Office 365 多因素认证启用与强制执行的区别是什么?尽管密码仍然是用户识别最广泛使用的方法,但单一因素的认证很容易受到网络攻击。微软的多因素认证(MFA)可以保护您的Azure目录和Office 365免受钓鱼或网络入侵尝试。但其采用率仍然不稳定。根据一项调查,78%的微软365管理员没有激活MFA。
图片源:ramsac
在本博客文章中,我们将探讨MFA(多因素认证),为什么它必不可少,以及两种类型的Office 365 MFA — 启用和强制,以及它们之间的关键区别,以便您能够决定哪种选择最适合您的业务。
让我们从Office 365 MFA启用与强制 — 它们之间有什么区别开始?
什么是MFA?
因此,密码保护方法与其他因素结合使用,例如:
- 知识 — 可以命名的密码,特殊字符和字母的组合等。
- 拥有 — 物理物品,如安全密钥、授权的移动应用等。
- 固有 — 生物扫描,如视网膜扫描、指纹扫描、语音识别、面部识别等。
- 位置 — 主要由智能手机位置和GPS确定。
- 时间 — 充当逻辑屏障,其中将员工凭据与他们所在位置的时间进行匹配,以确认用户的真实性。
为什么需要MFA?
密码盗窃
增强安全性
可定制的解决方案
可以根据组织的要求进行定制。如果需要严格的数据安全,它可以实施物理因素,如视网膜或指纹扫描。
可扩展的
MFA适应任何业务类型,并通过消除对多个密码的需求来简化登录过程。因此,它增强了用户的体验,并减少了支持电话以获取密码帮助的需求。
符合法规
它有助于确保您遵守身份和访问管理法规。
什么是Office 365 MFA启用?
在MFA启用身份验证过程中,Office 365管理员会启用您的帐户以访问页面,但每次您登录时都会提示您完成注册。这可以是定时的,例如几个小时到几天的推送通知。
一旦您完成了注册过程并遵守了管理员定义的策略,提示就不再弹出,您可以访问完整的页面或继续享受与以前一样的资源访问。
Office 365 MFA启用的功能
- 有助于建立组织信任。如果新团队成员被授予了公司云数据的访问权限,遵守认证政策有助于在工作场所建立可信的工作环境。
- 如果注册过程未在管理员设定的时间内完成,访问权限将自动被撤销。
- 帮助公司避免数据盗窃。
- 在Office 365中,管理员可以通过Azure Active Directory管理员中心启用MFA。
- 对数据敏感的行业如银行业、大型企业等尤为有益。
启用Office 365 MFA的优点
- 降低身份盗窃和组织关键数据被盗的概率。通过这一流程,被盗的密码对网络攻击者和钓鱼者几乎毫无用处。
- 提供了一个结合两个以上验证器的组合来获取用户账户的访问权限。它有助于保护Office 365账户和电子邮件,防止它们成为网络攻击者的目标。
启用Office 365 MFA的缺点
尽管认证要求有助于防止您宝贵的数据泄露,但启用MFA可能会导致消费者和服务提供商之间的摩擦。重复的进一步认证阶段弹窗可能会让用户感到沮丧,因为他们通常希望快速登录并开始(或继续)他们的工作。
提升您的Active Directory安全性和Azure AD
尝试我们的服务,免费访问所有功能。- 200多个AD报告模板可用。轻松自定义您自己的AD报告。
Office 365 MFA强制执行是什么?
也请阅读 部署Office 365许可证报告
Office 365 MFA强制执行的功能
Office 365 MFA强制执行的优点
- 强制执行严格的认证方法有助于提高Office 365租户的安全性。
- 这种严格的账户访问方法通过提高信任因素来改善用户体验。
- 除了提供强大的整体安全性外,它还保护账户免受常见的网络攻击,如暴力攻击。
Office 365强制实施MFA的缺点
这种多层认证方法的实施不善会导致偏差和准确性问题,有时会出现。如果实施的方法包括生物识别,固有的群体偏差会导致假阴性。最常见的生物识别方法通常依赖于部分数据进行身份验证。这进一步导致错误的拒绝和接受,导致实际用户无法获得访问权限,而攻击者获得账户访问权限。
此外,这个过程在验证一些遗留应用程序的认证时会出现问题,这可能会影响第三方服务。
也请阅读尝试Office 365管理工具
在设置或强制实施MFA之前的先决条件
准备支持团队
当像MFA这样的东西被强加给用户时,他们可能会发现整个过程难以适应,并且可能会有关于MFA令牌丢失或设置后问题的疑问。因此,IT支持团队需要准备好为账户用户提供注册和恢复支持。
这最好是通过支持团队的测试实践来完成,使用模拟问题请求和查询。
理解方法
启用Office 365 MFA的方法
更改用户状态
每次用户登录账户时,都会涉及到传统的双因素认证(2FA)。这种方法在个人层面上很简单,但在组织层面上执行时可能会耗时、容易出错且难以管理。
使用安全默认设置
微软在2019年推出了这种预配置安全的方法。其目的是防止组织遭受各种网络安全威胁。此设置为所有服务和用户账户启用多因素认证(MFA)。如果租户是在发布后创建的,这可能是账户的默认设置。在其他情况下,需要在Azure门户中启用它。
通过条件访问策略
作为Azure Active Directory(Premium P1或P2版)的付费功能,条件访问是一种灵活的认证方法。这些访问策略可以应用于组和单个账户。这种方法使您能够根据组或账户(低风险或高风险账户)的要求调整限制。
Office 365 MFA启用与强制执行 — 有何区别?
图片来源:Cayosoft
账户可访问性
Office 365 MFA启用
如果您的注册不完整,您仍然可以访问账户,但将在设定的时间框架内被提示完成该过程。如果注册仍然不完整,访问可能会继续存在更多提示,或者可能会被撤销。
Office 365 强制执行MFA
安全默认设置强制用户注册以获得对账户的任何形式的访问。这是一种严格的方法,要求遵守管理员为账户可访问性制定的严格认证政策。
信任因素
Office 365 MFA已启用
启用MFA时,它给用户时间来思考和理解认证过程,然后他们才会继续进行。对其有一个公平的理解有助于在用户和服务提供商之间建立信任。
Office 365 强制执行MFA
这个过程没有给用户理解过程的空间,然后再选择加入。它遵循严格的认证政策,必须遵守这些政策才能访问账户。尽管它提供了额外的账户保护保证,但这个过程可能会让用户感到沮丧。
数据盗窃的可能性
Office 365 MFA已启用
需要完成注册才能获得完整的账户访问权限。但未完成注册并不总是会剥夺用户的部分访问权限。如果管理员未设置时间范围,它只会继续提示。在这两种情况下,如果用户不真诚,可能会导致数据盗窃。
Office 365强制多因素认证
它包括在认证过程中使用物理因素,如生物识别扫描。尽管看起来很安全,但生物识别有时会被欺骗。这导致真正的用户被拒绝访问,而攻击者获得访问权限,使整个组织的数据面临风险。
启用方法
Office 365启用多因素认证
在Microsoft 365中启用MFA是通过Azure活动目录管理中心进行的。您需要选择属性并管理安全默认值,从那里启用或禁用它。
Office 365强制多因素认证
一旦强制执行MFA登录的政策被创建,您需要创建一个客户管理的政策,该政策禁止除少数IAM(身份访问管理)操作之外的所有操作。然后,将策略附加到测试用户组。最后,测试用户访问。
适用性
Office 365 MFA启用
适用于个人用户账户或初创企业和小型公司。
Office 365 MFA强制执行
适用于远程优先的初创企业、大型组织和企业,其中数据集巨大或在银行部门,其中涉及敏感用户数据和财产。
安全性
Office 365 MFA启用
它有一个时间限制的提示(会话安全级别),每次你登录时都会弹出,而没有完整的注册。一旦过程完成,它允许你访问系统。这确保了账户安全到很大程度,但确实质疑了注册期间的部分账户可访问性。
Office 365 MFA强制执行
感谢您阅读“Office 365 MFA Enabled vs Enforced — What’s the Difference?”。我们将总结本篇文章博客。
Office 365 MFA Enabled vs Enforced — What’s the Difference?(结论)
总而言之,数据无处不在,无论您的组织是初创公司还是企业,都需要保护数据。
虽然启用多因素身份验证具有其自己的优点,主要是用户适应性,但最终它必须变成强制性的多因素身份验证,结合多种严格的认证方法。这承诺了数据安全以及长期的成本效益,因此对各种类型的用户账户来说更有益。
Source:
https://infrasos.com/office-365-mfa-enabled-vs-enforced-whats-the-difference/