身份验证”。
  3. 在多重身份验证页上,选择每个用户,并将其多重身份验证状态设置为 “已禁用”。

关闭安全默认 MFA

重要

不建议关闭 MFA。

  1. 至少以安全管理员条件访问管理员或全局管理员身份登录到Microsoft Entra 管理中心

  2. 浏览到 “标识>概述>属性”。

  3. 选择管理安全性默认设置

  4. “安全性默认值 ”设置为 “禁用”, (不建议)

  5. 选择“保存”。

使用条件访问策略

如果你的组织有更精细的登录安全需求, 条件访问策略 可以提供更多的控制。 “条件访问”允许你在向用户授予对应用程序或服务的访问权限前,先创建和定义对登录事件作出反应并请求其他操作的策略。 还可以开始使用 条件访问模板

重要

启用条件访问策略后,不要忘记禁用每用户 MFA。 这一点很重要,因为它会导致不一致的用户体验。

条件访问适用于购买了 Microsoft Entra ID P1 或包含此权限的许可证(如 Microsoft 365 商业高级版 和 Microsoft 365 E3) 的客户。 有关详细信息,请参阅 创建条件访问策略

基于风险的条件访问可通过 Microsoft Entra ID P2 许可证或包含基于风险的条件访问的许可证(如 Microsoft 365 E5)提供。 有关详细信息,请参阅基于风险的条件访问

有关Microsoft Entra ID P1 和 P2 的详细信息,请参阅Microsoft Entra定价

后续步骤 - 发送给用户

设置多重身份验证(视频)

为手机启用多重身份验证 (文章)

安全默认值和多重身份验证 (文章)