如何配置 Microsoft Entra 多重身份验证

您想要启用 Microsoft Entra 多重身份验证。有每用户 MFA 和基于条件访问的 MFA。在部署基于 Microsoft Entra 条件访问的多重身份验证之前，您需要 Microsoft Entra ID P1 或 P2。在本文中，您将了解如何逐步为所有用户配置 Microsoft Entra 多重身份验证。

启用 Microsoft Entra 多重身份验证之前

不要立即为所有用户启用 MFA。 IT 支持团队将收到有关 MFA 注册或应用程序无法运行的电话和电子邮件。

• 先为几个测试用户或试点组配置条件访问 MFA，然后再为所有用户应用 MFA 策略。

• 创建有关如何设置 MFA 的说明，并将其通过电子邮件发送给用户、打印出来、放在他们的办公桌上或放在 Intranet 上。

微软确实创建了优秀的多重身份验证推广材料，您可以下载、编辑并发送给用户。我们经常使用的指令是设置 Microsoft Authenticator 应用程序身份验证。

您是否已在 Microsoft 365 租户中配置了每用户 MFA，并且想要迁移到基于条件访问的 MFA？了解如何从每用户 MFA 迁移到条件访问 MFA。

检查 Microsoft Entra 许可证

检查您的租户是否具有 Microsoft Entra ID P1 或 P2：

1. 登录 Microsoft Entra 管理中心
2. 单击身份>概述
3. 在基本信息下查找许可证

在下面的示例中，我们拥有许可证 Microsoft Entra ID P2。

在下一步中，您将为用户选择验证方法。

选择验证方式

重要提示：在继续操作之前，请仔细阅读将旧版 MFA 和 SSPR 迁移到身份验证方法策略一文。

检查认证方式：

1. 登录 Microsoft Entra 管理中心
2. 单击保护>身份验证方法>策略
3. 启用用户可用的身份验证方法

注意：Microsoft 建议禁用短信和语音通话方法，因为它们不安全。

在下一步中，您将添加要从 MFA 中排除的位置。

配置命名位置

您不希望用户在连接到受信任的网络时使用 MFA。为了将 IP 地址位置列入白名单，我们将使用条件访问中的命名位置功能。

1. 选择条件访问 > 指定位置
2. 点击IP范围位置

1. 添加名称和外部 IP 位置
2. 点击创建

在此示例中，我们将添加两个位置。这就是我们希望从 MFA 中排除的总部和分公司。

1. 重复并添加其他位置

我们将添加要从 MFA 中排除的分支机构位置外部 IP。

1. 外部 IP 地址显示在条件访问命名位置列表中

在下一步中，您将为要从 MFA 中排除的账户创建非 MFA 安全组。

创建非 MFA 安全组

很高兴知道您需要从 MFA 中排除服务帐户。服务帐户是不与任何特定用户绑定的非交互式帐户。它们通常由后端服务使用，允许以编程方式访问应用程序，但也用于出于管理目的登录系统。应排除此类服务帐户，因为 MFA 无法以编程方式完成。

注意：如果您没有与 Microsoft Entra Connect Sync（混合云）同步的本地 Active Directory，请在 Microsoft Entra ID 中创建安全组。

1. 转到Active Directory 用户和计算机
2. 创建一个名为Non-MFA的安全组

1. 双击非 MFA 安全组

1. 将服务帐户添加到组中

1. 强制同步 Microsoft Entra Connect 或等待 30 分钟，然后更改才会与云同步。

在下一步中，您将为 Microsoft Entra 条件访问中的所有用户启用 MFA。

配置 Microsoft Entra 条件访问 MFA

创建条件访问策略以强制所有用户执行 MFA。您只能选择选定的用户组。但是，我们建议为所有用户启用 MFA。

第 1 步：新政策

单击条件访问> 创建新策略。

第 2 步：姓名

将其命名为MFA 所有用户。

第 3 步：作业

单击用户和组> 包括。选择所有用户。

点击排除。选择用户和组。选择您在前面的步骤中创建的非 MFA 安全组。

您有 Microsoft Entra Connect Sync 吗？不要忘记排除 Microsoft Entra Connect 同步帐户的 MFA。请阅读条件访问 MFA 中断 Azure AD Connect 同步中的更多信息。

您是否有更多服务帐户并且它们是在 Microsoft Entra ID 中创建的吗？在 Microsoft Entra ID 中创建非 MFA-Entra 安全组，并将这些帐户添加到该组中。之后，将Non-MFA-Entra安全组添加到排除的策略设置中。

第 4 步：云应用程序或操作

单击目标资源 > 云应用 > 包括。选择所有云应用。

第五步：条件

单击网络 > 是 > 包括。选择任何网络或位置。

点击排除并选择选定的网络和位置。选择您在前面的步骤中创建的命名位置。

第六步：授予

点击授予。选择授予访问权限。选中需要多重身份验证复选框。单击选择。

第 7 步：启用策略

单击开启开关以启用该策略。选择我了解我的帐户将受到此政策的影响。仍然继续。点击创建。

注意：请记住先在选定的用户组上测试条件访问 MFA 策略，然后再将其应用于所有用户。

假设您单击创建，您会收到以下警告和错误：

• 您似乎即将管理组织的安全配置。那太棒了！您必须先禁用安全默认设置，然后才能启用条件访问策略。
• 必须禁用安全默认设置才能启用条件访问策略。

您可以阅读文章如何禁用 Microsoft Entra ID 中的安全默认设置。

步骤 8：检查条件访问策略

点击政策。该策略显示在条件访问策略列表中。

您应始终将条件访问策略导出到 JSON 文件以进行备份。假设策略被编辑，并且您想要恢复策略，您可以轻松地将条件访问策略导入到租户中。

验证您的工作

配置策略后，用户在使用需要 MFA 的服务时将收到需要设置 MFA 的消息。例如，当他们登录 Microsoft 365 门户时。

注意：如果用户位于 MFA 排除的位置，则不会收到设置 MFA 或 MFA 授权的通知。在本例中，为总公司和分公司。

下面是用户在配置 Microsoft Entra 条件访问 MFA 后登录 Microsoft 365 门户时的外观示例。

用户现在将使用您提供的说明来设置 MFA。

了解更多：通过条件访问确保 MFA 和 SSPR 注册安全 »

结论

您了解了如何配置 Microsoft Entra 多重身份验证。创建非 MFA 安全组并将服务帐户添加到该组。否则，启用MFA后帐户会出现问题。在为所有用户推出 MFA 之前，请先在几个测试用户或试点组上测试策略。请记住创建有关如何设置 MFA 的说明并将其发送给用户。

您喜欢这篇文章吗？您可能还喜欢安装和配置 Microsoft Entra Connect。不要忘记关注我们并分享这篇文章。