• 10 分钟

保护云资产是安全组的主要目标之一。 未经授权的用户访问系统的主要方法之一是获得有效的用户名和密码。 Azure 可以通过 Microsoft Entra ID 的多项功能来帮助缓解此风险，包括：

• 密码复杂性规则：这些规则强制用户生成难以猜测的密码。

• 密码过期规则：可以强制用户定期更改其密码，并避免使用以前用过的密码。

• 自助式密码重置 (SSPR)：如果用户忘记了密码，他们可以通过这种方法自行重置密码，而无需求助 IT 部门。

• Microsoft Entra ID 保护：若要帮助保护组织的标识，可以配置基于风险的策略，以便自动响应风险行为。 这些策略可以自动阻止各种行为，也可以启动补救措施，其中包括要求更改密码。

• Microsoft Entra 密码保护：可以使用全球禁用的密码列表来阻止常用和已泄露的密码。

• Microsoft Entra 智能锁定：智能锁定功能有助于锁定试图猜测用户密码或使用暴力手段侵入的恶意黑客。 它识别来自有效用户的登录，还能将其与来自恶意黑客和其他未知来源的登录区别对待。

• Microsoft Entra 应用程序代理：可以预配对本地 Web 应用程序的安全性得到增强的远程访问。

• 单一登录 (SSO)：可以启用对应用程序（包括数千个预先集成的 SaaS 应用）的 SSO 访问。

• Microsoft Entra Connect：为混合企业中的每个用户创建和管理单一标识，从而使用户、组和设备保持同步。

这些方法都是不错的选择，可以阻止他人猜测或暴力获取密码。 但是，有时密码是通过社会工程或不良的物理安全做法获得的，例如，将密码写在键盘下的便笺上！ 在这种情况下，这些功能无法阻止入侵。 安全管理员希望转而使用 Microsoft Entra 多重身份验证。

什么是 Microsoft Entra 多重身份验证？

Microsoft Entra 多重身份验证 (MFA) 要求通过两个或更多元素进行完整的身份验证，为标识提供增强的安全性。

这些元素分为三个类别：

• 已知内容，可能是密码或安全性问题的答案。
• 已有内容，可能是接收通知的移动应用或令牌生成设备。
• 自身特性，通常是生物识别属性，例如在许多移动设备上使用的指纹或面部扫描。

使用 Microsoft Entra 多重身份验证可以限制密码暴露的影响，从而提高标识安全性。 若要完全通过身份验证，恶意黑客还需要第二个因素，例如用户的手机、指纹或面部。 应始终启用多重身份验证，因为这是防止未经授权的登录的最有效方法。

Microsoft Entra 多重身份验证是 Microsoft 双重验证解决方案。 Microsoft Entra 多重身份验证可帮助保护对数据和应用程序的访问，同时可以满足用户对简单登录过程的需求。 它针对各种验证方法（包括电话、短信或移动应用验证）提供强身份验证。

Microsoft Entra 多因素身份验证的安全性在于它的分层方法。 需要多重身份验证对恶意黑客来说是一个巨大挑战。 即使恶意黑客设法得到了用户的密码，如果没有同时拥有受信任的设备，也是没有用的。 如果用户丢失了设备，捡到该设备的人在没有用户密码的情况下将无法使用它。

如何获得多重身份验证？

多重身份验证属于以下产品/服务的一部分：

• Microsoft Entra ID P1 或 P2 或 Microsoft 365 Business：这两种产品/服务都支持使用安全默认值进行 Microsoft Entra 多重身份验证，要求多重身份验证。

• Microsoft Entra ID 免费或独立 Microsoft 365 许可证：两者都使用安全默认值，要求对用户和管理员进行多重身份验证。

• Microsoft Entra 全局管理员：Microsoft Entra 多重身份验证功能的子集可用作保护全局管理员帐户的方法。