规划多重身份验证部署
在开始部署 Microsoft Entra 多重身份验证之前,应确定以下几件事。
首先,请考虑分批推出 MFA。 从一小批试点用户开始,以评估环境的复杂性并确定任何设置问题或不支持的应用或设备。 然后,随着时间的推移,扩大该组,并在每次通过后评估结果,直到整个公司注册完毕。
接下来,请确保创建完整的通信计划。 Microsoft Entra 多重身份验证有多个用户交互要求,其中包括注册过程。 让用户了解方法的每个步骤。 让他们知道需要执行的操作、重要日期以及遇到问题时如何获得问题的答案。 Microsoft 提供了通信模板,以帮助你草拟通讯信息,包括海报和电子邮件模板。
Microsoft Entra 多重身份验证策略
通过条件访问策略强制执行 Microsoft Entra 多重身份验证。 条件访问策略是 IF-THEN 语句。 如果用户想要访问资源,那么他们必须完成某项操作。 示例:工资经理想要访问工资应用程序,需要执行多重身份验证才能访问该应用程序。 其他可能需要执行 MFA 的常见访问请求包括:
- 如果访问特定的云应用程序
- 如果用户要访问特定网络
- 如果用户要访问特定的客户端应用程序
- 如果用户要注册新设备
确定支持的身份验证方法
启用 Microsoft Entra 多重身份验证时,可以选择想要提供的身份验证方法。 应始终支持多种方法,以便用户在其主要方法不可用时有一个后备选项。 可从以下方法中选择:
| 方法 | 说明 |
|---|---|
| 移动应用验证码 | 移动身份验证应用(如 Microsoft Authenticator 应用)可用于检索 OATH 验证码(该验证码随后会被输入到登录界面中)。 此代码每隔 30 秒更改一次,即使连接受到限制,应用仍能正常运行。 这种方法在中国范围内的 Android 设备上不起作用。 |
| 移动应用通知 | Azure 可以向 Microsoft Authenticator 等移动身份验证应用发送推送通知。 用户可以选择推送通知并验证登录。 |
| 拨打电话 | Azure 可以呼叫提供的电话号码。 然后,用户使用键盘批准身份验证。 此方法是备份的首选方法。 |
| FIDO2 安全密钥 | FIDO2 安全密钥是无法钓鱼的基于标准的无密码身份验证方法。 这些密钥通常是 USB 设备,但也可以使用蓝牙或 NFC。 |
| Windows Hello for Business | Windows Hello 企业版将移动设备上的密码替换成了安全性强的双因素身份验证。 此身份验证包括一种与设备绑定的用户凭据,并使用生物识别技术或 PIN。 |
| OATH 令牌 | OATH 令牌可以是软件应用程序(例如 Microsoft Authenticator 应用和其他身份验证器应用),也可以是客户可以从不同供应商处购买的基于硬件的令牌。 |
管理员可以启用其中一个或多个选项,然后用户可以选择加入其要使用的每种支持身份验证方法。
选择一种身份验证方法
最后,必须确定用户如何注册其所选择的方法。 最简单的方法是使用 Microsoft Entra ID 保护。 如果组织拥有标识保护许可证,则你可以将其配置为提示用户下次登录时注册 MFA。
用户尝试使用要求进行多重身份验证的应用程序或服务时,你也可以提示用户注册 MFA。 最后,你可以使用适用于包含组织中所有用户的 Azure 组的条件性访问策略强制执行注册。 此方法需要执行一些手动操作才能定期查看该组以删除注册的用户。 有关一些用于自动执行部分此过程的有用脚本,请参阅规划 Microsoft Entra 多重身份验证部署。