Microsoft 365:n monimenetelmäinen todentaminen
Salasanat ovat yleisin tapa todentaa kirjautuminen tietokoneeseen tai online-palveluun, mutta ne ovat myös haavoittuvimpia. Ihmiset voivat valita helppoja salasanoja ja käyttää samoja salasanoja useille kirjautumisille eri tietokoneisiin ja palveluihin.
Kirjautumisten ylimääräisen suojaustason tarjoamiseksi sinun on käytettävä monimenetelmäistä todentamista (MFA), jossa käytetään sekä vahvaa salasanaa että lisävahvistusmenetelmää, joka perustuu:
- Jotain, mitä sinulla on mukanasi ja joka ei ole helposti kopioitu, kuten älypuhelin.
- Jotain, joka sinulla on ainutlaatuisesti ja biologisesti, kuten sormenjälkesi, kasvosi tai muu biometrinen määrite.
Lisävahvistusmenetelmää käytetään vasta, kun käyttäjän salasana on vahvistettu. Monimenetelmäisen todentamisen kanssa, vaikka vahva käyttäjän salasana vaarantui, hyökkääjällä ei ole älypuhelintasi tai sormenjälkiäsi sisäänkirjautumisen viimeistelemiseksi.
MFA-tuki Microsoft 365:ssä
Oletusarvoisesti sekä Microsoft 365 että Office 365 tukevat monimenetelmäistä todentamista käyttäjätileille, jotka käyttävät seuraavia:
- Puhelimeen lähetetty tekstiviesti, joka edellyttää, että käyttäjä kirjoittaa vahvistuskoodin.
- Puhelu.
- Microsoft Authenticatorin älypuhelinsovellus.
Kummassakin tapauksessa monimenetelmäisen todentamisen sisäänkirjautuminen käyttää lisävahvistusta "jotain, joka sinulla on kanssasi, jota ei ole helppo kopioida"-menetelmällä. Monimenetelmäinen todentaminen voidaan ottaa käyttöön Microsoft 365:ssä ja Office 365 monimenetelmäisesti:
- Oletusarvoiset suojausasetukset
- Ehdollisten käyttöoikeuksien käytännöillä
- Kullekin yksittäiselle käyttäjätilille (ei suositella)
Nämä tavat perustuvat Microsoft 365 -palvelupakettiin.
Palvelupaketti | Suositus | Asiakkaan tyyppi |
---|---|---|
Kaikki Microsoft 365 -palvelupaketit | Käytä oletusarvoisia suojausasetuksia, jotka edellyttävät monimenetelmäistä todentamista kaikille käyttäjätileille. Voit myös määrittää käyttäjäkohtaisen monimenetelmäisen todentamisen yksittäisillä käyttäjätileillä, mutta sitä ei suositella. |
Pienyritykset |
Microsoft 365 Business Premium Microsoft 365 E3 Microsoft Entra ID P1 -käyttöoikeudet |
Käytä oletusarvoisia suojausasetuksia tai ehdollisten käyttöoikeuksien käytäntöjä , jos haluat edellyttää monimenetelmäistä todentamista käyttäjätileille ryhmän jäsenyyden, sovellusten tai muiden ehtojen perusteella. | Pienyritykset suuryrityksille |
Microsoft 365 E5 Microsoft Entra ID P2 -käyttöoikeudet |
Microsoft Entra -tunnuksien suojaus avulla voit edellyttää monimenetelmäistä todentamista kirjautumisriskiehtojen perusteella. | Enterprise |
Oletusarvoiset suojausasetukset
Oletusarvoiset suojausasetukset ovat Uusi ominaisuus Microsoft 365:lle ja Office 365 21.10.2019 jälkeen luodut maksulliset tilaukset tai kokeiluversiotilaukset. Näissä tilauksessa on käytössä oletusarvoiset suojausasetukset, jotka:
- Edellyttää, että kaikki käyttäjät käyttävät MFA:ta Microsoft Authenticator -sovelluksen kanssa.
- Estää vanhan todentamisen.
Käyttäjillä on 14 päivää aikaa rekisteröityä monimenetelmäisesti Microsoft Authenticator -sovellukseen älypuhelimistaan, mikä alkaa ensimmäisestä sisäänkirjautumis kerrasta, kun oletusarvoiset suojausasetukset on otettu käyttöön. Kun 14 päivää on kulunut, käyttäjä ei voi kirjautua sisään, ennen kuin monimenetelmäinen todentaminen on rekisteröitynyt.
Oletusarvoiset suojausasetukset varmistavat, että kaikilla organisaatioilla on käyttäjien kirjautumisen perussuojaustaso, joka on oletusarvoisesti käytössä. Voit poistaa suojauksen oletusarvot käytöstä monimenetelmäisen todentamisen ja ehdollisten käyttöoikeuskäytäntöjen avulla.
Voit ottaa suojauksen oletusarvot käyttöön tai poistaa ne käytöstä Microsoft Entra tunnuksen Ominaisuudet-ruudussa Azure-portaali.
Voit käyttää oletusarvoisia suojausasetuksia minkä tahansa Microsoft 365 -palvelupaketin kanssa.
Lisätietoja on tässä tietoturva-oletusarvojen yleiskatsauksessa.
Ehdolliset käyttöoikeuskäytännöt
Ehdolliset käyttöoikeuskäytännöt ovat joukko sääntöjä, jotka määrittävät ehdot, joiden mukaisesti kirjautumisia arvioidaan ja sallitaan. Voit esimerkiksi luoda ehdollisen käyttöoikeuden käytännön, jossa ilmoitetaan:
- Jos käyttäjätilin nimi on sellaisen käyttäjän ryhmän jäsen, jolle on määritetty Exchange-, käyttäjä-, salasana-, suojaus-, SharePoint- tai yleiset järjestelmänvalvojaroolit, edellytä monimenetelmäistä todentamista ennen käytön sallimista.
Tämän käytännön avulla voit vaatia monimenetelmäistä todentamista ryhmän jäsenyyden perusteella sen sijaan, että yrittäisit määrittää yksittäiset käyttäjätilit monimenetelmäistä todentamista varten, kun ne on määritetty tai niitä ei ole määritetty näille järjestelmänvalvojarooleille.
Voit käyttää ehdollisen käytön käytäntöjä myös kehittyneempiin ominaisuuksiin, kuten monimenetelmäisen todentamisen edellyttämiseen tietyille sovelluksille tai siihen, että sisäänkirjautuminen tehdään yhteensopivasta laitteesta, kuten kannettavasta tietokoneesta, jossa on käytössä Windows 10.
Voit määrittää ehdollisia käyttöoikeuskäytäntöjä Azure-portaali Microsoft Entra-tunnuksen suojausruudusta.
Ehdollisten käyttöoikeuksien käytäntöjä voi käyttää seuraavilla käytännöillä:
- Microsoft 365 Business Premium
- Microsoft 365 E3 ja E5
- Microsoft Entra ID P1- ja Microsoft Entra ID P2 -käyttöoikeudet
Jos pienyrityksellä on Microsoft 365 Business Premium, voit helposti käyttää ehdollisten käyttöoikeuksien käytäntöjä seuraavasti:
- Luo ryhmä, joka sisältää käyttäjätilit, jotka edellyttävät monimenetelmäistä todentamista.
- Ota käyttöön Edellytä monimenetelmäistä todentamista yleisiä järjestelmänvalvojia varten -käytäntö.
- Luo ryhmäpohjainen ehdollinen käyttöoikeuskäytäntö seuraavilla asetuksilla:
- Määritykset > Käyttäjät ja ryhmät: Ryhmäsi nimi vaiheesta 1 alkaen.
- Määritykset Pilvisovellukset > tai toiminnot: Kaikki pilvisovellukset.
- Käyttöoikeuksien hallinta > Myönnä > käyttö > Edellytä monimenetelmäistä todentamista.
- Ota käytäntö käyttöön.
- Lisää käyttäjätili yllä vaiheessa 1 luotuun ryhmään ja testaa sitä.
- Jos haluat vaatia monimenetelmäistä todentamista lisäkäyttäjätileiltä, lisää ne vaiheessa 1 luotuun ryhmään.
Tämän ehdollisen käyttöoikeuden käytännön avulla voit ottaa monimenetelmäistä todentamista koskevan vaatimuksen käyttöön käyttäjillesi omassa tahdissasi.
Yritysten tulisi käyttää yleisiä ehdollisia käyttöoikeuskäytäntöjä seuraavien käytäntöjen määrittämiseen:
- Edellytä monimenetelmäinen todentaminen järjestelmänvalvojille
- Edellytä monimenetelmäinen todentaminen kaikille käyttäjille
- Estä vanha todennus
Lisätietoja on tässä ehdollisten käyttöoikeuksien yleiskatsauksessa.
Microsoft Entra -tunnuksien suojaus
Microsoft Entra -tunnuksien suojaus avulla voit luoda ehdollisen käyttöoikeuden lisäkäytännön, joka edellyttää monimenetelmäistä todentamista, kun kirjautumisriski on keskitasoinen tai suuri.
Voit käyttää Microsoft Entra -tunnuksien suojaus ja riskiin perustuvia ehdollisten käyttöoikeuksien käytäntöjä seuraavilla:
- Microsoft 365 E5
- Microsoft Entra ID P2 -käyttöoikeudet
Lisätietoja on tässä Microsoft Entra -tunnuksien suojaus yleiskatsauksessa.
Aiempi käyttäjäkohtainen MFA (ei suositella)
Sinun tulisi käyttää joko oletusarvoisia suojausasetuksia tai ehdollisten käyttöoikeuksien käytäntöjä, jos haluat edellyttää monimenetelmäistä todentamista käyttäjätilisi kirjautumisille. Jos jompaakumpaa näistä ei kuitenkaan voida käyttää, Microsoft suosittelee MFA:ta käyttäjätileille, joilla on järjestelmänvalvojarooleja, erityisesti yleisen järjestelmänvalvojan rooli, mille tahansa tilaukselle.
Monimenetelmäinen todentaminen otetaan käyttöön yksittäisille käyttäjätileille Microsoft 365 -hallintakeskus Aktiiviset käyttäjät -ruudussa.
Kun käyttäjä on otettu käyttöön, häntä kehotetaan kirjauduttuaan seuraavan kerran rekisteröitymään monimenetelmään ja valitsemaan ja testaamaan lisävahvistusmenetelmä.
Näiden menetelmien käyttäminen yhdessä
Tässä taulukossa näytetään tulokset monimenetelmäisen todentamisen käyttöönotosta oletusarvoisten suojausasetusten, ehdollisten käyttöoikeuksien käytäntöjen ja käyttäjäkohtaisten tilikohtaisten asetusten avulla.
Kohde | Käytössä | Poistettu käytöstä | Toissijainen todentamismenetelmä |
---|---|---|---|
Oletusarvoiset suojausasetukset | Ehdollisten käyttöoikeuksien käytäntöjä ei voi käyttää | Voi käyttää ehdollisia käyttöoikeuskäytäntöjä | Microsoft Authenticator -sovellus |
Ehdolliset käyttöoikeuskäytännöt | Jos niitä on käytössä, et voi ottaa oletusarvoisia suojausasetuksia käyttöön | Jos kaikki on poistettu käytöstä, voit ottaa oletusarvoiset suojausasetukset käyttöön | Käyttäjä määritetty monimenetelmäisen todentamisen rekisteröinnin aikana |
Aiempi käyttäjäkohtainen MFA (ei suositella) | Ohittaa oletusarvoiset suojausasetukset ja ehdollisten käyttöoikeuksien käytännöt, jotka edellyttävät monimenetelmäistä todentamista jokaisen sisäänkirjautumisen yhteydessä | Ohita oletusarvoisesti suojauksen ja ehdollisten käyttöoikeuksien käytäntöjen mukaan | Käyttäjä määritetty monimenetelmäisen todentamisen rekisteröinnin aikana |
Jos oletusarvoiset suojausasetukset ovat käytössä, kaikkia uusia käyttäjiä pyydetään kirjautumaan monimenetelmäisesti ja käyttämään Microsoft Authenticator -sovellusta seuraavan sisäänkirjautumisen yhteydessä.
Monimenetelmäinen todentamisen asetusten hallintatavat
Monimenetelmäistä todentamisasetusta voi hallita kahdella tavalla.
Azure-portaali voit:
- Oletusarvojen suojausasetusten ottaminen käyttöön ja poistaminen käytöstä
- Määritä ehdolliset käyttöoikeuskäytännöt
Microsoft 365 -hallintakeskus voit määrittää käyttäjäkohtaiset ja palvelun monimenetelmäisen todentamisen asetukset.
Seuraavat vaiheet
MFA:n määrittäminen Microsoft 365:lle
Aiheeseen liittyvä sisältö
Monimenetelmäinen todentaminen (video) käyttöön
Monimenetelmäinen todentamisen ottaminen käyttöön puhelimessa (video)