實現微軟Active Directory(AD)帳號的雙因子認證(2FA),可以通過以下幾個步驟來完成。這些步驟假設你已經具備基本的AD管理知識和訪問權限。
如果你的環境中已經有Azure AD(包括Microsoft 365訂閱),可以使用Azure AD自帶的多因素身份驗證(MFA)功能。
登入Azure門戶
登入Azure門戶(portal.azure.com)使用全域管理員帳戶。
導航到Azure AD
在左側導航欄中,選擇"Azure Active Directory"。
設定安全性預設值(或條件式存取政策)
安全性預設值:
條件式存取政策:
用戶註冊MFA
用戶第一次登入時,會被提示註冊MFA(可以選擇使用Microsoft Authenticator應用、短信或語音電話)。
如果你更喜歡使用第三方的2FA解決方案,可以考慮使用Duo Security來保護AD登入。這需要安裝和配置Duo的AD整合工具。
建立Duo帳戶並設置應用
安裝Duo AD整合工具
配置Duo
用戶註冊
用戶需要在Duo網站上註冊並下載Duo Mobile應用,以便接收2FA請求。
對於Windows Server 2016及以後版本,Microsoft提供了MFA Server,這是一個內建的解決方案來實現雙因子認證。
安裝MFA Server
設定AD整合
配置MFA方法
用戶註冊
用戶在登入時會被提示註冊他們選擇的MFA方法。
這些步驟應該能夠幫助你在不同的環境下實現Active Directory帳號的雙因子認證。具體步驟可能會因為版本和環境的不同而有些變化,因此請參考相應的官方文件進行詳細設定。