本主题介绍验证组织中的用户是否已设置为满足 Azure 必需的 MFA 要求的步骤。 有关受影响的应用程序和帐户以及部署方法的详细信息,请参阅为 Azure 和其他管理门户规划强制性多重身份验证。
验证个人帐户的 MFA
用户可以使用其个人帐户仅为少数用户创建Microsoft Entra 租户。 如果使用个人帐户订阅 Azure,请完成以下步骤,确认帐户已设置为 MFA。
- 登录到 Microsoft 帐户的“高级安全”选项。
- 在“其他安全性”和“双重验证”下,选择“启用”。
- 按照屏幕上的说明进行操作。
有关详细信息,请参阅如何使用 Microsoft 帐户设置双重验证。
查找使用和不使用 MFA 登录的用户
请使用以下资源来查找使用和不使用 MFA 登录的用户:
- 若要导出用户及其身份验证方法的列表,请使用 PowerShell。
- 如果运行查询来分析用户登录,请使用需要 MFA 的应用程序的应用程序 ID。
验证是否启用 MFA
访问 需要 MFA 的应用程序 的所有用户都必须设置为使用 MFA。 强制性 MFA 不限于特权角色。 最佳做法是,访问任何管理门户的所有用户都应使用 MFA。
使用以下步骤验证是否已为用户设置 MFA,或根据需要启用 MFA。
以全局读者身份登录到 Azure 门户。
浏览到 Entra ID>概述。
检查租户订阅的许可证类型。
按照许可证类型的步骤验证是否已启用 MFA,或根据需要启用 MFA。 要完成这些步骤,需要以全局读者身份注销,然后使用更高权限的角色重新登录。
验证是否已为 Microsoft Entra ID P1 或 Microsoft Entra ID P2 许可证启用 MFA
如果你有Microsoft Entra ID P1 或 Microsoft Entra ID P2 许可证,则可以创建条件访问策略来要求访问 需要 MFA 的应用程序的用户:
最低以条件访问管理员身份登录到 Microsoft Entra 管理中心。
请导航到 Entra ID>条件访问>策略。
选择“新策略”。
为策略指定名称。 建议组织为其策略的名称创建有意义的标准。
在“分配”下,选择“用户或工作负载标识”。
在 “目标资源>云应用>包括”、“ 选择应用”下,选择 Microsoft管理门户 和 Windows Azure 服务管理 API。
在“访问控制”“授予”下,依次选择“授予访问权限”、“要求身份验证强度”和“多重身份验证”,然后选择“选择”>。
确认设置,然后将“启用策略”设置为“只限报告”。
选择“创建”,以便创建启用策略所需的项目。
重要
在 Report-Only 模式下创建 CA 策略,了解租户的影响,以免被锁定。
有关详细信,请参阅常见条件访问策略:要求访问 Microsoft 管理门户的管理员进行多重身份验证。
您可以使用包含登录日志的条件访问分析和报告工作簿来了解对租户的影响。 作为先决条件,需要:
选择以下参数以查看强制 MFA 对租户的影响:
- 选择之前创建的 MFA 条件访问策略
- 选择要评估数据的时间范围
- 选择 “数据视图” 以查看用户数或登录数的结果
可以查询登录详细信息或下载登录日志,以深入了解数据。 有关详细信息,请参阅条件访问见解和报告。
验证是否已为 Microsoft 365 或 Microsoft Entra ID 免费版启用 MFA
如果有 Microsoft 365 或 Microsoft Entra ID 免费版许可证,则可以使用安全默认值启用 MFA。 系统会根据需要提示用户进行 MFA,但你无法定义自己的规则来控制行为。
如果要启用安全默认值,请执行以下操作:
- 至少以安全管理员身份登录到 Microsoft Entra 管理中心。
- 浏览到 Entra ID>概述>属性。
- 选择“管理安全默认值”。
- 将“安全默认值”设为“启用”。
- 选择“保存”。
要详细了解安全默认值,请参阅 Microsoft Entra ID 中的安全默认值。
如果不想使用安全默认值,可以启用每用户 MFA。 单独启用用户后,每次登录时都会执行 MFA。 身份验证管理员可启用一些例外。 启用每用户 MFA:
- 至少以身份验证管理员的身份登录到 Microsoft Entra 管理中心。
- 浏览到 Entra ID>用户页面。
- 选择用户帐户,然后单击“启用 MFA”。
- 在打开的弹出窗口中确认你的选择。
启用用户后,通过电子邮件通知他们。 告诉用户显示了提示,要求他们在下次登录时注册。 有关详细信息,请参阅:启用每用户 Microsoft Entra 多重身份验证以保护登录事件。
相关内容
查看以下主题以详细了解 MFA: