一般来说 ，多因素验证，是在去端保护企业工作负载的一种常见方法。设置Azure多因素验证服务，和提供更长久的好处，需要谨记几点。

为Azure Active Directory (AD)设置多因素，首先管理员需要确保他们的账户具有多因素验证功能。保护管理员账户不需要额外的成本，管理员始终如一，因为它提供了额外的保护层。成本模式只有当用户需要进行身份验证时才会开始。 但请务必仔细选择模型 ——一般来说，用户成本模式比认证模型更具成本效益。

管理员需要通过 经典门户为他们的账户赋权Azure多因素验证。微软还没有对现在的Azure Resource Manager门户发布这一功能。

登录经典Azure AD，选择多因素验证提供商。这将会显示出所有当前的Azure多因素验证配置，如下图1所所示：

图1 配置好的Azure多因素验证步骤

创建新的配置，点击左下角的新建按钮，填写屏幕上弹出的需要填写的区域，如下图2所示：

图2 快速设置Azure多因素验证配置

一般来说，最好不要使用主Azure帐户进行日常管理，因为它作为根帐户，组织应该尽可能多地保护它。 相反，要创建并启用子管理员帐户。

目的是简化用户的登录方案。例如，相比默认分配的域，使用公司的电子邮件域更容易登录，而不是，这可能更难记住。 一定要从一开始就实施这些项目。

Azure多因素验证设备

微软不支持所谓的“经典”硬令牌。相反，供应商支持开放授权集成安全性，并且提供三种主要方式来提供身份验证：调用、文本和应用程序。

由于手机丢失以及出现其他问题，管理员应该强制用户用两种备选方式来提供身份验证，如通过应用程序和单独的工作电话。这样，用户应该始终能够使用一台设备登录，而不是让管理员设置额外的设备。

另外，使用允许绕过多因素身份验证的可信IP地址。例如，当用户在本地网络上时，通常不需要使用多因素身份验证，因为该网络认为是可信的。绕过这一过程对于管理员来说非常简单。