Microsoft 365 的多重要素驗證
密碼是驗證登入電腦或線上服務的最常見方法,但也是最容易受到攻擊的方法。 使用者可以選擇簡單的密碼,並使用相同的密碼多重登入至不同的電腦和服務。
若要為登入提供額外的安全性層級,您必須使用多重要素驗證 (MFA) ,其會使用應為強式密碼的密碼,以及以下列方式為基礎的其他驗證方法:
- 您擁有的某些內容不容易複製,例如智慧型手機。
- 您唯一且生物上擁有的東西,例如您的指紋、面孔或其他生物特徵屬性。
在驗證使用者的密碼之後,才會採用額外的驗證方法。 使用 MFA 時,即使強式使用者密碼遭到入侵,攻擊者也不會有您的智慧型手機或指紋來完成登入。
Microsoft 365 中的 MFA 支援
根據預設,Microsoft 365 和 Office 365都支援使用下列專案之使用者帳戶的 MFA:
- 傳送至手機的簡訊會要求使用者輸入驗證碼。
- 撥打電話。
- Microsoft Authenticator 智慧型手機應用程式。
在這兩種情況下,MFA 登入都會使用「您隨附且不容易複製的某些專案」方法來進行額外的驗證。 有多種方式可讓您啟用 Microsoft 365 和 Office 365 的 MFA:
- 使用安全性預設
- 使用條件式存取原則
- 針對每個個別使用者帳戶 (不建議使用)
這些方式是以您的 Microsoft 365 方案為基礎。
| 方案 | 建議 | 客戶類型 |
|---|---|---|
| 所有 Microsoft 365 方案 | 使用安全性預設值,這需要所有使用者帳戶採用 MFA。 您也可以在個別使用者帳戶上設定個別使用者 MFA,但不建議這麼做。 |
小型企業 |
| Microsoft 365 商務進階版 Microsoft 365 E3 Microsoft Entra識別碼 P1 授權 |
使用 安全性預設值或條件式存取原則 ,根據群組成員資格、應用程式或其他準則,要求使用者帳戶使用 MFA。 | 小型企業對企業 |
| Microsoft 365 E5 Microsoft Entra識別碼 P2 授權 |
使用Microsoft Entra ID Protection,根據登入風險準則要求 MFA。 | Enterprise |
安全性預設
安全性預設是 2019 年 10 月 21 日之後所建立 Microsoft 365 和 Office 365 付費或試用版訂用帳戶的新功能。 這些訂閱會開啟安全性預設值,這會:
- 要求所有使用者搭配 Microsoft Authenticator 應用程式使用 MFA。
- 封鎖舊版驗證。
使用者有 14 天的時間可以從其智慧型手機向 Microsoft Authenticator 應用程式註冊 MFA,時間從啟用安全性預設後使用者首次登入時起算。 14 天過後,使用者就無法登入,除非其完成 MFA 註冊。
安全性預設可確保所有組織都具備預設啟用的使用者登入基本層級安全性。 您可以使用條件式存取原則來停用支援 MFA 的安全性預設值。
您可以從 [屬性] 窗格啟用或停用Azure 入口網站中Microsoft Entra識別碼的安全性預設值。
![[目錄屬性] 頁面的圖片。](http://222.178.203.72:19005/whst/63/=kdZqmzlhbqnrneszbnl//zh-tw/microsoft-365/media/multi-factor-authentication-microsoft-365/security-defaults-mfa.png?view=o365-worldwide)
您可以將安全性預設值與任何 Microsoft 365 方案搭配使用。
如需詳細資訊,請參閱這個安全性預設概觀。
條件式存取原則
條件式存取原則是一組規則,可指定要在什麼條件下評估和允許登入。 例如,您可以建立敘述如下的條件式存取原則:
- 如果使用者帳戶名稱是獲派 Exchange、使用者、密碼、安全性、SharePoint 或全域管理員角色的使用者群組成員,則先要求 MFA 再允許存取。
此原則可讓您根據群組成員資格要求 MFA,而不是在指派或取消指派這些管理員角色時,嘗試針對 MFA 設定個別使用者帳戶。
您也可以使用條件式存取原則來取得更進階的功能,例如針對特定應用程式要求 MFA,或從符合規範的裝置進行登入,例如執行 Windows 10 的膝上型電腦。
您可以從 [安全性] 窗格設定條件式存取原則,以在Azure 入口網站中Microsoft Entra識別碼。
您可以與下列搭配使用條件式存取原則:
- Microsoft 365 商務進階版
- Microsoft 365 E3 和 E5
- Microsoft Entra識別碼 P1 和Microsoft Entra識別碼 P2 授權
如果您使用 Microsoft 365 商務進階版,可以以下列步驟輕鬆使用條件式存取原則:
- 建立群組以包含需要 MFA 的使用者帳戶。
- 啟用需要對全域系統管理員進行 MFA 原則。
- 使用以下設定建立群組型條件式存取原則:
- 指派 > 使用者和群組:上述步驟 1 中的群組名稱。
- 指派雲端 > 應用程式或動作:所有雲端應用程式。
- 存取控制 > 授與 > 存取權 > 需要多重要素驗證。
- 啟用原則。
- 在上述步驟 1 所建立的群組中新增使用者帳戶,並進行測試。
- 若要要求其他使用者帳戶使用 MFA,請將它們新增至步驟 1 中建立的群組。
這個條件式存取原則可讓您以自己的步調向使用者推出 MFA 需求。
企業應使用常見的條件式存取原則來設定下列原則:
如需詳細資訊,請參閱這個條件式存取概觀。
Microsoft Entra ID Protection
透過Microsoft Entra ID Protection,您可以建立額外的條件式存取原則,以在登入風險中或高時要求 MFA。
您可以搭配下列專案使用Microsoft Entra ID Protection和風險型條件式存取原則:
- Microsoft 365 E5
- Microsoft Entra識別碼 P2 授權
如需詳細資訊,請參閱此Microsoft Entra ID Protection概觀。
舊版的個別使用者 MFA (不建議使用)
您應該使用安全性預設值或條件式存取原則來要求使用者帳戶登入使用 MFA。不過,如果其中一個無法使用,Microsoft 強烈建議針對具有系統管理員角色的使用者帳戶使用 MFA,特別是針對任何大小的訂用帳戶使用全域系統管理員角色。
您可以從Microsoft 365 系統管理中心的 [作用中使用者] 窗格,為個別使用者帳戶啟用 MFA。
![[作用中使用者] 頁面上 [多重要素驗證] 選項的圖片。](http://222.178.203.72:19005/whst/63/=kdZqmzlhbqnrneszbnl//zh-tw/microsoft-365/media/multi-factor-authentication-microsoft-365/per-user-mfa.png?view=o365-worldwide)
啟用之後,下次使用者登入時,系統會提示他們註冊 MFA,並選擇並測試其他驗證方法。
共同使用這些方法
下表顯示啟用 MFA 與安全性預設、條件式存取原則和每一使用者帳戶設定的結果。
| 項目 | Enabled | 停用 | 次要驗證方法 |
|---|---|---|---|
| 安全性預設 | 無法使用條件式存取原則 | 可以使用條件式存取原則 | Microsoft Authenticator 應用程式 |
| 條件式存取原則 | 如果已啟用任何專案,您就無法啟用安全性預設值 | 如果已停用所有原則,則可啟用安全性預設 | 在註冊 MFA 期間由使用者指定 |
| 舊版的個別使用者 MFA (不建議使用) | 在每次登入時覆寫需要 MFA 的安全性預設值和條件式存取原則 | 依安全性預設值和條件式存取原則覆寫 | 在註冊 MFA 期間由使用者指定 |
如果已啟用安全性預設值,系統會提示所有新使用者在下一次登入時註冊 MFA,並使用 Microsoft Authenticator 應用程式。
管理 MFA 設定的方式
有兩種方式可以管理 MFA 設定。
在Azure 入口網站中,您可以:
- 啟用和停用安全性預設值
- 設定條件式存取原則
在Microsoft 365 系統管理中心中,您可以設定每位使用者和服務的 MFA 設定。
後續步驟
相關內容
開啟多重要素驗證 (視訊)
為您的手機開啟多重要素驗證 (影片)