部署基于云的 Azure 多重身份验证

Azure 多重身份验证 (Azure MFA) 入门是一个直截了当的过程。

在开始之前,请确保满足以下先决条件:

选择启用方法

通过更改用户状态启用 - 这是需要进行双重验证的传统方法。 它适用于云中的 Azure MFA 以及 Azure MFA 服务器。 使用此方法要求用户每次登录时都执行双重验证并重写条件访问策略。 可在如何要求对用户进行双重验证中找到有关此方法的详细信息

Note

有关许可和定价的详细信息,请参见 Azure AD多重身份验证定价页。

选择身份验证方法

根据组织的要求至少为用户启用一种身份验证方法。 我们发现,如果为用户启用了身份验证,则 Microsoft Authenticator 应用可提供最佳用户体验。 如需了解哪些方法可用及其设置方法,请参阅有哪些身份验证方法一文。

让用户注册

启用条件访问策略后,当用户下次使用受该策略保护的应用时必须注册。 如果启用的策略要求所有云应用中的所有用户执行 MFA,则此操作可能会给用户和支持人员带来很大的麻烦。 我们建议要求用户预先使用注册门户 (https://account.activedirectory.windowsazure.cn/proofup.aspx?culture=en-US) 注册身份验证方法。 许多组织发现,创建海报、桌卡和电子邮件有助于促进服务的采用。

结合条件访问启用多重身份验证

使用全局管理员帐户登录到 Azure 门户

选择验证选项

在启用 Azure 多重身份验证之前,组织必须确定允许的验证选项。 在本练习中,我们将启用电话呼叫和手机短信身份验证方法,因为这是大多数人都可以使用的常规选项。 有关身份验证方法及其用法的详细信息,请参阅有哪些身份验证方法?一文。

  1. 浏览到“Azure Active Directory”、“用户”、“多重身份验证” 通过 Azure 门户中的“Azure AD 用户”边栏选项卡访问多重身份验证门户
  2. 在打开的新选项卡中,浏览到“服务设置”
  3. 在“验证选项”下,选中以下可供用户使用的方法旁边的框

    • 拨打电话
    • 向手机发送短信

    在多重身份验证服务设置选项卡中配置验证方法

  4. 单击“保存”

  5. 关闭“服务设置”选项卡

测试 Azure 多重身份验证

在 InPrivate 或 incognito 模式下打开新的浏览器窗口并浏览到 https://portal.azure.cn

  • 使用在本文的先决条件部分创建的测试用户登录,你将发现,现在系统要求你注册并使用 Azure 多重身份验证。
  • 关闭浏览器窗口

后续步骤

祝贺你,现已在云中设置 Azure 多重身份验证。

若要配置其他设置(例如受信任的 IP、自定义语音消息和欺诈警报),请参阅配置 Azure 多重身份验证设置一文

有关管理 Azure 多重身份验证的用户设置的信息,请参阅管理云中 Azure 多重身份验证的用户设置一文