教學課程:使用 Microsoft Entra 多重要素驗證維護使用者登入事件的安全
多重要素驗證是一個在登入事件期間提示使用者提供其他形式的身份驗證的過程。 例如,提示可能是在其手機上輸入代碼或提供指紋掃描。 當您需要第二種形式的身份驗證時,安全性就會提高,因為攻擊者不容易取得或複製這個額外的要素。
Microsoft Entra 多重要素驗證和條件式存取原則可讓您彈性地要求使用者對特定登入事件進行 MFA。
重要
此教學課程將說明系統管理員如何啟用 Microsoft Entra 多重要素驗證。 若要以使用者身分逐步執行多重要素驗證,請參閱使用雙步驟驗證方法登入您的公司或學校帳戶。
如果 IT 小組尚未啟用 Microsoft Entra 多重要素驗證的使用功能,或您在進行單一登入時遇到問題,請與技術支援中心聯繫以取得其他協助。
在本教學課程中,您將了解如何:
- 建立條件式存取原則,為一組使用者啟用 Microsoft Entra 多重要素驗證。
- 設定要提示 MFA 的原則條件。
- 測試以使用者的身份設定和使用多重要素驗證。
必要條件
若要完成本教學課程,您需要下列資源和權限:
已啟用 Microsoft Entra ID P1 或試用授權的有效 Microsoft Entra 租用戶。
- 如有需要,請建立免費的帳戶。
擁有您知道的密碼的非系統管理員帳戶。 在本教學課程中,我們建立了名為 testuser 的帳戶。 在本教學課程中,您會測試設定和使用 Microsoft Entra 多重要素驗證的終端使用者體驗。
- 如果您需要建立使用者帳戶的相關資訊,請參閱使用 Microsoft Entra ID 新增或刪除使用者。
非管理員使用者所屬的群組。 在本教學課程中,我們建立了名為「MFA-Test-Group」的群組。 在此教學課程中,您為此群組啟用 Microsoft Entra 多重要素驗證。
- 如需建立群組的詳細資訊,請參閱使用 Microsoft Entra ID 建立基本群組和新增成員。
建立條件式存取原則
提示
根據您從中開始的入口網站,本文中的步驟可能會略有不同。
啟用及使用 Microsoft Entra 多重要素驗證的建議方式是搭配條件式存取原則。 條件式存取可讓您建立和定義對登入事件做出反應的原則,以及在授與使用者存取應用程式或服務之前要求執行額外動作的原則。
條件式存取原則可以套用至特定使用者、群組和應用程式。 目標是保護您的組織,同時為需要它的使用者提供正確的存取層級。
在此教學課程中,我們會建立一個基本的條件式存取原則,以在使用者登入時提示進行 MFA。 在本系列稍後的教學課程中,我們會使用風險型條件式存取原則來設定 Microsoft Entra 多重要素驗證。
首先,建立一個條件式存取原則,並指派一組測試使用者,如下所示:
以至少是條件式存取系統管理員的身分登入 Microsoft Entra 系統管理中心。
瀏覽至 [保護]>[條件式存取]、選取 [+新增原則],然後選取 [建立新原則]。
輸入原則的名稱,例如 MFA Pilot。
在 [指派] 底下,選取 [使用者或工作負載身分識別] 下的目前值。
在 [此原則適用於什麼?] 底下,確認已選取 [使用者和群組]。
在 [包含] 底下,選擇 [選取使用者和群組],然後選取 [使用者和群組]。
由於尚未指派任何人,因此會自動開啟使用者和群組清單 (在下一個步驟中所示)。
瀏覽並選取您的 Microsoft Entra 群組 (例如 MFA-Test-Group),然後選擇 [選取]。
我們已選取要將原則套用至其中的群組。 在下一節中,我們會設定套用原則的條件。
設定多重要素驗證的條件
現在已經建立了條件式存取原則並指派了一組測試使用者,接下來定義觸發該原則的雲端應用程式或動作。 這些雲端應用程式或動作是您決定需要額外處理的場景,例如提示進行多重要素驗證。 例如,您可以決定存取財務應用程式或使用管理工具時需要額外的驗證提示。
設定哪些應用程式需要進行多重要素驗證
在本教學課程中,請設定條件式存取原則,在使用者登入時要求多重要素驗證。
在 [雲端應用程式或動作] 底下選取目前的值,然後在 [選取此原則的套用對象] 底下確認已選取 [雲端應用程式]。
在 [包含] 下,選擇 [選取資源]。
由於尚未選取任何應用程式,因此會自動開啟應用程式的清單 (在下一個步驟中顯示)。
提示
您可以選擇將條件式存取原則套用至 [所有資源] 或 [選取資源]。 若要提供彈性,您也可以從原則中排除特定的應用程式。
瀏覽可使用的可用登入事件清單。 在本教學課程中,選取 [Windows Azure 服務管理 API],讓原則套用至登入事件。 然後選擇選取。
設定用於存取的多重要素驗證
接下來,我們會設定存取控制。 存取控制可讓您定義要授與存取權給他的使用者的需求。 他們可能需要使用已核准的用戶端應用程式或混合加入到 Microsoft Entra ID 的裝置。
在本教學課程中,請將存取控制設定為在登入事件期間要求多重要素驗證。
在 [存取控制] 底下,選取 [授與] 底下的目前值,然後選取 [授與存取權]。
選取 [需要進行多重要素驗證],然後選擇 [選取]。
啟用原則
如果您想查看設定將如何影響使用者,則可以將條件式存取原則設定為 [僅報告];如果您現在不想使用原則,則可以將條件式存取原則設定為 [關閉]。 由於本教學課程的目標使用者是測試群組,因此讓我們啟用該原則,然後測試 Microsoft Entra 多重要素驗證。
在 [啟用原則] 下,選取 [開啟]。
若要套用條件式存取原則,請選取 [建立]。
測試 Microsoft Entra 多重要素驗證
讓我們看看您的條件式存取原則和 Microsoft Entra 多重要素驗證的運作情形。
首先,登入不需要 MFA 的資源:
在 InPrivate 或 incognito 模式中開啟新的瀏覽器視窗,並瀏覽至 https://account.activedirectory.windowsazure.com。
使用瀏覽器的私人模式可防止任何現有的認證影響此登入事件。
使用非系統管理員測試使用者登入,例如 testuser。 請務必包含
@
和使用者帳戶的網域名稱。如果這是您第一次使用此帳號進行登入,系統會提示您變更密碼。 不過,系統不會提示您設定或使用多重要素驗證。
關閉瀏覽器視窗。
您設定了條件式存取原則,要求在登入時進行額外驗證。 由於該設定,系統會提示您使用 Microsoft Entra 多重要素驗證或設定方法 (要是您還未這麼做)。 登入 Microsoft Entra 系統管理中心,以測試這項新需求:
在 InPrivate 或無痕模式中開啟新的瀏覽器視窗,然後登入 Microsoft Entra 系統管理中心。
使用非系統管理員測試使用者登入,例如 testuser。 請務必包含
@
和使用者帳戶的網域名稱。您必須註冊並使用 Microsoft Entra 多重要素驗證。
選取 [下一步] 以開始程序。
您可以選擇設定驗證電話、辦公室電話或行動裝置應用程式以進行驗證。 驗證電話支援簡訊和來電,辦公室電話支援撥打具有分機的號碼;而 行動裝置應用程式支援使用行動裝置應用程式來接收驗證通知或產生驗證碼。
完成畫面上的指示,以設定您所選取的多重要素驗證方法。
關閉瀏覽器視窗,然後再次登入 Microsoft Entra 系統管理中心,以測試您所設定的驗證方法。 例如,如果您已設定行動應用程式進行驗證,則應該會看到如下所示的提示。
關閉瀏覽器視窗。
清除資源
如果您不想再使用本教學課程中所設定的條件式存取原則,請使用下列步驟來刪除原則:
以至少是條件式存取系統管理員的身分登入 Microsoft Entra 系統管理中心。
瀏覽至 原則>條件式存取,然後選取您所建立的原則,例如 MFA 試驗。
選取 [刪除],然後確認您想要刪除該原則。
下一步
在本教學課程中,您已針對選取的使用者群組,使用條件式存取原則來啟用 Microsoft Entra 多重要素驗證。 您已了解如何︰
- 建立條件式存取原則,針對一組使用者啟用 Microsoft Entra 多重要素驗證。
- 設定原則條件,此條件會提示您進行多重要素驗證。
- 測試以使用者的身份設定和使用多重要素驗證。