計劃您的多重要素驗證部署
在開始部署 Microsoft Entra 多重要素驗證之前,您應該先決定幾件事。
首先,請考慮分次推出 MFA。 從試驗使用者的小型群組開始,以評估環境的複雜度,並識別任何設定問題或不支援的應用程式或裝置。 然後,隨時間擴大該群組並評估每次推出的結果,直到整個公司都註冊。
接下來,請務必建立完整的通訊計劃。 Microsoft Entra 多重要素驗證具有數個使用者互動需求,包括註冊流程。 讓使用者了解流程的每一步。 讓他們知道他們需要做什麼、重要的日期,以及遇到問題時要如何獲得問題的答案。 Microsoft 提供通訊範本來協助起草您的通訊,包括海報和電子郵件範本。
Microsoft Entra 多重要素驗證原則
Microsoft Entra 多重要素驗證是以條件式存取原則強制執行的。 條件式存取原則是 IF-THEN 陳述式。 如果使用者想要存取資源,則他們必須完成動作。 例如,薪資經理想要存取薪資應用程式,而且必須執行多重要素驗證才能存取。 其他可能需要 MFA 的常見存取要求包括:
- 「如果」特定雲端應用程式被存取。
- 「如果」使用者存取特定網路。
- 「如果」使用者存取特定用戶端應用程式。
- 「如果」使用者註冊新裝置。
決定要支援的驗證方法
當您開啟 Microsoft Entra 多重要素驗證時,您可以選擇要提供的驗證方法。 您應該一律支援一種以上的方法,讓使用者有備用選項,以防其主要方法無法使用。 您可以從下列方法中選擇:
| 方法 | 描述 |
|---|---|
| 行動應用程式驗證碼 | 行動驗證應用程式 (例如 Microsoft Authenticator 應用程式) 可用來擷取 OATH 驗證碼,然後將其輸入到登入介面。 此代碼每 30 秒會變更,且即使連線能力受限,應用程式仍可運作。 此方法在中國無法用於 Android 裝置上。 |
| 行動應用程式通知 | Azure 可以將推播通知傳送至行動驗證應用程式,例如 Microsoft Authenticator。 使用者可以選取推播通知並確認登入。 |
| 電話通話 | Azure 可以撥電話到所提供的電話號碼。 然後,使用者使用數字鍵台核准驗證。 此方法是備份的首選方法。 |
| FIDO2 安全性金鑰 | FIDO2 安全性金鑰是一種基於防網路釣魚標準的無密碼驗證方法。 這些金鑰通常是 USB 裝置,但也可使用藍牙或 NFC。 |
| Windows Hello 企業版 | Windows Hello 企業版會以強式雙因素驗證取代裝置上的密碼。 這項驗證是由與裝置繫結的使用者認證類型所組成的,而且會使用生物特徵辨識或 PIN 碼。 |
| OATH 權杖 | OATH 權杖可以是 Microsoft Authenticator 應用程式和其他驗證器應用程式這類軟體應用程式。 它們也可以是客戶可從不同廠商購買的硬體型權杖。 |
系統管理員可以啟用其中一或多個選項。 然後,使用者可以選擇加入他們想要使用的每個支援驗證方法。
選取驗證方法
最後,您必須決定使用者會如何註冊他們選取的方法。 最簡單的方法是使用 Microsoft Entra ID Protection。 如果您的組織有 Identity Protection 的授權,您可以設定系統在使用者下次登入時,提示他們註冊 MFA。
您也可以在使用者嘗試使用需要多重要素驗證的應用程式或服務時,提示他們註冊 MFA。 最後,您可以使用套用至 Azure 群組 (包含組織中所有使用者) 的條件式存取原則,強制執行註冊。 此方法需要一些手動工作,以定期檢查群組來移除已註冊的使用者。 如需自動執行此部分流程的一些有用指令碼,請參閱規劃 Microsoft Entra 多重要素驗證部署。