如何验证用户是否已准备好实现强制性 MFA
本主题介绍用于验证组织中的用户是否已设置为满足使用 MFA 登录 Microsoft 管理门户的要求的步骤。 有关受影响的应用程序和帐户以及部署方法的详细信息,请参阅为 Azure 和其他管理门户规划强制性多重身份验证。
验证个人帐户的 MFA
用户可以使用其个人帐户仅为少数用户创建Microsoft Entra 租户。 如果使用个人帐户订阅 Azure,请完成以下步骤,确认帐户已设置为 MFA。
- 登录到 Microsoft 帐户的“高级安全”选项。
- 在“其他安全性”和“双重验证”下,选择“启用”。
- 按照屏幕上的说明进行操作。
有关详细信息,请参阅如何使用 Microsoft 帐户设置双重验证。
查找使用和不使用 MFA 登录的用户
请使用以下资源来查找使用和不使用 MFA 登录的用户:
- 若要导出用户及其身份验证方法的列表,请使用 PowerShell。
- 如果运行查询来分析用户登录,请使用需要 MFA 的应用程序的应用程序 ID。
验证是否启用 MFA
访问管理门户和需要 MFA 的 Azure 客户端的所有用户都必须设置为使用 MFA。 强制性 MFA 不限于特权角色。 最佳做法是,访问任何管理门户的所有用户都应使用 MFA。
使用以下步骤验证是否已为用户设置 MFA,或根据需要启用 MFA。
以全局读者身份登录到 Azure 门户。
浏览到“标识”>“概述”。
检查租户订阅的许可证类型。
按照许可证类型的步骤验证是否已启用 MFA,或根据需要启用 MFA。 要完成这些步骤,需要以全局读者身份注销,然后使用更高权限的角色重新登录。
验证是否已为 Microsoft Entra ID P1 或 Microsoft Entra ID P2 许可证启用 MFA
如果你拥有 Microsoft Entra ID P1 或 Microsoft Entra ID P2 许可证,则可以创建条件访问策略,要求访问 Microsoft 管理门户的用户进行 MFA:
- 最低以条件访问管理员身份登录到 Microsoft Entra 管理中心。
- 浏览到“保护”>“条件访问”>“策略”。
- 选择“新策略”。
- 为策略指定名称。 建议组织为其策略的名称创建有意义的标准。
- 在“分配”下,选择“用户或工作负载标识”。
- 在“包括”下,选择“所有用户”,或选择登录到需要 MFA 的应用程序的用户组。
- 在“目标资源”>“云应用”>“包括”下,依次选择“应用”和“Microsoft 管理门户”。
- 在“访问控制”>“授予”下,依次选择“授予访问权限”、“要求身份验证强度”和“多重身份验证”,然后选择“选择”。
- 确认设置,然后将“启用策略”设置为“只限报告”。
- 选择“创建”,以便创建启用策略所需的项目。
有关详细信,请参阅常见条件访问策略:要求访问 Microsoft 管理门户的管理员进行多重身份验证。
验证是否已为 Microsoft 365 或 Microsoft Entra ID 免费版启用 MFA
如果有 Microsoft 365 或 Microsoft Entra ID 免费版许可证,则可以使用安全默认值启用 MFA。 系统会根据需要提示用户进行 MFA,但你无法定义自己的规则来控制行为。
如果要启用安全默认值,请执行以下操作:
- 至少以安全管理员身份登录到 Microsoft Entra 管理中心。
- 依次浏览至“标识”>“概述”>“属性”。
- 选择“管理安全默认值”。
- 将“安全默认值”设为“启用”。
- 选择“保存”。
要详细了解安全默认值,请参阅 Microsoft Entra ID 中的安全默认值。
如果不想使用安全默认值,可以启用每用户 MFA。 单独启用用户后,每次登录时都会执行 MFA。 身份验证管理员可启用一些例外。 启用每用户 MFA:
- 至少以身份验证管理员的身份登录到 Microsoft Entra 管理中心。
- 浏览到“标识”>“用户”>“所有用户”。
- 选择用户帐户,然后单击“启用 MFA”。
- 在打开的弹出窗口中确认你的选择。
启用用户后,通过电子邮件通知他们。 告诉用户显示了提示,要求他们在下次登录时注册。 有关详细信息,请参阅:启用每用户 Microsoft Entra 多重身份验证以保护登录事件。
相关内容
查看以下主题以详细了解 MFA: