Microsoft Entra 多重身份验证的功能和许可证
若要保护组织中的用户帐户,应使用多重身份验证。 对资源拥有访问特权的帐户尤其需要此功能。 Microsoft 365 和 Microsoft Entra 用户和全局管理员可免费使用基本的多重身份验证功能。 如果想要为管理员升级功能,或者通过更多身份验证方法和更好的控制将多重身份验证扩展到其他用户,可通过多种方式购买 Microsoft Entra 多重身份验证。
重要
本文详细介绍了可以获得 Microsoft Entra 多重身份验证的许可并使用的不同方式。 有关定价和计费的具体详细信息,请参阅 Microsoft Entra 定价页。
Microsoft Entra 多重身份验证的可用版本
根据组织的需求,可以通过几种不同的方式使用 Microsoft Entra 多重身份验证和获得许可。 所有租户都有权通过安全默认值使用基本的多重身份验证功能。 根据你当前拥有的 Microsoft Entra ID、EMS 或 Microsoft 365 许可证,你可能已有权使用高级 Microsoft Entra 多重身份验证。 例如,Microsoft Entra 外部 ID 中的前 50,000 名月度活跃用户可以免费使用 MFA 和其他高级版 P1 或 P2 功能。 有关详细信息,请参阅 Microsoft Entra 外部 ID 定价。
下表详细介绍了获取 Microsoft Entra 多重身份验证的不同方式,以及每种方式的一些功能和用例。
| 如果你是以下产品的用户 | 功能和用例 |
|---|---|
| Microsoft 365 商业高级版和 EMS 或 Microsoft 365 E3 和 E5 | EMS E3、Microsoft 365 E3 和 Microsoft 365 商业高级版包括 Microsoft Entra ID P1。 EMS E5 或 Microsoft 365 E5 包括 Microsoft Entra ID P2。 可以使用以下部分中所述的相同条件访问功能向用户提供多重身份验证。 |
| Microsoft Entra ID P1 | 在特定的情况下或者发生适合业务要求的事件时,使用 Microsoft Entra 条件访问提示用户执行多重身份验证。 |
| Microsoft Entra ID P2 | 提供了最强的安全保障和改进的用户体验。 |
| 所有 Microsoft 365 计划 | 可以使用安全默认值为所有用户启用 Microsoft Entra 多重身份验证。 Microsoft Entra 多重身份验证的管理通过 Microsoft 365 门户进行。 若要改进用户体验,请升级到 Microsoft Entra ID P1 或 P2 并使用条件访问。 有关详细信息,请参阅使用多重身份验证保护 Microsoft 365 资源。 |
| Office 365 免费版 Microsoft Entra ID Free |
可以根据需要使用安全默认值提示用户进行多重身份验证,但无法精细控制已启用的用户或方案,但它确实提供了额外的安全步骤。 即使安全默认设置不用于为每个人启用多重身份验证,但也可以将分配有 Microsoft Entra 全局管理员角色的用户配置为使用多重身份验证。 免费层的这一功能可确保关键管理员帐户受到多重身份验证的保护。 |
基于许可证的功能比较
下表列出了用于多重身份验证的各个 Microsoft Entra ID 版本中可用的功能。 规划保护用户身份验证的需求,然后确定哪种方法符合这些要求。 例如,尽管 Microsoft Entra ID Free 提供安全默认值来实现 Microsoft Entra 多重身份验证,但只能通过手机验证器应用显示身份验证提示。 如果无法确保将手机身份验证应用安装到用户的个人设备上,此方法可能存在限制。 有关更多详细信息,请参阅本主题后面的 Microsoft Entra ID Free 层。
| 功能 | Microsoft Entra ID Free - 安全默认值(已为所有用户启用) | Microsoft Entra ID Free - 仅限全局管理员 | Office 365 | Microsoft Entra ID P1 | Microsoft Entra ID P2 |
|---|---|---|---|---|---|
| 使用 MFA 保护 Microsoft Entra 租户管理员帐户 | ● | ●(仅限 Microsoft Entra 全局管理员帐户) | ● | ● | ● |
| 将移动应用用作第二个因素 | ● | ● | ● | ● | ● |
| 将电话呼叫用作第二个因素 | ● | ● | ● | ||
| 将短信作为第二个因素 | ● | ● | ● | ● | |
| 管理员控制验证方法 | ● | ● | ● | ● | |
| 欺诈警报 | ● | ● | |||
| MFA 报告 | ● | ● | |||
| 通话的自定义问候语 | ● | ● | |||
| 通话的自定义呼叫方 ID | ● | ● | |||
| 受信任的 IP | ● | ● | |||
| 记住受信任的设备的 MFA | ● | ● | ● | ● | |
| 适用于本地应用程序的 MFA | ● | ● | |||
| 条件性访问 | ● | ● | |||
| 基于风险的条件访问 | ● |
比较多重身份验证策略
若要强制执行 MFA,建议的方法是使用条件访问。 查看下表以确定你的许可证中包含哪些功能。
| 策略 | 安全默认值 | 条件性访问 | 每用户 MFA |
|---|---|---|---|
| 管理 | |||
| 一套标准的安全规则,以确保你的公司安全 | ● | ||
| 一键打开/关闭 | ● | ||
| 包含在 Office 365 许可中(请参阅许可注意事项) | ● | ● | |
| Microsoft 365 管理中心向导中的预配置模板 | ● | ● | |
| 配置灵活性 | ● | ||
| 功能 | |||
| 从策略中豁免用户 | ● | ● | |
| 通过电话呼叫或短信进行身份验证 | ● | ● | ● |
| 通过 Microsoft Authenticator 和软件令牌进行身份验证 | ● | ● | ● |
| 通过 FIDO2、Windows Hello 企业版和硬件令牌进行身份验证 | ● | ● | |
| 阻止旧身份验证协议 | ● | ● | ● |
| 自动保护新员工 | ● | ● | |
| 基于风险事件的动态 MFA 触发器 | ● | ||
| 身份验证和授权策略 | ● | ||
| 可基于位置和设备状态进行配置 | ● | ||
| 支持“仅报表”模式 | ● | ||
| 能够完全阻止用户/服务 | ● |
购买和启用 Microsoft Entra 多重身份验证
若要使用 Microsoft Entra 多重身份验证,请注册或购买符合条件的 Microsoft Entra 层。 Microsoft Entra ID 提供四个版本:Free、Office 365、Premium P1 和 Premium P2。
Free 版本随附在 Azure 订阅中。 请参阅下面的部分了解如何使用安全默认设置或使用“Microsoft Entra 全局管理员”角色保护帐户。
Microsoft Entra ID P1 或 P2 版本通过 Microsoft 代表、开放批量许可计划和云解决方案提供商计划提供。 Azure 和 Microsoft 365 订阅者还可以在线购买 Microsoft Entra ID P1 和 P2。
购买所需的 Microsoft Entra 层级后,规划和部署 Microsoft Entra 多重身份验证。
Microsoft Entra ID Free 层
Microsoft Entra ID Free 租户中的所有用户都可以通过安全默认值使用 Microsoft Entra 多重身份验证。 使用 Microsoft Entra ID Free 安全默认值时,只能使用手机身份验证应用来完成 Microsoft Entra 多重身份验证。
如果不希望为所有用户启用 Microsoft Entra 多重身份验证,可以改为选择仅使用“Microsoft Entra 全局管理员”角色来保护用户帐户。 此方法针对关键的管理员帐户提供更多的身份验证提示。 通过以下方式之一启用 Microsoft Entra 多重身份验证,具体取决于所使用的帐户类型:
- 如果使用的是 Microsoft 帐户,请注册多重身份验证。
- 如果使用的不是 Microsoft 帐户,请为 Microsoft Entra ID 中的用户或组启用多重身份验证。
后续步骤
- 有关费用的详细信息,请参阅 Microsoft Entra 定价。
- 什么是条件访问?
- 也可以按用户启用 MFA