规划 Microsoft Entra 多重身份验证部署

Microsoft Entra 多重身份验证使用第二种形式的身份验证来提供另一层安全性,有助于保护对数据和应用程序的访问。 组织可以使用条件访问来启用多重身份验证,以使解决方案满足其特定需求。

此部署指南介绍了如何计划和成功实施 Microsoft Entra 多重身份验证

部署 Microsoft Entra 多重身份验证的先决条件

在开始部署之前,请确保满足相关方案的以下先决条件。

场景 先决条件
具有新式身份验证的仅限云的标识环境 无先决条件任务
混合标识方案 部署 Microsoft Entra Connect 并在本地 Active Directory 域服务 (AD DS) 和 Microsoft Entra ID 之间同步用户标识。
为云访问发布的本地旧版应用程序 部署 Microsoft Entra 应用程序代理

为 MFA 选择身份验证方法

有许多方法可用于第二因素身份验证。 可以从可用身份验证方法列表中选择,在安全性、易用性和可用性方面评估每种方法。

重要

启用多种 MFA 方法,以便用户在其主要方法不可用时具有可用的备用方法。 方法包括:

选择将在租户中使用的身份验证方法时,请考虑这些方法的安全性和易用性:

选择正确的身份验证方法

若要详细了解这些方法的优势和安全性及其工作方式,请参阅以下资源:

可以使用此 PowerShell 脚本来分析用户的 MFA 配置并建议适当的 MFA 身份验证方法。

为获得最佳灵活性和易用性,请使用 Microsoft Authenticator 应用。 此身份验证方法提供最佳用户体验和多种模式,如无密码、MFA 推送通知和 OATH 代码。 Microsoft Authenticator 应用还符合美国国家标准和技术研究所 (NIST) 的验证器确定性 2 级要求

你可以控制租户中可用的身份验证方法。 例如,你可能想要阻止一些安全性最低的方法,例如短信。

身份验证方法 管理方式 Scoping
Microsoft Authenticator(推送通知和无密码手机登录) MFA 设置或身份验证方法策略 Authenticator 无密码电话登录的范围可缩小到用户和组
FIDO2 安全密钥 身份验证方法策略 可以将范围限定为用户和组
软件或硬件 OATH 令牌 MFA 设置
短信验证 MFA 设置
管理身份验证策略中主要身份验证的短信登录。
可以短信登录的范围限定为用户和组。
语音呼叫 身份验证方法策略

计划条件访问策略

Microsoft Entra 多重身份验证是通过条件访问策略强制执行。 通过这些策略,你可以在有安全性需要时提示用户进行 MFA,并在不需要时避免打扰用户。

概念性条件访问的流程

在 Microsoft Entra 管理中心,可在“保护”>“条件访问”下配置条件访问策略。

如要详细了解如何创建条件访问策略,请参阅在用户登录时用于提示 Microsoft Entra 多重身份验证的条件访问策略。 这有助于:

  • 熟悉用户界面
  • 初步认识条件访问的工作原理

有关 Microsoft Entra 条件访问部署的端到端指南,请参阅条件访问部署计划

Microsoft Entra 多重身份验证的常见策略

要求 Microsoft Entra 多重身份验证的常见用例包括:

命名位置

要管理条件访问策略,使用条件访问策略的位置条件可将访问控制设置绑定到用户的网络位置。 建议使用命名位置,这样就可以创建 IP 地址范围或国家/地区和区域的逻辑分组。 这将为所有应用创建一条策略:阻止从命名位置中登录。 请确保从此策略中排除你的管理员。

基于风险的政策

如果你的组织使用 Microsoft Entra ID 保护来检测风险信号,请考虑使用基于风险的策略,而不是命名位置。 可以创建策略,以在存在标识泄露威胁时强制更改密码,或在认为登录存在风险(如凭据泄露、从匿名 IP 地址登录等)时要求进行 MFA。

风险策略包括:

将用户从每用户 MFA 转换为基于条件访问的 MFA

如果启用用户时,使用了按用户的 MFA,并强制实施了 Microsoft Entra 多重身份验证,我们建议为所有用户启用条件访问,然后手动禁用按用户的多重身份验证。 有关详细信息,请参阅:创建条件访问策略

规划用户会话生存期

规划多重身份验证部署时,请务必考虑提示用户的频率。 经常要求用户提供凭据看似很明智,但有时会适得其反。 如果用户习惯于不加思索地输入凭据,可能会无意中将凭据提供给恶意的凭据提示。 Microsoft Entra ID 包含多个设置,用于确定用户需要重新执行身份验证的频率。 了解业务和用户的需求,并配置可为你的环境提供最佳平衡的设置。

我们建议使用带有主刷新令牌 (PRT) 的设备以改善最终用户体验,并且仅针对特定业务用例采取登录频率策略,以缩短会话生存期。

详情请参阅优化重新验证提示并了解 Microsoft Entra 多重身份验证的会话生存期

计划用户注册

每个多重身份验证部署都包含一个重要步骤,即让用户注册使用 Microsoft Entra 多重身份验证。 身份验证方法(如语音和短信)允许预先注册,而其他身份验证方法(如 Authenticator 应用)则需要用户交互。 管理员必须确定用户注册其方法的方式。

SSPR 和 Microsoft Entra 多重身份验证的组合注册

借助 Microsoft Entra 多重身份验证和自助式密码重置 (SSPR) 的组合注册体验,用户能够在统一的体验中注册 MFA 和 SSPR。 SSPR 允许用户使用用于 Microsoft Entra 多重身份验证的相同方法,以安全的方式重置密码。 为确保自己了解该功能和最终用户体验,请参阅合并安全信息注册概念

请务必通知用户即将发生的更改、注册要求以及任何必要的用户操作。 我们提供通信模板用户文档,可让用户做好准备迎接新体验,并有助确保新体验成功推出。 在该页上选择“安全信息”链接,将用户导航到 https://myprofile.microsoft.com 以注册。

使用 Microsoft Entra ID 保护 注册

Microsoft Entra ID 保护同时为 Microsoft Entra 多重身份验证过程提供自动风险检测的注册策略以及修正策略。 可以创建策略,以在存在标识泄露威胁时强制更改密码,或在认为登录存在风险时要求进行 MFA。 如果使用 Microsoft Entra ID 保护,请配置 Microsoft Entra 多重身份验证注册策略,以提示用户在下次以交互方式登录时进行注册。

无需 Microsoft Entra ID 保护注册

如果你没有用于启用 Microsoft Entra ID 保护的许可证,则在下一次需要使用 MFA 进行登录时,系统会提示用户进行注册。 要要求用户使用 MFA,你可以使用条件访问策略并针对 HR 系统等常用应用程序实施策略。 如果用户的密码已泄露,则泄露的密码可用于注册 MFA,从而控制用户的帐户。 因此,我们建议使用条件访问策略来保护安全注册过程,因为条件访问策略要求可信设备和位置。 还可以通过要求临时访问密码来进一步确保该过程的安全。 由管理员颁发的一种有时间限制的密码,可满足强身份验证要求,并可用于载入其他身份验证方法(包括无密码方法)。

提高已注册用户的安全性

如果你的用户使用短信或语音呼叫注册了 MFA,可能需要将其切换为更安全的方法,例如 Microsoft Authenticator 应用。 Microsoft 现在提供功能的公共预览版,可在用户登录过程中提示用户设置 Microsoft Authenticator 应用。 可以按组设置这些提示,控制要提示的用户,从而通过针对性的宣传活动将用户切换为更安全的方法。

规划恢复方案

如前所述,确保用户注册了多种 MFA 方法,这样在某种 MFA 方法不可用时,用户可以采用备用方法。 如果用户没有可用的备份方法,则可以:

  • 为用户提供一个临时访问密码,以便用户能够管理自己的身份验证方法。 还可以提供一个临时访问密码以便能够临时访问资源。
  • 以管理员角色更新用户的方法。 为此,请在 Microsoft Entra 管理中心选择用户,然后选择“保护”>“身份验证方法”,并更新用户的方法。

计划与本地系统进行集成

直接向 Microsoft Entra ID 进行身份验证和具有新式身份验证(WS-Fed、SAML、OAuth 和 OpenID Connect)的应用程序可以使用条件访问策略。 一些旧式和本地应用程序不会直接向 Microsoft Entra ID 进行身份验证,并且需要执行额外的步骤才能使用 Microsoft Entra 多重身份验证。 可以使用 Microsoft Entra 应用程序代理或网络策略服务来集成这些应用程序。

与 AD FS 资源集成

我们建议将使用 Active Directory 联合身份验证服务 (AD FS) 保护的应用程序迁移到 Microsoft Entra ID。 但如果还未准备好将这些内容迁移到 Microsoft Entra ID,则可以使用 AD FS 2016 或更高版本的 Azure 多重身份验证适配器。

如果你的组织已与 Microsoft Entra ID 联合,则可在本地和云端使用 AD FS 资源将 Microsoft Entra 多重身份验证配置为身份验证提供程序

RADIUS 客户端和 Microsoft Entra 多重身份验证

对于使用 RADIUS 身份验证的应用程序,我们建议将客户端应用程序迁移到新式协议,例如 SAML、OpenID Connect,或 Microsoft Entra ID 上的 OAuth。 如果无法更新应用程序,则可以部署网络策略服务器 (NPS) 扩展。 网络策略服务器 (NPS) 扩展充当基于 RADIUS 的应用程序与 Microsoft Entra 多重身份验证之间的适配器,提供身份验证的第二因素。

常见集成

许多供应商现在支持其应用程序的 SAML 身份验证。 如果可能,我们建议将这些应用程序与 Microsoft Entra ID 联合并通过条件访问强制实施 MFA。 如果供应商不支持新式身份验证,你可以使用 NPS 扩展。 常见的 RADIUS 客户端集成包括远程桌面网关VPN 服务器等应用程序。

其他应用程序可能包括:

  • Citrix Gateway

    Citrix Gateway 支持 RADIUS 和 NPS 扩展集成,以及 SAML 集成。

  • Cisco VPN

    • Cisco VPN 支持 RADIUS 以及用于 SSO 的 SAML 身份验证
    • 从 RADIUS 身份验证迁移到 SAML 后,无需部署 NPS 扩展即可集成 Cisco VPN。
  • 所有 VPN

部署 Microsoft Entra 多重身份验证

你的 Microsoft Entra 多重身份验证推出计划应由试点部署开始,随后再在自身支持能力范围内进行后续部署。 通过将条件访问策略应用于一小组试点用户来开始推出。 在评估对试点用户、使用的进程和注册行为的影响后,可以向策略添加更多的组,也可以向现有组添加更多用户。

执行以下步骤:

  1. 满足必需的先决条件
  2. 配置所选的身份验证方法
  3. 配置条件访问策略
  4. 配置会话生存期设置
  5. 配置 Microsoft Entra 多重身份验证注册策略

管理 Microsoft Entra 多重身份验证

本部分提供有关 Microsoft Entra 多重身份验证的报告和故障排除信息。

报告和监视

Microsoft Entra ID 具有提供技术和业务见解的报告,请跟踪部署进度并检查用户是否成功使用 MFA 登录。 根据贵组织的要求,让业务负责人和技术应用程序所有者拥有和使用这些报告。

可以使用身份验证方法活动仪​​表板监控整个组织中的身份验证方法注册和使用情况。 这有助于了解正在注册哪些方法以及这些方法的使用情况。

登录报告以查看 MFA 事件

Microsoft Entra 登录报告包括提示用户进行 MFA 时有关事件的身份验证详细信息,且会显示是否使用了任何条件访问策略。 你还可使用 PowerShell 来报告注册了 Microsoft Entra 多重身份验证的用户。

云 MFA 活动的 NPS 扩展和 AD FS 日志现在包含在登录日志中,并且不再发布到“活动报告”。

有关详细信息和其他 Microsoft Entra 多重身份验证报告,请参阅查看 Microsoft Entra 多重身份验证事件

排查 Microsoft Entra 多重身份验证问题

有关常见问题,请参阅排查 Microsoft Entra 多重身份验证问题

引导式演练

有关本文中许多建议的引导式演练,请参阅 Microsoft 365 配置多重身份验证引导式演练

后续步骤

部署其他标识功能