實作多重要素驗證。
稍早探討使用者驗證選項的訓練也引進了 Microsoft Entra 多重要素驗證 (MFA)。 本單元會更詳細地探討組織如何啟用 MFA 及其運作方式。
多重要素驗證程序
密碼是驗證登入電腦或線上服務的最常見方法,但也是最容易受到攻擊的方法。 使用者可以選擇簡單的密碼,並使用相同的密碼多重登入至不同的電腦和服務。
若要為登入提供額外的安全性等級,您必須使用多重要素驗證 (MFA),其會使用應為強式密碼的密碼,以及第二個以下列為基礎的驗證方法:
- 您擁有的某些內容不容易複製,例如智慧型手機。
- 您唯一且生物上擁有的東西,例如您的指紋、面孔或其他生物特徵屬性。
在系統驗證使用者的密碼之前,不會採用第二個驗證方法。 使用 MFA 時,即使攻擊者入侵強式使用者密碼,他們還是沒有您的智慧型手機或指紋來完成登入。
Microsoft Entra 多重要素驗證會要求兩種驗證方法,以協助提高安全性。 使用者必須使用使用者名稱和密碼登入,然後使用第二個驗證方法。 第二個方法可以是在其行動電話上認可通話、簡訊或應用程式通知。 如果系統驗證使用者名稱、密碼和第二個驗證方法,則使用者就可以登入 Microsoft 365。 系統也可以讓從同盟的內部部署目錄進行驗證的用戶進行多重要素驗證。
下圖顯示不同驗證因素之間的差異:
- 使用者 知道 的事物 (密碼)
- 使用者 擁有 的事物 (裝置)
- 使用者 具有 的特徵 (生物特徵辨識)
多重要素驗證方法
Microsoft Entra 多重要素驗證支援數種驗證方法,包括:
- 手機來電或簡訊驗證。 Microsoft 365 中 MFA 的預設方法。 這個方法會透過手機來電或簡訊,將驗證碼傳送至使用者的已註冊手機號碼。
- Microsoft Authenticator 應用程式。 應用程式會提供推播通知或一次性代碼來驗證使用者的身分識別。 下一個訓練單元會探討此 MFA 選項。
- OATH 硬體權杖。 產生一次性密碼 (OTP) 的實體權杖以供驗證。
- FIDO2 安全性金鑰。 支援無密碼驗證的實體安全性金鑰。 如需詳細資訊,請參閱 FAST ID Online (FIDO) 2.0 版本。
- 其他第三方驗證器應用程式。 Microsoft 365 也支援其他遵循以時間為基礎的一次性密碼 (TOTP) 通訊協定的驗證器應用程式,例如 Google Authenticator 和 Authy。
Microsoft 365 也提供條件式存取原則,可讓系統管理員根據特定條件設定 MFA,例如位置、裝置合規性或使用者風險。 這項功能僅在使用者符合特定條件時要求 MFA,以提供額外的安全性。
注意事項
先前的訓練單元已探討條件式存取原則。
啟用多重要素驗證
MFA 可確保 Microsoft 365 會在存取敏感性資料或執行特定動作時,提示使用者提供額外的驗證。 這項額外的驗證可協助保護使用者的組織免於未經授權的存取和資料外洩。
Microsoft 365 提供三種方式讓組織啟用 MFA:
- 使用條件式存取原則
- 使用安全性預設
- 舊版每個使用者 MFA (不建議較大型組織使用)
這些方法都是以您的 Microsoft 365 方案為基礎,如下表所述。
| 規劃 | 建議 | 客戶類型 |
|---|---|---|
| 所有 Microsoft 365 方案 | 使用安全性預設值,這需要所有使用者帳戶採用 MFA。 您也可以在個別使用者帳戶上設定個別使用者 MFA,但不建議使用此方法。 | 小型企業 |
| - Microsoft 365 商務進階版 - Microsoft 365 E3 - Microsoft Entra ID P1 授權 |
根據群組會員、應用程式或其他準則,使用安全性預設值或條件式存取原則來要求使用者帳戶採用 MFA。 | 小型企業對企業 |
| - Microsoft 365 E5 - Microsoft Entra ID P2 授權 |
使用 Microsoft Entra ID Protection和條件式存取原則,根據登入風險準則要求 MFA。 | 大型企業 |
下列各節會概述每個方法。
使用條件式存取原則來啟用 MFA
Microsoft 建議組織使用條件式存取功能來啟用 MFA。 條件式存取可讓組織根據特定條件套用原則,以控制其雲端應用程式的存取權,例如使用者位置或裝置狀態。
條件式存取原則是一組規則,可指定要在什麼條件下評估和允許登入。 例如,您可以建立敘述如下的條件式存取原則: 如果使用者帳戶名稱是獲派 Exchange、使用者、密碼、安全性、SharePoint 或全域管理員角色的使用者群組成員,則先要求 MFA 再允許存取。
此原則可讓您根據群組成員資格要求 MFA,而不是在指派或取消指派這些管理員角色時,嘗試針對 MFA 設定個別使用者帳戶。 您也可以使用條件式存取原則來執行更進階的功能,例如要求對特定應用程式執行 MFA,或在從符合規範裝置 (例如執行 Windows 10 或 11 的膝上型電腦) 完成登入時。
如果組織有更仔細的登入安全需求,條件式存取原則可提供更多控制權。 條件式存取可讓您建立並定義回應登入事件的原則,以及要求在使用者獲授與應用程式或服務存取權之前先進行其他動作。 當使用者位於公司網路或已註冊的裝置上時,這些原則可以允許定期登入。 當使用者在遠端或位於個人裝置上時,他們也可以提示輸入其他驗證因素。
警告
在啟用條件式存取原則之前,請關閉 [每個使用者 MFA] 和 [安全性預設值]。 [每個使用者 MFA] 和 [安全性預設值] 是基準安全性功能,可為組織中的所有使用者帳戶提供基本層級的保護。 啟用 [條件式存取原則] 後,可根據特定條件和案例,更精細地控制和自訂存取需求。 如果您同時啟用 [每個使用者 MFA]、[安全性預設值] 和 [條件式存取原則],可能會導致驗證程序中的衝突和不一致,從而可能導致非預期的行為或存取問題。
組織必須具有下列其中一個授權,才能使用條件式存取原則:
- Microsoft 365 商務進階版
- Microsoft 365 E3 和 E5
- Microsoft Entra ID P1 和 Microsoft Entra ID P2 授權
如果您使用 Microsoft 365 商務進階版,可以以下列步驟輕鬆使用條件式存取原則:
建立群組以包含需要 MFA 的使用者帳戶。
啟用需要對全域系統管理員進行 MFA 原則。
使用以下設定建立群組型條件式存取原則:
- 指派> 使用者和群組:上述步驟 1 中的群組名稱。
- 指派 > 雲端應用程式或執行:所有雲端應用程式。
- 存取控制 > 授與 > 授與存取權 > 需要多重要素驗證。
啟用原則。
在上述步驟 1 所建立的群組中新增使用者帳戶,並進行測試。
若要要求更多使用者帳戶使用 MFA,請將它們新增至在步驟 1 中建立的群組。
這個條件式存取原則可讓您以自己的步調向使用者推出 MFA 需求。
企業應使用常見的條件式存取原則來設定下列原則:
使用 Microsoft Entra ID Protection,您可以建立其他的條件式存取原則,以便在 登入風險為中或高時要求 MFA。
您可以使用 Microsoft Entra ID Protection 與風險型條件式存取原則來搭配:
- Microsoft 365 E5
- Microsoft Entra ID P2 授權
如需詳細資訊,請參閱此 Microsoft Entra ID Protection 概觀。
使用 [安全性預設值] 來啟用 MFA
大部分的組織應從使用安全性預設值或條件式存取原則開始,以要求使用者帳戶登入使用 MFA。對於大部分的組織而言,[安全性預設值] 提供良好層級的額外登入安全性。 如果您的訂閱為新訂閱,它可能已自動為您開啟 [安全性預設值]。
[安全性預設值] 是可在組織中啟用 MFA 的簡單易用選項。 它需要最少的設定,而且組織可以快速設定。 [安全性預設值] 藉由開啟 MFA、封鎖舊版驗證通訊協定,以及要求使用者註冊 Microsoft Entra MFA,來提供基本的安全性層級。 這些功能可協助保護組織免於遭受許多常見的安全性威脅。
使用 [安全性預設值] 開啟 MFA 的主要缺點是您無法根據特定條件或案例進行自訂。 這是個全有或全無的命題。 此需求表示組織中的每位使用者都必須在公司啟用 [安全性預設值] 時使用 MFA (不論每位使用者的角色、位置或使用的裝置類型為何)。 如果組織的使用者無法存取電話或其他第二因素裝置,或連線能力有限而無法接收 MFA 代碼,則組織可能會認為這項需求有問題。 此外,某些使用者可能會認為 MFA 不方便,這可能會導致對新安全性措施的抗拒或生產力降低。
整體而言,使用 [安全性預設值] 來啟用 MFA 對於 IT 資源有限的中小型組織,或是需要快速實作基本安全性措施的組織而言,是實用的選項。 不過,具有更複雜安全性需求的大型組織可能會偏好條件式存取原則所提供的更多的控制和自訂功能。
您可以從 [屬性] 窗格啟用或停用 Microsoft Entra 系統管理中心 中 Microsoft Entra ID 的安全性預設值。
- 以安全性系統管理員、條件式存取系統管理員或全域管理員身分登入 Microsoft Entra 系統管理中心。
- 在 Microsoft Entra 系統管理中心 的左側瀏覽窗格中,選取 [概觀]。
- 在組織租用戶的 [概觀] 頁面上,系統預設會顯示 [概觀] 索引標籤。 選取 [屬性] 索引標籤。
- 在 [安全性預設值] 區段底下,選取 [管理安全性預設值] 連結。
- 在顯示的 [安全性預設值] 窗格上,在 [安全性預設值] 欄位中進行選取。 在顯示的下拉式功能表中,選取 [已啟用]。
- 在窗格底部,選取 [儲存]。
使用舊版每個使用者 MFA (不建議較大型組織使用)
Microsoft 建議使用安全性預設值或條件式存取原則來要求使用者帳戶登入使用 MFA。不過,如果組織無法使用上述任一種方法,Microsoft 強烈建議針對具有系統管理員角色的使用者帳戶,特別是全域管理員角色,針對任何大小的訂用帳戶,以每個使用者為基礎啟用 MFA。
雖然 [安全性預設值] 和 [條件式存取原則] 可以為組織中的所有使用者開啟 MFA,但使用 Microsoft 365 系統管理中心可讓您以每個使用者為基礎開啟 MFA。 每個使用者 MFA 是一種快速且簡單的方法,可為一或多個使用者帳戶提供更高的安全性。 您可以為您選取的任何使用者開啟或關閉 MFA。
如同 [安全性預設值],使用 Microsoft 365 系統管理中心 來啟用每個使用者 MFA 也是很有用的選項:
- IT 資源有限的中小型組織。
- 需要快速實作基本安全性措施的組織。
不過,Microsoft 建議具有更複雜安全性需求的大型組織使用 [條件式存取原則] 或 [安全性預設值] 來實作 MFA。 針對這些組織,Microsoft 不建議使用每個使用者 MFA,原因如下:
- 複雜度和管理。 每個使用者 MFA 需要每個使用者的個別設定。 在這個細微層級管理 MFA 設定可能會變得很麻煩,特別是在大型組織中。 這麼做會對系統管理員造成很大的負擔,這些系統管理員必須處理使用者特定的要求、針對問題進行疑難排解,並維護使用者群體間的一致性。
- 設定錯誤的風險。 當您將人為錯誤納入考量因素時,手動為每個使用者設定 MFA 會增加設定錯誤的風險。 設定錯誤可能會導致安全性缺口或不必要的中斷。 此外,設定錯誤也可能導致原則不一致。 不同的使用者最後可能會有不同的 MFA 原則,導致安全性態勢不一致。
- 舊版驗證。 每個使用者 MFA 不會防止舊版驗證 (例如 SMTP、IMAP 和 POP3 等通訊協定) 使用僅一個密碼。 新式驗證會提示使用者註冊 MFA 方法,但舊版通訊協定會略過此控制項。 由於組織安全性中有這種類型的差距,攻擊者可能會在入侵使用者的認證時,惡意探索舊版驗證。
- 缺少內容控制項。 [條件式存取] 會根據位置、裝置和應用程式等因素提供內容控制項。 每個使用者 MFA 都缺乏此內容感知。 [條件式存取] 也允許根據風險層級進行動態決策,例如封鎖來自可疑位置的存取,但並非每個使用者 MFA 都提供此功能。
- 可擴縮性和一致性。 隨著貴組織的成長,管理每個使用者 MFA 變得越來越具挑戰性。 [條件式存取] 或 [安全性預設值] 可確保所有使用者的 MFA 原則一致。
Microsoft 365 系統管理員可以完成下列步驟,在 Microsoft 365 系統管理中心中以每個使用者為基礎啟用多重要素驗證:
在 Microsoft 365 系統管理中心中,在左側瀏覽窗格中,選取 [設定],然後選取 [組織設定]。
在 [組織設定] 頁面的 [服務] 索引標籤底下 (預設會顯示),選取 [多重要素驗證]。
在出現的 [多重要素驗證] 窗格中,選取 [設定多重要素驗證]。
在 [多重要素驗證] 頁面上,有兩個索引標籤可供使用,一個適用於 [使用者],另一個適用於 [服務設定]。
在 [使用者] 索引標籤上,您可以為一或多個使用者啟用 (或停用) 多重要素驗證。 您可以先從選取 [檢視] 下拉式功能表的其中一個選項來篩選顯示的使用者開始。 當系統顯示您想要的使用者清單後,您就可以更新其多重要素驗證設定。
若要為一或多個使用者啟用多重要素驗證,請完成下列步驟:
選取您要啟用多重要素驗證的使用者。
在出現的 [使用者] 窗格中,您可以選取 [管理使用者設定] 來更新使用者的多重要素驗證設定。
在出現的 [管理使用者設定] 視窗中,您可以為選取的使用者選取下列任一選項,然後選取 [儲存]:
- [要求選取的使用者再次提供連絡方式]。
- [刪除選定使用者產生的所有現有應用程式密碼]。
- [在所有記住的裝置上還原多重要素驗證]。
在出現的 [使用者] 窗格中,您可以選取 [啟用],以為選取的使用者開啟多重要素驗證。
在出現的 [關於啟用多重要素驗證] 視窗中,您可以選取提供的連結,以深入瞭解多重要素驗證。 當您準備好時,請選取 [啟用多重要素驗證] 按鈕,然後在更新完成後選取 [關閉]。
針對每個選取的使用者,[多重要素驗證狀態資料] 資料行中的值應從 [已停用] 變更為 [已啟用]。
若要藉由使用 [大容量匯入] 功能,為 CSV 檔案中的所有使用者啟用 (或停用) 多重要素驗證,請完成下列步驟:
- 選取出現在畫面頂端的 [大量更新] 按鈕。
- 在出現的 [選取 CSV 檔案] 視窗中,您可以選取 [下載範例檔案] 以查看系統所需的檔案格式。 其中包含每個使用者的別名,以及啟用或停用使用者多重要素驗證的選項。
- 當您的檔案準備就緒時,請選取 [瀏覽檔案],然後選取您的 CSV 檔案。
- 選取視窗右下角的 [箭號圖示]。
- 出現的 [驗證檔案] 視窗會顯示系統已驗證的使用者帳戶數目。 選取視窗右下角的 [箭號圖示] 以更新使用者。
- [完成] 視窗會指出系統更新的使用者數目。 關閉視窗。
在 [服務設定] 索引標籤上,您可以更新組織的全域多重要素驗證設定。 此索引標籤可讓您更新下列設定:
應用程式密碼 章節
- 允許使用者建立應用程式密碼以登入非瀏覽器應用程式。
- 不允許使用者建立應用程式密碼以登入非瀏覽器應用程式。
受信任的 ips 章節
- 針對來自我內部網路上同盟使用者的要求,略過多重要素驗證。
- 針對來自下列 IP 位址子網路範圍的要求,略過多重要素驗證 (在提供的欄位中輸入 IP 位址子網路)。
驗證選項 章節
選取一或多個多重要素驗證選項:
- 電話通話。 使用者會收到包含指示的來電。 系統會在使用者按下井字鍵之後,將使用者登入。
- 傳送簡訊到電話 (預設為已選取)。 使用者會收到包含六位數代碼的簡訊,他們必須在 Microsoft 365 入口網站中輸入該代碼。
- 透過行動裝置應用程式收到的通知 (預設為已選取)。 使用者會設定智慧型手機應用程式,以接收使用者必須確認才能登入 Microsoft 365 的通知。 智慧型手機應用程式適用於 Windows 手機、iPhone 和 Android 裝置。
- 來自行動裝置應用程式或硬體權杖的驗證碼 (預設為已選取)。 使用者會設定智慧型手機應用程式,並將來自應用程式的六位數代碼輸入入口網站。
在受信任裝置上記住多重要素驗證 章節
- 允許使用者在他們所信任的裝置上記住多重要素驗證 (介於 1 到 365 天)
- 使用者可以信任裝置的天數 (預設值為 90 天)
針對 Microsoft Entra 多重要素驗證最佳化重新授權提示
其中一個系統設定選項是 在受信任的裝置上記住多重要素驗證。 此設定會決定使用者必須使用其多重要素驗證方法重新驗證的頻率。 您可以選擇性地選取受信任裝置可以記住使用者多重要素驗證的天數。 組織可以視其環境以及所想要的使用者體驗,設定這些重新驗證設定。
使用者登入頻率的 Microsoft Entra 預設設定是 90 天的連續週期。 不過,為了獲得最佳體驗,Microsoft 建議您使用條件式存取登入頻率來擴充受信任裝置、位置或低風險工作階段上的工作階段存留期,作為此設定的替代方案。 如果您決定在 受信任的裝置上實作此記住多重要素驗證 設定,請務必將持續時間延長至 90 天以上。
經常向使用者要求認證似乎是合理的做法,但這樣做可能會造成問題。 如果使用者經常在不加思考的情況下輸入認證,則可能會不小心將認證提供給惡意的認證提示。 因此,雖然任何違反 IT 原則的行為都會撤銷該工作階段,但不要求使用者重新登入可能聽起來很令人擔憂。 一些範例包括:
- 密碼變更
- 不符合規範的裝置
- 帳戶停用作業。
Microsoft 建議使用下列設定,藉由要求使用者以正確的頻率登入,以為使用者提供適當的安全性和易用性平衡:
如果您具有 Microsoft Entra 進階版:
- 使用受控裝置或無縫 SSO,跨應用程式啟用單一登錄 (SSO)。
- 如果使用者需要重新授權,請使用條件式存取登入頻率原則。
- 針對從非受控裝置或行動裝置案例登入的使用者,可能不適合持續性瀏覽器工作階段。 在此案例中,您可以使用條件式存取來啟用具有登入頻率原則的持續性瀏覽器工作階段。 根據登入風險,將持續時間限制為適當的時間,其中風險較低的使用者工作階段具有較長的持續時間。
如果您有 Microsoft 365 應用程式授權或免費 Microsoft Entra 階層:
- 使用受控裝置或無縫 SSO,跨應用程式啟用單一登錄 (SSO)。
- 保持啟用 [保持登入] 選項,並引導您的使用者接受它。
針對行動裝置案例,請確定您的使用者使用 Microsoft Authenticator 應用程式。 此應用程式可作為其他 Microsoft Entra 同盟應用程式的代理人。 它會減少裝置上的驗證提示。
注意事項
Microsoft 的研究顯示這些設定適用於大部分的租用戶。 這些設定的某些組合,例如 [記住多重要素驗證] 和 [保持登入],可能會導致太常提示您的使用者進行驗證。 一般重新授權提示對使用者生產力而言有害,而且可能會讓使用者更容易遭受攻擊。
其他閲讀資源。 如需詳細資訊,請參閱 其運作方式: Microsoft Entra 多重要素驗證。