需要对所有用户进行多重身份验证

正如 Microsoft 标识安全负责人 Alex Weinert 在其博客文章 Your Pa$$word doesn't matter（《你的密码无关紧要》）中提到的一样：

你的密码无关紧要，但 MFA 很重要！ 根据我们的调查，如果使用 MFA，帐户遭到入侵的可能性将降低 99.9% 以上。

身份验证强度

本文中的指导将帮助你的组织使用身份验证强度为你的环境创建 MFA 策略。 Microsoft Entra ID 提供三种内置身份验证强度：

• 本文建议的多重身份验证强度（限制较少）
• 无密码 MFA 强度
• 防网络钓鱼 MFA 强度（限制性最强）

可以使用其中一种内置强度，也可以根据所需的身份验证方法创建自定义身份验证强度。

对于外部用户方案，资源租户可接受的 MFA 身份验证方法会有所不同，具体取决于用户是在主租户还是在资源租户中完成 MFA。 有关详细信息，请参阅外部用户的身份验证强度。

排除用户

条件访问策略是功能强大的工具，建议从策略中排除以下帐户：

• 紧急访问或不受限帐户，用于防止因策略错误配置导致的锁定。 在极少数情况下，所有管理员都被锁定，这时可以使用紧急访问管理帐户登录，以采取措施来恢复访问。
  • 有关详细信息，请参阅文章在 Microsoft Entra ID 中管理紧急访问帐户。
• 服务帐户和服务主体，例如 Microsoft Entra Connect 同步帐户。 服务帐户是不与任何特定用户关联的非交互式帐户。 它们通常由后端服务使用，以便可以对应用程序进行编程访问，不过也会用于登录系统以进行管理。 范围限定为用户的条件访问策略将不会阻止由服务主体进行的调用。 对工作负载标识使用条件访问来定义面向服务主体的策略。
  • 如果组织在脚本或代码中使用这些帐户，请考虑将其替换为托管标识。

模板部署

组织可选择使用下述步骤或条件访问模板来部署此策略。

创建条件访问策略

以下步骤帮助创建条件访问策略，以要求所有用户都使用身份验证强度策略执行多重身份验证。

警告

如果你使用的是外部身份验证方法，这些方法当前与身份验证强度不兼容，你应使用“需要多重身份验证”授权控制。

1. 最低以条件访问管理员身份登录到 Microsoft Entra 管理中心。
2. 浏览到“保护”>“条件访问”>“策略”。
3. 选择“新策略”。
4. 为策略指定名称。 建议组织为其策略的名称创建有意义的标准。
5. 在“分配”下，选择“用户或工作负载标识” 。
   1. 在“包括”下，选择“所有用户”
   2. 在“排除”下，选择“用户和组”，然后选择你的组织的紧急访问或不受限帐户。
      1. 如果你使用特定于来宾用户的策略将来宾用户作为目标，则可以选择排除来宾用户。
6. 在“目标资源”>“资源(以前为云应用)”>“包括”下，选择“所有资源(以前为‘所有云应用’)”。
   1. 在“排除”下，选择任何不要求多重身份验证的应用程序。
7. 在“访问控制”>“授权”下，选择“授权访问”。
   1. 选择“需要身份验证强度”，然后从列表中选择内置多重身份验证强度。
   2. 选择“选择” 。
8. 确认设置，然后将“启用策略”设置为“仅限报告”。
9. 选择“创建”，以便创建启用策略所需的项目。

在管理员使用仅限报告模式确认你的设置后，他们可以将“启用策略”开关从“仅限报告”移至“启用”。

命名位置

组织可以选择将已知的网络位置（称为“命名位置”）纳入其条件访问策略。 这些命名位置可能包含受信任的 IP 网络，例如用于主要办公位置的网络。 有关配置命名位置的详细信息，请参阅 Microsoft Entra 条件访问中的位置条件是什么？一文

在上述示例策略中，如果从组织的企业网络访问云应用，组织可以选择不要求进行多重身份验证。 在这种情况下，组织可以将以下配置添加到策略中：

1. 在“分配”下，选择“网络”。
   1. 配置“是”。
   2. 包含任何网络或位置。
   3. 排除所有受信任的网络和位置。
2. 保存策略更改。

应用程序排除

组织可能有许多正在使用的云应用程序。 并非所有云应用程序都需要同等的安全性。 例如，工资和出勤应用程序可能需要 MFA，但这自助食堂应用程序可能不需要。 管理员可以选择从其策略中排除特定的应用程序。

订阅激活

使用订阅激活功能使用户能够从一个版本的 Windows“升级”到另一个版本，并使用条件访问策略来控制访问的组织需要使用“选择排除的云应用”从条件访问策略中排除以下某个云应用：

• 通用应用商店服务 API 和 Web 应用程序，AppID 45a330b1-b1ec-4cc1-9161-9f03992aa49f。

• 适用于商业的 Windows 应用商店，AppID 45a330b1-b1ec-4cc1-9161-9f03992aa49f。

尽管这两个实例中的应用 ID 相同，但云应用的名称取决于租户。

当设备长时间处于离线状态时，如果此条件访问排除未到位，则设备可能不会自动重新激活。 设置此条件访问排除项可确保订阅激活继续无缝工作。

从具有 KB5034848 或更高的 Windows 11 版本 23H2 开始，当订阅激活需要重新激活时，系统会使用 Toast 通知提示用户进行身份验证。 Toast 通知显示以下消息：

帐户需要进行身份验证

请登录到工作或学校帐户来验证你的信息。

此外，在激活窗格中，可能会出现以下消息：

请登录到工作或学校帐户来验证你的信息。

当设备长时间处于离线状态时，通常会出现身份验证提示。 此更改消除了在具有 KB5034848 或更高的 Windows 11 版本 23H2 的条件访问策略中使用排除项的需要。 如果不需要通过 Toast 通知提示用户进行身份验证，则条件访问策略仍可与具有 KB5034848 或更高的 Windows 11 版本 23H2 一起使用。

相关内容

• 条件访问模板
• 使用条件访问的仅报告模式来确定新策略决策的效果。