Office 365 部署的多重身份验证计划

多重身份验证 (MFA) 是一种身份验证方法,要求使用多个验证方法,并向用户登录和交易添加第二层安全。该验证需要任意两个或多个以下验证方法来实现:

  • 随机生成的密码

  • 电话联络

  • 智能卡(虚拟或物理)

  • 生物识别设备

Office 365 中的多重身份验证

Office 365 使用多重身份验证帮助提供额外的安全性,并且从 Office 365 管理中心 中进行管理。Office 365 提供以下 Azure 多重身份验证功能的子集作为订阅的一部分:

  • 能够启用和强制实施针对最终用户的多重身份验证

  • 使用移动应用(联机和一次性密码 [OTP])作为第二身份验证因素

  • 使用电话联络作为第二身份验证因素

  • 使用短消息服务 (SMS) 消息作为第二身份验证因素

  • 用于非浏览器客户端的应用程序密码(例如,Microsoft Lync 2013 通信软件)

  • 身份验证电话联络期间的默认 Microsoft 问候语

有关新增功能的完整列表,请参阅 Azure 多重身份验证版本比较。通过购买 Azure 多重身份验证服务,可始终获得完整功能。

获取的功能子集会有所不同,具体取决于是只进行 Office 365 的云部署,还是使用单一登录和 Active Directory 联合身份验证服务 (AD FS) 的混合设置。

在哪里管理 Office 365 租户?

MFA 第二因素选项

仅云

Azure Active Directory MFA(文本或电话联络)

本地托管的混合设置

如果在本地管理用户身份,有以下几种选择:

  • 物理或虚拟智能卡 (AD FS)

  • Azure MFA(AD FS 的模块)

  • Azure AD MFA

也可以使用与本地目录一起提供的任何其他 MFA 解决方案。例如,其他与 Azure AD 联合兼容的标识提供程序可能会提供其他可根据身份提供程序的规范进行管理的 MFA 解决方案。

下图演示更新的 Office 2013 设备应用(用于 Windows)如何使用户能够使用 MFA 登录。Office2013 设备应用通过使用 Active Directory 身份验证库 (ADAL) 支持多重身份验证。Azure AD 托管用户可登录的网页。标识提供程序可以是 Azure AD 或联合身份提供程序,如 AD FS。联合用户的身份验证执行以下步骤:

  1. Azure AD 将用户重定向到由 Office 365 租户的记录的标识提供程序托管的登录网页。标识提供程序由用户登录名中指定的域来确定。

  2. 用户在其设备的登录网页上进行登录。

  3. 如果用户成功登录,标识提供程序会将一个令牌返回到 Azure AD。

  4. Azure AD 将 JSON Web 令牌 (JWT) 返回到 Office 设备应用,并通过结合使用 JWT 和 Office 365 对设备应用进行身份验证。

下图对此进行了详细说明:

Office 2013 设备应用的现代身份验证。

软件要求

要启用适用于 Office 2013 客户端的 MFA,必须根据是具有基于即点即用的安装内容还是基于 MSI 的安装内容,来安装以下软件(下面列出的版本或更高版本)。

确定拥有的 Office 安装内容是基于即点即用的还是基于 MSI 的:

  1. 启动 Outlook 2013。

  2. 在“文件”菜单上,选择“Office 帐户”。

  3. 对于 Outlook 2013 即点即用安装,将显示“更新选项”项。对于基于 MSI 的安装,将不会显示“更新选项”项。

    显示如何判断 Office 2013 安装是即点即用安装还是基于 MSI 的安装的图形

基于即点即用的安装

对于基于即点即用的安装,必须根据下面列出的文件版本或更高文件版本安装以下软件。如果文件版本不是或低于列出的文件版本,请按照下面的步骤进行更新。

文件名

计算机上的安装路径

文件版本

MSO.DLL

C:\Program Files\Microsoft Office 15\root\vfs\ProgramFilesCommonx86\Microsoft Shared\OFFICE15\MSO.DLL

15.0.4753.1001

CSI.DLL

CSI.DLL C:\Program Files\Microsoft Office 15\root\office15\csi.dll

15.0.4753.1000

Groove.EXE

C:\Program Files\Microsoft Office 15\root\office15\GROOVE.exe

15.0.4763.1000

Outlook.exe

C:\Program Files\Microsoft Office 15\root\office15\OUTLOOK.exe

15.0.4753.1002

ADAL.DLL

C:\Program Files\Microsoft Office 15\root\vfs\ProgramFilesCommonx86\Microsoft Shared\OFFICE15\ADAL.DLL

1.0.2016.624

Iexplore.exe

C:\Program Files\Internet Explorer

变量

基于 MSI 的安装

对于基于 MSI 的安装,必须根据下面列出的文件版本或更高文件版本安装以下软件。如果文件版本不是或低于列出的文件版本,请使用“更新 KB 文章”列中的链接进行更新。

文件名

计算机上的安装路径

获取更新的位置

版本

MSO.DLL

C:\Program Files\Common Files\Microsoft Shared\OFFICE15\MSO.DLL

KB3085480

15.0.4753.1001

CSI.DLL

C:\Program Files\Common Files\Microsoft Shared\OFFICE15\Csi.dll

KB3085504

15.0.4753.1000

Groove.exe

C:\Program Files\Microsoft Office\Office15\GROOVE.EXE

KB3085509

15.0.4763.1000

Outlook.exe

C:\Program Files\Microsoft Office\Office15\OUTLOOK.EXE

KB3085495

15.0.4753.1002

ADAL.DLL

C:\Program Files\Common Files\Microsoft Shared\OFFICE15\ADAL.DLL

KB3055000

1.0.2016.624

Iexplore.exe

C:\Program Files\Internet Explorer

MS14-052

不适用

启用 MFA

要启用 MFA,必须完成以下操作:

  1. 启用用于新式验证的客户端:

  2. 为 Office 365 设置多重身份验证

  3. 告知单个用户如何通过 MFA 进行登录:通过 2 步验证登录 Office 365

重要: 如果已为用户启用 Azure AD MFA,并且这些用户拥有运行 Office 2013 但未启用新式验证的设备,则他们将需要在这些设备上使用应用密码。有关应用密码以及应在何时、何处和如何使用的详细信息,可访问此处进行了解:用于 Azure 多重身份验证的应用密码

常见问题解答

新式验证常见问题解答 wiki 文章

已知问题:   

Office 2013 和 Office 365 专业增强版新式验证:载入前注意事项

Azure 多重身份验证疑难解答:   

请参阅 Azure MFA 疑难解答

使用 AD FS 时,如何解决 Office 2013 新式验证的登录问题

如果备选 ID 不起作用:   

如何使用 PowerShell 修复 UPN 重复

用于修复用户主体名称重复的脚本

客户端访问筛选:   

Office 2013 和 Office 365 专业增强版新式验证和客户端访问筛选策略:载入前注意事项

哪些应用支持 MFA?   

Windows

Mac

iOS

Android 手机

Android 平板电脑

此版本支持用于 Word 2013、Word 2016、Excel 2013、Excel 2016、PowerPoint 2013、PowerPoint 2016、OneNote 2013、OneNote 2016、Project 2013、Project 2016、Visio 2013、Visio 2016、Lync 2013 和 Skype for Business 的新式验证。

此版本支持用于 Word 2016 for Mac、Excel 2016 for Mac 和 PowerPoint 2016 for Mac 的新式验证。

此版本支持用于 Word for iPad、Excel for iPad 和 PowerPoint for iPad 的新式验证。

此版本支持用于 Word for Android、Excel for Android 和 PowerPoint for Android 的新式验证。

此版本支持用于 Word for Android、Excel for Android 和 PowerPoint for Android 的新式验证。

此版本支持用于 Outlook 2013 和 Outlook 2016 的新式验证。

此版本支持用于 Outlook 2016 for Mac 的新式验证。

此版本支持用于 Outlook for iPad 的新式验证。

扩展你的技能
了解培训
抢先获得新功能
加入 Office 预览体验计划

此信息是否有帮助?

谢谢您的反馈!

谢谢你的反馈! 可能需要转接到 Office 支持专员。

×