配置 Essential Eight MFA 身份验证方法
身份验证方法策略定义当用户访问“我的安全信息”页以设置其首选 MFA 方法时可用的选项。
注意
以下配置指南假定Microsoft Entra租户已从旧版 MFA/SSPR 策略设置迁移到统一身份验证方法策略。 使用指南 如何迁移到身份验证方法策略 来完成迁移。
对于成熟度级别 1,Microsoft建议启用无密码,并利用 注册活动 等功能,使用户能够使用强身份验证方法。
使用以下步骤为给定成熟度级别配置身份验证方法。
- 浏览器到Microsoft Entra 管理中心>Microsoft Entra 管理中心。
- 选择“ 保护>身份验证方法>策略”。
- 使用下表作为指南,为所需的成熟度级别配置身份验证方法。
下表概述了可用于每个成熟度级别的身份验证方法。
| 身份验证方法 | 成熟度级别 1 | 成熟度级别 2 & 3 |
|---|---|---|
| 基于证书的身份验证 (多重) |
|
|
| FIDO2 安全密钥 |
|
|
| 临时访问密码 (TAP) 1 |
|
|
| Microsoft Authenticator |
|
|
| 硬件 OATH 令牌 |
|
|
| 第三方软件 OATH 令牌 |
|
|
| 短信 |
|
|
| 语音呼叫 |
|
|
| 基于证书的身份验证 (单因素) |
|
|
| Email OTP |
|
|
重要
- TAP 不是防钓鱼的身份验证方法,但需要启动用户的访问权限才能设置允许的身份验证方法。
- TAP 用法的常见方案包括:未设置任何身份验证方法的新初学者。 已失去对所有身份验证方法的访问权限的用户。
- 确保技术支持人员在颁发临时访问通行证时充分验证用户的身份。