如何对 Office 365 订阅的所有用户实施多重身份验证

作者
Tweet
Share
Share
Pin
0 Shares

为 Office 365 用户强制启用多因素身份验证

多因素身份验证 (MFA) 是一项强大的安全措施,我们强烈建议使用。作为 Office 365 的管理员,您可以强制您的用户启用 MFA,从而增强所有共享您的 Office 365 商业订阅的用户账户的安全。

首先,您必须拥有 Office 365 管理员的权限,此功能仅适用于商业计划。如果您是通过域名托管套餐获得 Office 365 订阅,则通常可以访问管理控制台。然而,如果您购买的是个人或家庭订阅,您则无法访问管理控制台,只能为自己单独启用 MFA。如果您不确定,请点击 Office 365 应用启动器,查找是否有“管理员”的磁贴。

如果存在“管理员”磁贴,则表示您拥有管理控制台的访问权限。点击“管理员”磁贴,然后在左侧菜单中选择“设置”>“服务和加载项”。

这将打开“服务和加载项”页面,您可以在其中对租户进行各种设置。其中一个重要的设置就是“Azure 多因素身份验证”。

点击此选项,然后在右侧弹出的面板中选择“管理多重身份验证”。

您将被引导至多因素身份验证页面。在这里,您可以立即为所有 Office 365 用户启用 MFA。不过,在启用之前,最好先熟悉默认设置。请点击“服务设置”查看。

您可以根据需要更改这些设置,或者保持默认值不变。其中一个值得关注的设置是,是否允许在设备上记住 MFA。默认情况下,此功能是关闭的。开启此功能意味着用户不必每次查看邮件或编辑文档时都重复 MFA 流程。

如果启用此选项,设备在重新验证之前可以保持信任状态的默认天数为 14 天。这意味着手机、平板电脑或计算机将在 14 天内被视为可信设备,之后用户必须重新进行 MFA 验证。 MFA 验证的过程很简单,但是如果用户每两周就要在所有设备上执行一次,可能会显得过于频繁。您可以将其设置为 60 天。

如果您修改了此设置或任何其他设置,请点击面板底部的“保存”按钮,然后点击“用户”返回以开始启用 MFA。

现在您已确认设置正确,可以为用户启用 MFA。 选择要启用 MFA 的用户。

在用户列表右侧,点击出现的“启用”选项。

在确认屏幕中,点击“启用多重身份验证”。

这将为用户启用 MFA。下次他们登录 Office 365 时,他们需要完成 MFA 的设置过程。如果您担心他们不经常登录,或者想亲自协助他们完成设置,您可以从确认屏幕向他们发送一个链接,让他们可以自行设置 MFA。此链接为:https://aka.ms/MFASetup,对于所有用户都是相同的。

点击“启用多重身份验证”后,您会看到一条成功消息,您可以将其关闭。

现在,MFA 已为用户启用。他们需要进行配置。无论他们是等到下次登录时进行设置,还是使用您发送的链接,MFA 的设置过程都是一样的。

当用户正常登录 Office 365 账户时,将会出现一个页面,提示“您的组织需要更多信息来保护您的帐户安全”。

点击“下一步”,进入“其他安全验证”面板,您可以在其中选择您的 MFA 方法。我们建议使用身份验证器应用程序,并且您需要使用 Microsoft Authenticator 进行 Office 365 验证。尽管使用 SMS 进行 MFA 验证也比完全不使用 MFA 要好,但请在第一个下拉菜单中选择最适合您的验证方法。

我们将以移动应用程序为例。选择移动应用程序后,可用的配置选项会发生变化。首先,您需要选择是“接收验证通知”(当您登录帐户时,手机上的 Microsoft Authenticator 应用程序会弹出一条消息,要求您批准或拒绝)还是“使用验证码”(当您登录 Office 365 时,您必须在手机上输入由 Microsoft Authenticator 应用生成的代码)。这两种方式都有效,具体取决于您的偏好。之后,点击“设置”按钮进行应用程序设置。

此时,会出现一个面板,提示您在手机上安装 Microsoft Authenticator 应用,然后扫描二维码。或者,如果无法扫描二维码,可以输入代码和 URL。完成此操作后,点击“下一步”返回“其他安全验证”窗口,该窗口将显示正在检查激活状态。

这可能需要几秒钟时间,一旦完成,消息将更改为显示 MFA 已配置。

点击下一步,Office 365 将检查一切是否正常。根据您选择的验证选项,它会向您的应用发送拒绝或批准消息,或者要求您输入应用中的代码。在本示例中,它发送了拒绝或批准消息并正在等待响应。

在您确认 MFA 工作正常后,系统会要求您提供电话号码,以防您无法访问该应用程序。

如果您无法使用 Microsoft Authenticator 应用,例如在没有 Wi-Fi 的情况下(或者您的数据流量超出了每月计划)。如果您丢失了手机,也可以使用此号码,因此您可能需要选择家庭成员的号码而不是您自己的号码。输入号码后,点击“下一步”进入最终屏幕。

此页面包含 Microsoft 生成的密码,该密码将用于 MFA。您现在需要在以下所有应用程序中使用此密码,而不是您常用的密码:

  • 适用于您的 PC 或 Mac 的 Outlook 桌面应用程序
  • iOS、Android 或 BlackBerry 设备上的电子邮件应用程序(Outlook 应用除外)
  • Office 2010、Office for Mac 2011 或更早版本
  • Windows Essentials(照片库、Movie Maker、邮件)
  • Zune 桌面应用程序
  • Xbox 360
  • Windows Phone 8 或更早版本

下次您尝试打开这些应用程序中的任何一个时,它们会要求您输入密码,因此请从此处复制密码并在被询问时使用。我们可以验证您计算机上的 Outlook 需要使用生成的密码,但您手机上的 Outlook 应用不需要,是的,我们也觉得这很奇怪,但这并不是一个很大的困难。

点击“完成”,您将返回登录页面,并使用 MFA 正常登录。这是一个简单快捷的过程,可提供有价值的额外安全保护,How-To Geek 强烈推荐。