如何在条件访问中设置需要身份验证强度

Azure AD 条件访问中的“需要身份验证强度”访问控制是管理员的一个新选项，用于定义可使用哪些身份验证方法来访问你的环境或资源。它可以确保您可以定义最安全的方法并在您的环境中强制执行这些方法，并防止使用不太安全的身份验证方法。

内置选项

在条件访问中选择身份验证强度时，有 3 种不同的内置选项可供选择，即 MFA、无密码 MFA 和防网络钓鱼 MFA。每个选项提供不同级别的保护，包括以下内容：

• 多重身份验证强度：

  • FIDO2
• Windows Hello 企业版
• 基于证书的身份验证
• 微软身份验证器
• 临时通行证
• 密码和你拥有的东西
• 联合单因素和你拥有的东西
• 联合多因素

如何为条件访问创建自定义身份验证强度

除了我上面列出的默认内置控件之外，您还可以创建自己的自定义身份验证强度，其中可以包含上面的身份验证方法的混合。请按照以下步骤创建自定义身份验证方法。

1. 登录到 Azure Active Directory 管理门户：aad.portal.azure.com。

2. 选择Azure Active Directory

3. 在“管理”标题下，选择安全

4. 选择身份验证方法

5. 选择身份验证强度

6. 单击新的身份验证强度，右侧将出现一个新的弹出窗口。首先为您的新身份验证强度指定一个有意义的名称。

7. 从选项列表中选择所需的身份验证方法，然后单击下一步。这将带您进入“审阅”选项卡，您可以在其中确认您的选择并单击创建。

8. 现在，您将在列表中看到类型为自定义的新身份验证强度。目前，它将显示为尚未在任何策略中配置。

如何将自定义身份验证强度应用于策略

1. 在 Azure Active Directory 管理门户中打开条件访问。

2. 单击新策略或选择一项现有策略。

3. 在访问控制下，选择授予> 需要身份验证强度，然后从下拉列表中选择新的自定义身份验证强度。

启用身份验证强度时的用户体验

在这种情况下，我们的用户“John Smith”启用了带有 SMS 身份验证的 MFA。现有的条件访问策略仅强制执行基本 MFA。

目前，当 John Smith 登录 office.com 时，他会收到每次发送到他手机上的 MFA 代码的挑战。

作为管理员，我现在将更改现有的条件访问策略以使用新的身份验证强度策略。

现在我们更改了策略，当 John Smith 的会话过期或他再次登录时，他会看到以下页面：

单击“下一步”后，首先会要求他完成现有的 SMS 身份验证方法：

一旦他使用发送到手机的代码成功进行身份验证，系统就会要求他提供更多信息：

现在，他将被要求设置使用我们在自定义身份验证强度中设置的 Microsoft Authenticator 应用程序的新身份验证方法：

设置新的身份验证方法后，他将进入以下屏幕：

有趣的是，默认登录方法在此页面上显示不正确，现在是身份验证器应用程序而不是“文本”。另外，就我而言，当我在 Chrome 专用浏览器中完成此过程时，单击“完成”后，我陷入了使用身份验证器应用程序进行身份验证并返回到同一屏幕的无限循环。我必须结束浏览器会话并正常重新登录，但更改确实成功完成。