【M365】为Microsoft 365用户启用MFA

什么是多重验证：

多重身份验证是一种过程。在该过程中，系统会在用户登录时提示其输入其他形式的标识，例如在其手机上输入代码或提供指纹扫描。
如果只使用密码对用户进行身份验证，则会留下不安全的矢量，容易受到攻击。 如果密码较弱或已在其他位置公开，攻击者可能会使用该密码获取访问权限。 当需要另一种形式的身份验证时，安全性会提高，因为攻击者并不容易获取或复制进行多重身份验证所需的额外内容。

至少需要采用下列身份验证方法中的两种，才能使 Azure AD 多重身份验证发挥作用：

你知道的某样东西，通常为密码。
你有的某样东西，例如无法轻易复制的可信设备，如电话或硬件密钥。
自身的特征 - 生物识别，如指纹或面部扫描。

Azure AD 多重身份验证还可以进一步保护密码重置。 当用户自行注册 Azure AD 多重身份验证时，还可以一步注册自助密码重置。 管理员可以选择辅助身份验证的形式，并可根据配置决策为 MFA 配置质询。

你无需更改应用和服务，即可使用 Azure AD 多重身份验证。 验证提示是 Azure AD 登录事件的组成部分，它会在需要时自动请求并处理 MFA 质询。

可用的验证方法

当用户登录应用程序或服务并收到 MFA 提示时，他们可以从其注册的附加验证形式中选择一个来进行验证。 用户可以访问“的个人资料 以编辑或添加验证方法。

以下其他形式的验证可以与 Azure AD 多重身份验证一起使用：

Microsoft Authenticator 应用
Windows Hello 企业版
FIDO2 安全密钥
OATH 硬件令牌（预览版）
OATH 软件令牌
SMS
语音呼叫

如何启用和使用 Azure AD 多重身份验证

你可使用 Azure AD 租户中的安全默认值来为所有用户快速启用 Microsoft Authenticator。 你可启用 Azure AD 多重身份验证，以在用户和组登录期间提示其进行附加验证。

如需进行更精细地控制，可使用条件访问策略来定义需要 MFA 的事件或应用程序。 通过使用这些策略，你便可在用户使用企业网络或已注册的设备时，允许其执行常规登录，但在用户远程访问或使用个人设备时提示其进行附加验证。

可以用以下方式为Microsoft 365用户启用MFA。

Microsoft 365 管理中心 >> 活跃用户 >> 多因素身份验证 弹出新窗口中为每个用户手动启用MFA。


手动为每个用户启用MFA可能是一项繁重的任务，而且每次创建新用户时都必须这样做。使用PowerShell，我们可以轻松地选择一组用户并为他们启用MFA。甚至将其与脚本相结合以查找未启用MFA的用户，则可以自动完成整个过程。

在开始使用PowerShell在Microsoft 365中启用MFA之前，我们需要连接到Microsoft Online Service：

Connect-MsolService

要使用PowerShell启用MFA，首先需要创建StrongAuthenticationRequirement对象。接下来，我们可以为每个要启用MFA的用户设置此对象。

# Create the StrongAuthenticationRequirement Object
$sa = New-Object -TypeName Microsoft.Online.Administration.StrongAuthenticationRequirement
$sa.RelyingParty = "*"
$sa.State = "Enabled"
$sar = @($sa)
# Enable MFA for the user
Set-MsolUser -UserPrincipalName $user -StrongAuthenticationRequirements $sar

在保护网络环境方面，打开MFA非常重要。对于较小的租户来说，安全默认是一个很好的解决方案，但当您拥有系统帐户时，它就不起作用了。通过使用PowerShell和计划任务，您仍然可以在Office 365中自动执行MFA，确保您的帐户安全。

Ref: https://learn.microsoft.com/zh-cn/azure/active-directory/authentication/concept-mfa-howitworks