啟用多重要素驗證
練習 - 啟用多重要素驗證 (MFA)
多重要素驗證 (MFA) 藉由提示取用者第二種驗證方法來保護取用者身分識別。 Microsoft Entra 條件式存取會將訊號結合在一起,以做出決策並強制執行安全策略。 針對我們的雜貨網站,我們將強制執行提示進行 MFA 的條件式存取原則。 條件式存取原則會以所有使用者為目標,沒有任何條件。
首先建立條件式存取原則來保護應用程式。 登入 Microsoft Entra 系統管理中心,並瀏覽至 [保護]>[條件式存取]。 然後,選取 [新增原則]。
![[條件式存取] 刀鋒視窗的螢幕擷取畫面,其中左側導覽醒目提示 [原則],並在工具列中醒目提示 [新增原則] 按鈕。](media/enable-multifactor-authentication/1_inline.png)
為您的原則提供 [名稱],例如登入風險。
![[新增條件式存取原則] 刀鋒視窗的螢幕擷取畫面,其中醒目提示 [名稱] 文字輸入欄位。](media/enable-multifactor-authentication/2_inline.png)
在 [指派] 下方,選取 [使用者] 底下的連結。 然後,在 [包含] 索引標籤上,選取 [所有使用者]。 在 [排除] 索引標籤上,您可以為組織的緊急存取或急用帳戶選取使用者和群組。
![[新增條件式存取原則] 刀鋒視窗的螢幕擷取畫面,其中醒目提示 [使用者] 以及 [包含] 索引標籤醒目提示 [所有使用者] 選項按鈕選項。](media/enable-multifactor-authentication/3_inline.png)
在 [指派] 之下,選取 [目標資源]。 然後,在 [包含] 索引標籤上,選擇 [選取應用程式] 選項,然後按一下 [選取] 按鈕。 尋找並選取您的應用程式,然後選擇 [選取]。
![[新增條件式存取原則] 刀鋒視窗的螢幕擷取畫面,其中醒目提示 [目標] 資源,且 [包含] 索引標籤在右側開啟的 [選取雲端應用程式] 窗格中選取 Woodgrove Groceries 應用程式。](media/enable-multifactor-authentication/4_inline.png)
略過 [條件] 區段,然後移至下一個步驟。
![[新增條件式存取原則] 刀鋒視窗的螢幕擷取畫面,其中醒目提示 [條件]。](media/enable-multifactor-authentication/5_inline.png)
在 [存取控制]>[授與] 下,選取 [授與存取權]。 然後選取 [需要多重要素驗證]。 使用此授與類型,使用者必須完成其他安全性需求,例如電子郵件、通話或簡訊。
![[新增條件式存取原則] 刀鋒視窗的螢幕擷取畫面,其中醒目提示 [存取控制] 底下的 [授與],並在右側開啟的 [授與] 窗格上醒目提示 [需要多重要素驗證]。](media/enable-multifactor-authentication/6_inline.png)
確認您的設定,並將 [啟用原則] 設定為 [開啟]。 選取 [建立] 以建立您的原則。
![[新增條件式存取原則] 刀鋒視窗的螢幕擷取畫面,其中醒目提示底部的 [啟用原則] 為 [開啟]。](media/enable-multifactor-authentication/7_inline.png)
做得好!您建立了要求使用者完成 MFA 的條件式存取原則。 若要檢查使用者體驗,請登入您的應用程式。
![[條件式存取] 刀鋒視窗的螢幕擷取畫面,其中左側導覽醒目提示 [原則],並在工具列中醒目提示 [新增原則] 按鈕。](media/enable-multifactor-authentication/1.png#lightbox)
![[新增條件式存取原則] 刀鋒視窗的螢幕擷取畫面,其中醒目提示 [名稱] 文字輸入欄位。](media/enable-multifactor-authentication/2.png#lightbox)
![[新增條件式存取原則] 刀鋒視窗的螢幕擷取畫面,其中醒目提示 [使用者] 以及 [包含] 索引標籤醒目提示 [所有使用者] 選項按鈕選項。](media/enable-multifactor-authentication/3.png#lightbox)
![[新增條件式存取原則] 刀鋒視窗的螢幕擷取畫面,其中醒目提示 [目標] 資源,且 [包含] 索引標籤在右側開啟的 [選取雲端應用程式] 窗格中選取 Woodgrove Groceries 應用程式。](media/enable-multifactor-authentication/4.png#lightbox)
![[新增條件式存取原則] 刀鋒視窗的螢幕擷取畫面,其中醒目提示 [條件]。](media/enable-multifactor-authentication/5.png#lightbox)
![[新增條件式存取原則] 刀鋒視窗的螢幕擷取畫面,其中醒目提示 [存取控制] 底下的 [授與],並在右側開啟的 [授與] 窗格上醒目提示 [需要多重要素驗證]。](media/enable-multifactor-authentication/6.png#lightbox)
![[新增條件式存取原則] 刀鋒視窗的螢幕擷取畫面,其中醒目提示底部的 [啟用原則] 為 [開啟]。](media/enable-multifactor-authentication/7.png#lightbox)
建立條件式存取原則
下列範例會建立條件式存取原則。 此原則以所有使用者的所有登入為目標 (租用戶的全域管理員除外)。在下列要求中,以您自己的 Web 或行動應用程式 (應用程式識別碼,而非物件識別碼) 取代 {web-or-mobile-app-ID}。請注意,您可以新增更多應用程式。
POST https://graph.microsoft.com/v1.0/identity/conditionalAccess/policies
{
"templateId": null,
"displayName": "Woodgrove demo - sign in risk",
"state": "enabled",
"sessionControls": null,
"conditions": {
"userRiskLevels": [],
"signInRiskLevels": [
"high",
"medium"
],
"clientAppTypes": [
"all"
],
"platforms": null,
"locations": null,
"times": null,
"deviceStates": null,
"devices": null,
"clientApplications": null,
"applications": {
"includeApplications": [
"{web-or-mobile-app-ID}"
],
"excludeApplications": [],
"includeUserActions": [],
"includeAuthenticationContextClassReferences": [],
"applicationFilter": null
},
"users": {
"includeUsers": [
"All"
],
"excludeUsers": [],
"includeGroups": [],
"excludeGroups": [],
"includeRoles": [],
"excludeRoles": [],
"includeGuestsOrExternalUsers": null,
"excludeGuestsOrExternalUsers": null
}
},
"grantControls": {
"operator": "OR",
"builtInControls": [
"mfa"
],
"customAuthenticationFactors": [],
"termsOfUse": [],
"authenticationStrength": null
}
}