Microsoft Entra 多重身份验证的功能和许可证
若要保护组织中的用户帐户,应使用多重身份验证。 对资源拥有访问特权的帐户尤其需要此功能。 Microsoft 365 和 Microsoft Entra ID 用户和管理员可免费使用基本的多重身份验证功能。 如果想要为管理员升级功能,或者通过更多身份验证方法和更好的控制将多重身份验证扩展到其他用户,可通过使用条件权限启用 Microsoft Entra 多重身份验证。 有关详细信息,请参阅通用条件访问策略:要求对所有用户执行 MFA。
重要
本文详细介绍了可以获得 Microsoft Entra 多重身份验证的许可并使用的不同方式。 有关定价和计费的具体详细信息,请参阅 Microsoft Entra 定价页。
Microsoft Entra 多重身份验证的可用版本
根据组织的需求,可以通过几种不同的方式使用 Microsoft Entra 多重身份验证和获得许可。 所有租户都有权通过安全默认值使用基本的多重身份验证功能。 根据你当前拥有的许可证,你可能已有权使用高级 Microsoft Entra 多重身份验证。 例如,Microsoft Entra 外部 ID 中的前 50,000 名月度活跃用户可以免费使用 MFA 和其他高级版 P1 或 P2 功能。 有关详细信息,请参阅 Azure Active Directory B2C 定价。
下表详细介绍了获取 Microsoft Entra 多重身份验证的不同方式,以及每种方式的一些功能和用例。
| 如果你是以下产品的用户 | 功能和用例 |
|---|---|
| Microsoft 365 商业高级版和 EMS 或 Microsoft 365 E3 和 E5 | EMS E3、Microsoft 365 E3 和 Microsoft 365 商业高级版包括 Microsoft Entra ID P1。 EMS E5 或 Microsoft 365 E5 包括 Microsoft Entra ID P2。 可以使用以下部分中所述的相同条件访问功能向用户提供多重身份验证。 |
| Microsoft Entra ID P1 | 在特定的情况下或者发生适合业务要求的事件时,使用 Microsoft Entra 条件访问提示用户执行多重身份验证。 |
| Microsoft Entra ID P2 | 提供了最强的安全保障和改进的用户体验。 |
| 所有 Microsoft 365 计划 | 可以使用安全默认值为所有用户启用 Microsoft Entra 多重身份验证。 Microsoft Entra 多重身份验证的管理通过 Microsoft 365 门户进行。 若要改进用户体验,请升级到 Microsoft Entra ID P1 或 P2 并使用条件访问。 有关详细信息,请参阅使用多重身份验证保护 Microsoft 365 资源。 |
| Office 365 免费版 Microsoft Entra ID Free |
可以根据需要使用安全默认值提示用户进行多重身份验证,但无法精细控制已启用的用户或方案,但它确实提供了额外的安全步骤。 |
基于许可证的功能比较
下表列出了用于多重身份验证的各个 Microsoft Entra ID 版本中可用的功能。 规划保护用户身份验证的需求,然后确定哪种方法符合这些要求。 例如,尽管 Microsoft Entra ID Free 提供安全默认值来实现 Microsoft Entra 多重身份验证,但只能通过手机验证器应用显示身份验证提示。 如果无法确保将手机身份验证应用安装到用户的个人设备上,此方法可能存在限制。 有关更多详细信息,请参阅本主题后面的 Microsoft Entra ID Free 层。
| 功能 | Microsoft Entra ID Free - 安全默认值(已为所有用户启用) | Microsoft Entra ID Free - 仅限全局管理员 | Office 365 | Microsoft Entra ID P1 | Microsoft Entra ID P2 |
|---|---|---|---|---|---|
| 使用 MFA 保护 Microsoft Entra 租户管理员帐户 | ● | ●(仅限 Microsoft Entra 全局管理员帐户) | ● | ● | ● |
| 将移动应用用作第二个因素 | ● | ● | ● | ● | ● |
| 将电话呼叫用作第二个因素 | ● | ● | ● | ||
| 将短信作为第二个因素 | ● | ● | ● | ● | |
| 管理员控制验证方法 | ● | ● | ● | ● | |
| 欺诈警报 | ● | ● | |||
| MFA 报告 | ● | ● | |||
| 通话的自定义问候语 | ● | ● | |||
| 通话的自定义呼叫方 ID | ● | ● | |||
| 受信任的 IP | ● | ● | |||
| 记住受信任的设备的 MFA | ● | ● | ● | ● | |
| 适用于本地应用程序的 MFA | ● | ● | |||
| 条件性访问 | ● | ● | |||
| 基于风险的条件访问 | ● |
比较多重身份验证策略
若要强制执行 MFA,建议的方法是使用条件访问。 查看下表以确定你的许可证中包含哪些功能。
| 策略 | 安全默认值 | 条件性访问 | 每用户 MFA |
|---|---|---|---|
| 管理 | |||
| 一套标准的安全规则,以确保你的公司安全 | ● | ||
| 一键打开/关闭 | ● | ||
| 包含在 Office 365 许可中(请参阅许可注意事项) | ● | ● | |
| Microsoft 365 管理中心向导中的预配置模板 | ● | ● | |
| 配置灵活性 | ● | ||
| 功能 | |||
| 从策略中豁免用户 | ● | ● | |
| 通过电话呼叫或短信进行身份验证 | ● | ● | ● |
| 通过 Microsoft Authenticator 和软件令牌进行身份验证 | ● | ● | ● |
| 通过 FIDO2、Windows Hello 企业版和硬件令牌进行身份验证 | ● | ● | |
| 阻止旧身份验证协议 | ● | ● | ● |
| 自动保护新员工 | ● | ● | |
| 基于风险事件的动态 MFA 触发器 | ● | ||
| 身份验证和授权策略 | ● | ||
| 可基于位置和设备状态进行配置 | ● | ||
| 支持“仅报表”模式 | ● | ||
| 能够完全阻止用户/服务 | ● |
Microsoft Entra ID Free 层
Microsoft Entra ID Free 租户中的所有用户都可以通过安全默认值使用 Microsoft Entra 多重身份验证。 使用 Microsoft Entra ID Free 安全默认值时,只能使用手机身份验证应用来完成 Microsoft Entra 多重身份验证。
通过以下方式之一启用 Microsoft Entra 多重身份验证,具体取决于所使用的帐户类型:
- 如果使用的是 Microsoft 帐户,请注册多重身份验证。
- 如果使用的不是 Microsoft 帐户,请为 Microsoft Entra ID 中的用户或组启用多重身份验证。
后续步骤
- 有关费用的详细信息,请参阅 Microsoft Entra 定价。
- 什么是条件访问?
- 也可以按用户启用 MFA