多重身份验证和 Privileged Identity Management

我们建议要求所有管理员使用多重身份验证 (MFA)。 这可降低因密码泄露而受到攻击的风险。

可以要求用户在登录时完成多重身份验证质询。 还可以要求用户在 Azure Active Directory (Azure AD) Privileged Identity Management (PIM) 中激活角色时完成多重身份验证质询。 这样一来,如果用户在登录时未完成多重身份验证质询,Privileged Identity Management 会提示他们完成此操作。

重要

目前,Azure AD 多重身份验证仅适用于工作或学校帐户,不适用于 Microsoft 个人帐户(通常是用于登录 Skype、Xbox 或 Outlook.com 等 Microsoft 服务的个人帐户)。 因此,使用个人帐户的任何人都不是符合条件的管理员,因为他们无法使用多重身份验证激活其角色。 如果这些用户需要继续使用 Microsoft 帐户管理工作负荷,请立即将其提升到永久管理员。

PIM 如何验证 MFA

当用户激活角色时,有两个选项可用于验证多重身份验证。

最简单的选项是对激活特权角色的用户使用 Azure AD 多重身份验证。 为此,请首先检查这些用户是否已获得许可(如有必要),以及是否已注册 Azure AD 多重身份验证。 若要详细了解如何部署 Azure AD 多重身份验证,请参阅部署基于云的 Azure AD 多重身份验证。 建议(但不是必需)将 Azure AD 配置为在用户登录时针对这些用户强制执行多重身份验证。 这是因为多重身份验证检查将由 Privileged Identity Management 本身进行。

后续步骤