在Microsoft 365中设置多因素认证以增强数据安全

本文详细介绍了在Microsoft 365中设置多因素认证的四种方法,包括安全默认值、条件访问策略、每用户MFA和Entra ID保护,帮助企业增强身份安全并防止未经授权的数据访问。

在Microsoft 365中设置多因素认证以保护数据

保护企业数据不再仅仅是IT部门的任务——这对业务至关重要。多因素认证(MFA)通过增加额外的安全层,可帮助组织显著降低未经授权访问的风险并保护关键资产。

对于使用Microsoft 365的组织来说,设置MFA是加强身份安全的第一步。通过配置MFA确保只有受信任的用户和设备可以访问业务应用程序,组织可以保护其在Microsoft生态系统中的数据。

为何采用多因素认证?

如果您的组织尚未使用MFA登录Microsoft Azure环境,现在是时候启用它了。MFA通过要求用户在登录时提供用户名和密码以及第二种认证形式(如应用通知、电话呼叫、短信或语音代码,或物理硬件密钥)来增强安全性。这有助于防止因密码被盗或猜测而导致的账户接管。

Microsoft Entra ID(前身为Azure Active Directory)需要以下两种或更多要素:

  • 您拥有的东西,如受信任的设备或硬件密钥。
  • 您知道的东西,如密码。
  • 您固有的特征,如生物识别指纹或面部扫描。

Microsoft 365/Entra ID中的MFA选项

有四种主要启用MFA的方式:

  1. 安全默认值。它们提供基本的租户范围强制执行——一种全有或全无的方法——适用于所有用户,无论他们之前是否注册过MFA。
  2. 条件访问策略。用户可以根据位置、设备或风险等级等条件使用MFA登录。例如,当用户离开办公室网络并远程登录时,这些策略适用。
  3. 每用户MFA。这是一种为单个用户启用MFA的传统方法,但不建议用于新设置。
  4. Entra ID保护。这使用基于风险的MFA,并要求用户提供额外的验证信号,如登录历史,以确定登录风险和设备合规性。

条件访问不能与安全默认值同时使用。IT在创建条件访问策略之前必须禁用安全默认值。

禁用安全功能可能产生严重后果,因此请谨慎操作。在禁用任何安全功能之前,了解潜在风险并评估对组织的可能影响非常重要。

启用安全默认值

使用此简单选项,MFA默认应用于所有认证请求和账户的租户范围。一旦启用,没有进一步的配置选项可用。启用安全默认值的影响包括:

  • 所有用户必须在其下一次登录的两周内注册MFA。
  • 仅支持Microsoft Authenticator应用进行批准。
  • 管理员始终需要使用MFA。
  • 当Microsoft认为必要时——例如当用户登录新设备或应用时——将提示用户提供MFA。
  • 阻止POP、IMAP和SMTP的旧式认证。

IT可以通过以下步骤设置安全默认值:

  1. 使用安全管理员、条件访问管理员或全局管理员角色登录Entra管理中心。
  2. 导航至Identity > Overview > Properties > Manage security defaults。
  3. 选择Enable Security defaults > Yes。
  4. 保存更改。

配置条件访问

条件访问提供了比每用户方法和安全默认值更可配置的MFA选项。配置条件访问的过程包括以下步骤:

  1. 将安全默认值设置为"Disabled (not recommended)"。
  2. 在Entra管理中心,前往Identity > Protection > Conditional Access > Policies。
  3. 选择+ New Policy。
  4. 命名策略;例如,“Require MFA for all users。”
  5. 在Assignments下,选择Users and groups。选择策略适用的账户和组。
  6. 在Cloud apps or actions下,选择All cloud apps,或选择特定应用。
  7. 在Conditions下,配置何时需要MFA;例如,对于外部位置或风险登录。
  8. 在Access Controls下,选择Grant access > Require multifactor authentication。
  9. 启用策略并点击Create。

新策略随后应根据所选条件动态强制执行MFA。

具体步骤可能因Microsoft 365版本和设置而异,但一般过程应相同。

启用每用户MFA

此传统选项仍然存在,但正被条件访问取代。避免在新部署中使用此选项。

要为单个用户设置MFA,执行以下步骤:

  1. 使用具有必要权限的账户登录Microsoft 365管理中心。
  2. 前往Users > Active users。
  3. 选择Multifactor Authentication。如果此选项隐藏,请打开由三个点表示的菜单。
  4. 在MFA门户中,点击用户并选择Enable > confirm。
  5. 用户将在下次登录时完成MFA注册。

为多个用户批量启用MFA

要同时为多个用户启用MFA,从与单个用户相同的步骤开始。然后,执行以下步骤:

  1. 在Per-User MFA门户中,选择Bulk Update。
  2. 下载CSV模板。
  3. 添加要启用MFA的账户的用户名。
  4. 上传CSV文件并确认激活。

所有上传的用户将在下次登录时使用短信、电话呼叫或Microsoft Authenticator应用完成MFA注册。

最佳实践

在为组织设置MFA时,请记住以下最佳实践:

  • 使用安全默认值进行快速、简单的强制执行。
  • 使用条件访问进行可扩展、灵活的控制。
  • 避免在新设置中使用每用户MFA。相反,保留此选项用于小型或测试组织。
  • 考虑使用Entra ID保护进行基于风险的自适应MFA。

在Microsoft 365中实施MFA是增强企业安全性的有效方式。设置过程需要仔细规划和用户沟通以确保顺利过渡。尽管如此,投资回报率是明确的,因为它为关键数据提供了增强的保护、降低了账户泄露的可能性并增强了合规信心。

MFA应成为组织更广泛身份和访问管理框架的一部分,以应对不断演变的威胁。这包括定期审查认证策略、监控用户行为并在组织发展时完善访问控制。对MFA采取主动方法可确保Microsoft 365在日益复杂的威胁环境中保持安全。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次