Microsoft Office 365 多重身分驗證設定:管理員須知

2024 年 11 月,微軟宣布將強制要求 Microsoft 365(前身為 Office 365)、Azure 及 Intune 上的所有管理員帳戶啟用多重驗證 (MFA)。自 2025 年起,未啟用多重驗證的管理員將無法再存取微軟的管理員入口網站。

此更新將分階段在租戶層級進行,尚未設定多重驗證 (MFA) 的管理員需更新設定以符合規範。本文將說明如何設定 Office 365 多重驗證,以符合 Microsoft 新需求並維持對關鍵服務的存取權限。

Microsoft 365 資料備份

Microsoft 365 資料備份

使用 NAKIVO 解決方案備份 Exchange Online、Teams、OneDrive 及 SharePoint Online 中的 Microsoft 365 資料,確保工作流程不中斷且零停機時間。

什麼是 Microsoft 365 中的多重驗證 (MFA)?

多因素驗證(MFA)是一種安全流程,透過比單純密碼更多的驗證因素來驗證系統中的使用者身分。MFA 需要使用多種驗證方式,包括:

  • 你所知道的某件事(密碼)。
  • 您擁有的某樣物品(例如:安全金鑰、可接收簡訊驗證碼的手機,或安裝了驗證程式的智慧型手機)。
  • 您擁有的某種特徵(指紋或臉部辨識)。

Microsoft 365 的多重驗證 (MFA) 功能需要密碼和智慧型手機驗證應用程式。簡訊驗證碼已不再支援。管理員輸入密碼後,必須在驗證應用程式中掃描 QR 碼。為完成驗證,必須在智慧型手機上輸入一次性驗證碼。

微軟為何強制要求管理員帳戶啟用多因素驗證

微軟認為,多重驗證能有效降低帳戶遭入侵的數量。管理員帳戶至關重要,且是網路攻擊的首要目標,因為它能存取組織(租戶)內的所有使用者及設定。一旦管理員帳戶遭駭,所有使用者的資料都將面臨風險。Microsoft 365 多重驗證能顯著降低此風險。

Office 365 的雙因素驗證可協助阻擋近 99.9% 的攻擊。當啟用多重驗證 (MFA) 後,暴力破解、憑證填充、網路釣魚及社會工程學等攻擊手法的成效將大幅降低。即使攻擊者取得管理員的憑證,若未經需透過管理員裝置進行的第二因素驗證,也無法登入系統。

除了 Microsoft 365 管理中心, 受此政策影響的雲應用程式包括:

  • Azure 入口網站
  • Microsoft Entra 管理中心
  • Microsoft Intune 管理中心
  • Azure 命令列介面 (Azure CLI)
  • Azure PowerShell
  • Azure 行動應用程式
  • 基礎架構即代碼 (IaC) 工具
  • REST API(控制平面)
  • Azure SDK

若要存取這些資源,管理員必須啟用多重驗證,並完成 Microsoft 365 MFA 的設定。

如何設定並遵守 Microsoft 365 強制性多因素驗證 (MFA) 規定

管理員必須為所有於 2019 年之前建立的組織帳戶(租戶)啟用 Microsoft 365 多重驗證 (MFA)。對於 2019 年之後開始訂閱 Microsoft 365 的租戶,若未手動停用,則應在安全性預設設定中啟用 MFA。請特別注意,在為所有租戶實施強制性的 Microsoft 365 MFA 後,管理員將無法在不進行 MFA 的情況下登入。 一般使用者在登入 Microsoft 365 服務時,仍可使用密碼作為傳統的驗證方式。

安全性預設值是 Microsoft 強制執行的基準原則,旨在保護所有使用者,其中包含針對管理員的多重身分驗證 (MFA)。這些設定在新租戶中預設為啟用狀態。

當貴組織進入實施 Microsoft 365 強制多重驗證 (MFA) 的階段時,管理員若嘗試透過網頁介面登入管理中心,將會收到以下警告訊息:

為加強安全性,微軟要求在登入時必須使用多重驗證 (MFA) Azure 入口網站, Microsoft Entra 管理中心,以及 Microsoft Intune 管理中心. 您將被重定向至完成多因素驗證 (MFA) 登入程序。

如果您尚未準備好滿足 MFA 需求,您可以將執行期限延後至 Organization_name (組織唯一識別碼) 租戶.

有兩種選擇:

  • Sign in with MFA
  • Postpone MFA

如果您點擊 Postpone MFA,Microsoft 365 多重驗證 (MFA) 的強制實施日期將為一個月後,或 2025 年 9 月 30 日(以較早者為準)。

該警告訊息也會透過 email 發送給該組織中的 Microsoft 365 管理員。

若要為組織中的所有 Microsoft 365 使用者啟用安全性預設設定:

  1. 登入 Azure 入口網站 以全球管理員、安全性管理員或條件存取管理員的身分。
  2. 前往 Microsoft Entra ID 並點擊 Properties.
  3. 點擊 Manage security defaults.
  4. 設定 Security defaultsEnabled.
  5. 點擊 Save.

若要僅為特定使用者(例如管理員)啟用 Microsoft 365 多重驗證 (MFA),您可以使用目錄中的"按使用者設定"MFA 方法。

  1. 登入至 Microsoft Entra 管理中心 以管理員身分(至少為驗證管理員)。
  2. 前往 Identity > Users > All users.
  3. 點擊 Per-user MFA.
  4. 請等待顯示使用者狀態的頁面載入完成,屆時您即可變更特定使用者的多因素驗證 (MFA) 狀態。

若要僅為特定的 Microsoft 365 使用者啟用 Microsoft 365(而非所有 Microsoft 雲端服務),請依照以下步驟操作:

  1. 登入 Microsoft 365 管理中心 以管理員身分。
  2. 前往多重驗證設定。點擊 Users 並點擊 Active Users.
  3. 點擊 Multi-Factor Authentication 在頂端 Active Users 點選此頁面以開啟 Microsoft 365 多重驗證設定。
  4. 請勾選相應的核取方塊,選取您要為其啟用多重驗證 (MFA) 的使用者(在此情境下,指具備管理權限的使用者)。
  5. 完成後,請點擊 EnableQuick Steps 區域。當確認訊息出現時,請確認此操作,以啟用 Microsoft 365 管理員及指定使用者的多重驗證 (MFA)。

如果您已為管理員帳戶啟用多重驗證,則無需採取進一步需求。

如果您已為特定使用者啟用多因素驗證 (MFA),則無需透過"安全性預設值"來為管理員啟用 MFA(無需同時使用這兩種方法)。

一旦微軟完成為所有租戶的管理員帳戶啟用強制性多因素驗證(MFA),且過渡期屆滿(2025 年底),Microsoft 365 管理員若未啟用 MFA,將無法登入管理員入口網站。

Microsoft 365 中強制實施多因素驗證 (MFA) 的優勢

管理員和使用者在使用 Microsoft 365 多重驗證時可能會遇到一些不便;然而,其帶來的好處遠遠超過這些不便。請注意,在 Microsoft 365 中設定多重驗證無需額外費用。

Microsoft 365 多重驗證 (MFA) 可協助組織及其管理員避免以下負面後果:

  • 資料外洩. 竊取組織的資料可能對企業造成毀滅性打擊。若惡意行為者取得email、財務資訊或個別使用者的資料,便可能利用這些資訊發動更為精準的攻擊。
  • 失去存取權限. 攻擊者在取得 Microsoft 帳戶的管理員權限後,便能變更憑證,導致真正的帳戶擁有者無法登入並取回其資料。
  • 財務損失. 帳戶遭入侵可能導致系統停機(營運中斷)、資料遺失、支付贖金以及法律(合規)問題。聲譽受損是影響客戶關係並導致營收減少的重要因素。

Microsoft 365 的強制性多因素驗證 (MFA) 可確保使用 Microsoft 雲端服務的組織符合各項法規與合規需求(包括 GDPR、HIPAA、ISO 27001、NIST SP 800-63 等)。大多數法規通常都要求採用多因素驗證。

NAKIVO 如何支援 Microsoft 365 資料保護

NAKIVO Backup & Replication 是一款專用的資料保護解決方案,支援 Microsoft 365 備份. 它讓您能夠備份資料,並在發生中斷、災難或勒索軟體攻擊時,輕鬆還原資料並迅速恢復運作。

NAKIVO Backup & Replication 包含以下 Microsoft 365 備份與還原特點:

  • Exchange Online、OneDrive for Business、SharePoint Online 及 Microsoft Teams 的備份。
  • 完整還原與細部還原(特定物件,例如使用者帳戶、email、OneDrive 檔案、SharePoint 網站或 Microsoft Teams 聊天記錄)。您可以根據具體的還原情境,選擇所需的方法。
  • 資料加密 此功能用於透過網路傳輸 Microsoft 365 備份資料,以及將資料儲存至備份儲存庫時。
  • 您可以將 Microsoft 365 的備份複製儲存於本地端或雲端。
  • NAKIVO Backup & Replication 在存取該解決方案的網頁介面時,支援雙因素驗證。結合 Microsoft 365 多重驗證 (MFA),可提升整體安全性。
  • 不可變更的備份 確保勒索軟體無法修改或刪除 Microsoft 365 資料。
  • NAKIVO 解決方案中的彈性保留設定,讓您能最佳化備份儲存空間的使用,並在指定期間內保留所需的還原點。

結論

對管理員而言,啟用 Office 365 雙因素驗證已不再是可選項;這是維持存取權限並保護關鍵雲端服務的需求。透過設定 MFA,管理員不僅能符合 Microsoft 的新安全政策,還能降低未經授權存取的風險。立即採取行動,可確保在強制實施全面推行前順利完成過渡。若要進一步強化您的安全防護,建議在實施 MFA 的同時,搭配採用 Microsoft 365 備份解決方案。

試試看 NAKIVO Backup & Replication

試試看 NAKIVO Backup & Replication

立即申請免費試用,全面體驗本解決方案的所有資料保護特點。15 天免費試用。無功能或容量限制。無需提供信用卡資訊。

People also read