自远程办公普及以来，身份盗用和数据窃取愈演愈烈，企业的信息安全受到严重威胁。对于管理员来说，多因子身份认证（MFA）是企业保护用户身份的必要解决方案，也很有可能成为保障远程办公和云环境安全的核心工具。

以往的多因子身份认证常用于网页应用，除此之外这一安全工具还可以保护 VPN、云桌面（虚拟化桌面）、工作台、服务器、本地应用等任何需要额外验证层的 IT 资源。其核心是确保登录的用户其身份真实可靠。

由于大多数企业都会采用微软本地目录服务 Active Directory（AD）作为核心身份源，多因子身份认证也被认为是所有 AD 方案的标配。但事实并非如此。下面四个问题是很多管理员在考虑为 AD 环境部署多因子身份认证时经常遇到的。需要注意的是，在 Azure Active Directory （AAD）中添加多因子身份认证功能时，问题可能更加复杂。

1. 多因子身份认证真的有必要吗？

无论什么规模的企业都需要维护 IT 安全。而在企业数字化的趋势下，信息安全更加成为企业 IT 安全的重点。要防范的首要风险是身份窃取。在没有多因子身份认证的情况下使用核心用户账号确实会将隐私数据暴露在风险中。

另一方面，网络攻击的手段层出不穷。对于瞄准用户凭证的网络钓鱼和勒索软件等网络攻击，仅仅使用简单的用户名密码验证是远远不够的，特别是 CEO 、财务总监等特权账号重复使用简单密码的情况下，窃取风险只增不减。因此，管理员应尽可能实施多因子身份认证（MFA），安装简单、使用方便。

2. 如何配置 AD 启用 MFA？

通过微软 AD 将多因子身份认证无缝集成到 IT 资源中并不容易，且不说 Mac 和 Linux 设备，即便是 Windows 设备，集成的过程也很复杂。

多因子身份认证（MFA）并不是 AD 的原生功能，需要安装额外的应用程序或服务进行集成。部署完成后，在 Windows 设备登录时会启动验证流程。Windows 设备作为访问 AD 域内资源的入口，可以设置为强制执行双因子认证。但 AD 本身不支持该设置，因此管理员需要采用附加解决方案。

3. Azure 或 Microsoft 365订阅方案中是否包含MFA ？

从 AD 切换到 Azure AD 或 Microsoft 365 账号，都可以启用多因子身份认证，但配置过程比较复杂。这完全取决于订阅的 Azure AD 或 Microsoft 365 方案，有些方案可在设置栏中点击启用，另一些可能需要升级后才能启用。

1）Azure AD

企业如果选择按用户或按验证次数计费模型，可以在 Azure AD 免费版或基础版中使用多因子身份认证。这两种方案可以说是启用该功能所需的最低配置。但需要注意的是，Azure 中的多因子身份认证仅能扩展到部分 Web 应用程序，无法管理所有 Windows 终端、本地应用程序、文件服务器或网络。当使用 AD登录到域时，它并不能完全替代真正的多因子身份认证工具。

在 Azure AD 中的全局管理员账号可以免费激活 Azure MFA，但仅针对工作或学校账号。

2）Microsoft 365

用于 Microsoft 365 账号登录的多因子身份认证现在已经囊括在 Microsoft 365 教育版和免费版中，无需额外购买或订阅。不过，除了这些少数账号之外，企业要使用 MFA 必须订阅 Azure AD P1 方案。 虽然每个 Microsoft 365 订阅方案都附赠 Azure AD 免费版，但该方案下的多因子身份认证功能很少，要获得完整体验必须付费升级。如果订阅 Azure AD P1 方案，企业就能为访问 Azure 资源的用户执行条件访问策略，至于如何让条件访问策略同时应用于其他 IT 资源还需要另找办法。

​

4. 在没有 Azure 或 Microsoft 365 的情况下如何将 MFA 添加到 AD？

当然，每个管理员都想快速轻松地为 AD 启用多因子身份认证，又不想应付 AAD 的麻烦配置，这时可以考虑身份目录即服务（Directory as a Service，DaaS）平台，混合环境中也能部署多因子身份认证，不受平台、协议、厂商或用户位置的限制。

DaaS 是中小企业理想的统一身份和访问管理平台，它重构了 AD 的角色，提供类似于 AD 中组策略对象（GPO）的用户管理，管理员可以用多因子身份认证等策略进行全局管理，具体包括：

• 用户和用户组
• Mac/Windows/Linux 系统
• 本地应用和云应用
• 本地应用和文件服务器
• 网络和 VPN 、云桌面、堡垒机
• 云基础设施

（本文来源于宁盾，仅供学习和参考，未经授权禁止转载和复制。如欲了解身份认证更多内容，可前往宁盾官网博客解锁更多干货）