立即行动：请在 2025 年 2 月 3 日之前配置访问Microsoft 365 管理中心用户多重身份验证（MFA）

前文摘要： 从 2025 年 2 月 3 日开始，Microsoft 将对访问 Microsoft 365 管理中心的所有用户强制实施多重身份验证。用户和全局管理员必须在此日期之前设置 MFA，并提供资源作为指导，并在未做好准备时可以选择推迟强制实施。

Microsoft 致力于不断增强所有用户和客户组织的安全性。Microsoft Secure Future Initiative 的支柱之一是保护身份和机密，而多重身份验证 （MFA） 是一种行之有效的方法，可大幅降低未经授权访问用户帐户的风险。从 2025 年 2 月 3 日开始，Microsoft 将开始要求访问Microsoft 365 管理中心的所有用户帐户进行 MFA。此要求将在租户级别分阶段推出。在 租户有资格强制实施之前大约 30 天，你将通过 Microsoft 365 管理中心消息中心收到一条消息。

什么是多重身份验证，为什么它很重要？

多重身份验证 （MFA） 是一项安全功能，要求您在登录在线服务时提供两条或多条证据来证明您的身份。这些证据可以是您知道的信息（例如密码或 PIN）、您拥有的信息（例如电话或安全密钥）或您的身份信息（例如指纹或面部扫描）。MFA 为您的账户和数据增加了一层额外的保护，即使您的密码被泄露，也可以降低未经授权访问的风险。MFA 对于 Microsoft 365 管理中心尤为重要，您可以在其中管理组织的设置、用户、许可证、订阅等。Microsoft 的研究表明，MFA 可将帐户泄露的风险降低 99.22%。

在 Microsoft 365 管理中心中实施多重身份验证 （MFA）将帮助您：

• 防止未经授权访问您的 Microsoft 365 管理员帐户以及您管理的敏感帐户、数据和资源

• 提高您在客户、合作伙伴和利益相关者中的声誉和信任，他们希望您保护他们的数据和隐私

• 帮助您降低数据泄露、身份盗用、网络钓鱼、勒索软件和其他可能危及您的业务和数据的网络攻击的风险

立即行动：

• 全局管理员：要立即在组织中设置 MFA，请访问 aka.ms/MFAWizard 中的 MFA 设置指南，或参阅 为 Microsoft 365 设置多重身份验证。

• 访问 Microsoft Entra 管理中心检查您的验证方法

• 根据需要转到 aka.ms/mfasetup 添加一个。

这将对您的组织产生什么影响：

需要为租户启用 MFA，以确保管理员能够登录到 Microsoft 365 管理中心。

您可以做些什么来准备：

• 如果您尚未设置 MFA，请在 2025 年 2 月 3 日之前设置 MFA
• 如果您已经设置了 MFA，则无需执行任何操作。建议您验证访问 Microsoft 365 管理中心的所有用户是否已向其帐户添加验证方法。
• 如果您在 2025 年 2 月 3 日之前无法满足 MFA 要求，您可以 申请推迟实施日期。请注意，推迟 Azure 门户的 MFA 实施也将适用于Microsoft 365 管理中心。

 

常见问题解答

如何知道我是否已准备好作为访问 Microsoft 365 管理中心的管理员用户进行 MFA？ 

• 如果您已注册 MFA 并添加了验证方法，则能够满足该要求。转到ms/mfasetup，查看您的验证方法，并根据需要添加一个。

如何知道此要求是否会影响我的组织？ 

• Microsoft 将向访问 Microsoft 365 管理中心的所有用户推出此要求。在您的租户有资格实施之前大约 30 天，您将收到消息中心帖子。如果您的组织已经为您的管理员用户或组织中的所有用户设置了合格的 MFA 策略，并且访问 Microsoft 365 管理中心的用户已注册 MFA 并添加了验证方法，则目前无需进一步操作。

作为 Microsoft 365 管理员，如何知道我的组织是否已将 MFA 策略应用于 Microsoft 365 管理中心登录？ 

• 如果您的 Microsoft 365 租户是在 2019 年 10 月 22 日或之后创建的，则您的组织中可能已启用安全默认值。若要检查是否启用了安全默认值，请至少以安全管理员身份登录到 Microsoft Entra 管理中心。导航到 Identity > Overview > Properties 并查看安全性默认值。如果启用了安全默认值，您将在绿色复选标记旁边看到“您的组织当前正在使用安全默认值”，并且您已经满足要求。
• 如果你的组织在Microsoft Entra 中使用条件访问策略，并且你已经有一个条件访问策略，用户通过该策略使用 MFA 登录到 Microsoft 365 管理中心，则你已满足要求。
• 虽然安全默认值和条件访问是设置 MFA 策略的推荐方法，但某些组织会按用户设置 MFA 策略。您还可以检查每用户 MFA设置，以查看和启用具有 MFA 的每个用户账户。

如果我在将此强制性 MFA 要求应用于我的租户之前未添加 MFA 验证方法，该怎么办？我的帐户会被锁定吗？我是否仍能够访问 Microsoft 365 管理中心？

• 不会，您的帐户不会被锁定。是的，您仍然可以访问 Microsoft 365 管理中心。如果在对租户强制实施 MFA 要求时尚未添加 MFA 验证方法，则当您尝试访问 Microsoft 365 管理中心时，系统将提示您为帐户注册 MFA 并添加验证方法。如果用户被锁定，则可能还有其他原因。按照帐户已被锁定 – Microsoft 支持中的指南进行操作。有关帐户锁定的进一步帮助，请联系支持人员。

我可以选择退出此要求吗？ 

• 不。

此要求是否会影响所有 Microsoft 365 用户？

不。Microsoft 365 管理中心的强制性 MFA 要求仅影响目前访问 Microsoft 365 管理中心的用户。虽然常规 Microsoft 365 服务目前不需要 MFA，但 Microsoft 建议所有 Microsoft 365 用户都使用 MFA 来保护用户帐户和您的组织。

此要求是否适用于紧急访问帐户？

• 紧急访问帐户（也称为破窗帐户） 是未分配给特定用户的特权帐户，旨在降低帐户意外锁定的风险。如果您的组织已设置紧急访问账户，请注意，一旦实施开始，这些账户也需要使用 MFA 登录。Microsoft建议更新紧急访问账户以使用密钥 （FIDO2） 或为 MFA 配置基于证书的身份验证。这两种方法都满足 MFA 要求。

Microsoft的组织使用第三方身份提供商 （IdP） 进行 MFA。这能满足要求吗？

• 是的。使用外部 MFA 解决方案将通过Microsoft Entra ID 中的外部身份验证方法满足要求。如果您的 MFA 提供商直接与此联合 IdP 集成，则必须将联合 IdP 配置为发送 MFA 声明。

通过旧版条件访问自定义控件预览版的第三方 IdP 是否满足要求？ 

• 不。你可能知道，在 2020 年，Microsoft 提供了条件访问自定义控件的预览版，以允许将第三方 MFA 提供程序与 Azure Active Directory 一起使用。发现这种第三方 MFA 方法过于有限，并且已被Microsoft Entra ID 中的外部身份验证方法所取代。

我是一个小型组织的成员，只有少数管理员用户需要访问 Microsoft 365 管理中心。在满足此要求的同时将对用户的干扰降至最低的最简单方法是什么？ 

• 管理员用户只需转到ms/mfasetup 并添加验证方法，例如 Microsoft Authenticator。将 Microsoft 365 管理中心 MFA 要求推出到租户后，系统将提示管理员用户使用管理员添加的方法通过 MFA 登录。

如何启用安全性默认值？ 

• 您可以使用文档中概述的步骤在此处打开安全默认值：Microsoft Entra ID 中的安全默认值 – Microsoft Entra |Microsoft 学习

如何通过 Microsoft Entra 中的条件访问要求 MFA？

• 您可以在此处使用文档中概述的步骤创建需要 MFA 的条件访问策略：要求所有具有条件访问的用户都使用 MFA – Microsoft Entra ID |Microsoft 学习。

我所在的组织拥有多个 Microsoft 365 租户。Microsoft 365 管理中心 MFA 强制是否会同时推出到Microsoft的所有租户？ 

• 不一定。MFA 要求将从 2025 年 2 月 3 日开始在租户级别分阶段推出。对于拥有多个 Microsoft 365 租户的组织，可能会在不同时间为租户强制实施 Microsoft 365 管理中心登录的 MFA。Microsoft建议您尽快在所有 Microsoft 365 租户中应用 MFA。