昨天提到Security Default可以將管理者開啟MFA的驗證方式，
但如果要把MFA設定到全組織成員，該如何進行呢？

這個需求就要啟用Azure AD條件式存取(Conditional Access)
的方式進行設定，詳細說明如下
https://docs.microsoft.com/zh-tw/azure/active-directory/conditional-access/overview

此外，條件式存取功能需要Azure AD Premium P1 的授權，
這個授權是要額外付費的，NT$180.326 使用者/月，參考資料如下
https://azure.microsoft.com/zh-tw/pricing/details/active-directory/

條件式存取開啟之後，當帳號密碼驗證完成後，就會強制執行條件式存取
的原則，藉由判斷「訊號」條件，加以提供決策，以確保帳戶登入安全

接下來看一下情境設定：如何把登入MFA設定到全組織成員
進入Azure Portal，點擊Azure AD

點擊安全性，再點擊條件式存取


可以看到，新增原則是無法點擊的，因為我們現在是使用Azure AD免費層級

點擊這個提示訊息，會跑出是免費試用Azure AD Premium P2的介面，
點擊啟用

啟用後就可以看到新增原則可以點擊了，點擊後填寫原則名稱

點擊工作分派，可以看到可以選擇包括及排除，我們選擇「所有使用者」

接下來點選存取控制中的授與，勾選「需要多重要素驗證」，點擊選取

並再啟用原則這邊點擊開啟，不過這裡有一個提示訊息，條件式存取與
安全性預設值衝突，所以我們開另一個視窗去把安全性預設值停用

停用完成後再重新點擊新增原則，沒有看到任何的提示訊息了，
點擊建立後就可以完成此作業

這時就看到此原則建立完成了，如果我們登入該組織成員的帳號，
就會跳出強制執行MFA的訊息

以上就是條件式存取的使用方式，透由啟用Azure AD Premium的授權，
設定條件式存取加強帳號安全，明天會說明如何加強Azure VM的登入安全

See you next day^^