【M365】使用PowerShell批量管理Microsoft 365用户的MFA状态

张

张建站

2026/5/3 6:46:40

10分钟阅读

【M365】使用PowerShell批量管理Microsoft 365用户的MFA状态

1. 为什么需要批量管理MFA状态在Microsoft 365环境中多重身份验证MFA是保护用户账户安全的重要措施。想象一下你家的门只有一把普通锁小偷很容易撬开。但如果加装指纹锁和防盗链安全性就大大提升。MFA正是这样的多重门锁要求用户提供密码之外的验证方式如手机验证码或指纹才能登录。对于企业IT管理员来说手动为每个用户配置MFA就像给整栋楼的住户挨家挨户换锁——效率低下且容易出错。我曾管理过一个500用户的组织最初采用逐个启用MFA的方式花了整整两周时间还漏掉了十几个服务账户。更麻烦的是新员工入职时经常忘记配置造成安全隐患。PowerShell批量管理能解决三大痛点效率问题一条命令可处理数百用户一致性保障避免人工操作遗漏自动化可能可与HR系统集成实现新员工自动配置2. 环境准备与连接2.1 安装必要模块首先需要安装MSOnline模块这是与Microsoft 365交互的遥控器。打开PowerShell建议用管理员身份运行执行Install-Module MSOnline -Force如果遇到安装错误可能是执行策略限制。可以临时放宽限制Set-ExecutionPolicy RemoteSigned -Scope Process -Force实测发现Windows 10/11和Server 2016系统兼容性最好。有次在Server 2012上折腾半天最后发现是.NET Framework版本问题升级到4.7.2才解决。2.2 建立连接连接Microsoft 365就像用钥匙启动汽车需要正确的认证方式。基础连接命令是Connect-MsolService这会弹出图形界面要求输入管理员账号密码。但在自动化场景中更推荐使用凭证对象$cred Get-Credential Connect-MsolService -Credential $cred注意如果管理员账号启用了MFA需要改用现代认证方式Connect-MsolService -UseModernAuthentication最近帮客户调试时发现某些租户会提示此账户需要MFA。这时需要在连接命令后添加-Interactive参数手动完成MFA验证。3. 查询MFA状态3.1 基础查询方法获取单个用户状态就像查字典Get-MsolUser -UserPrincipalName userdomain.com | Select DisplayName,StrongAuthenticationRequirements输出中的State字段显示当前状态Enabled已启用Enforced强制使用不可关闭空值未启用3.2 批量导出报告要检查整个组织的MFA状态这个脚本是我的瑞士军刀$output () Get-MsolUser -All | ForEach-Object { $status if($_.StrongAuthenticationRequirements){Enabled}else{Disabled} $output [PSCustomObject]{ Name $_.DisplayName UPN $_.UserPrincipalName Status $status Methods ($_.StrongAuthenticationMethods.MethodType -join ,) } } $output | Export-Csv MFA_Report_$(Get-Date -Format yyyyMMdd).csv -NoTypeInformation上周用这个脚本帮客户发现销售部门有23%的用户虽然启用了MFA但只配置了短信验证容易被SIM卡劫持攻击。后来我们统一引导他们改用Microsoft Authenticator应用。3.3 高级过滤技巧查找高风险账户是安全审计的重点# 查找特权账户但未启用MFA的 Get-MsolUser -All | Where-Object { ($_.IsLicensed -eq $true) -and (-not $_.StrongAuthenticationRequirements) -and ($_.Roles -ne $null) } | Select DisplayName,UserPrincipalName曾用这个命令在某金融机构发现5个域管理员账户未启用MFA及时堵住了重大漏洞。4. 批量配置MFA状态4.1 启用MFA批量启用就像给用户群发安全包# 创建配置对象 $sa New-Object Microsoft.Online.Administration.StrongAuthenticationRequirement $sa.RelyingParty * $sa.State Enabled $sar ($sa) # 为指定用户启用 Set-MsolUser -UserPrincipalName userdomain.com -StrongAuthenticationRequirements $sar实用技巧可以先导出未启用MFA的用户列表确认无误后再批量处理$users Import-Csv .\UsersToEnable.csv foreach($u in $users){ Set-MsolUser -UserPrincipalName $u.UPN -StrongAuthenticationRequirements $sar Write-Host 已为 $($u.Name) 启用MFA -ForegroundColor Green }4.2 强制启用MFA对于特权账户建议设置为强制状态用户无法自行关闭$sa.State Enforced # 修改状态参数 Set-MsolUser -UserPrincipalName admindomain.com -StrongAuthenticationRequirements $sar上个月为某律所实施时他们要求合伙人账户必须强制MFA。我们用了这个命令配合条件访问策略实现了分级保护。4.3 禁用MFA虽然不推荐但在迁移或故障排查时可能需要Set-MsolUser -UserPrincipalName userdomain.com -StrongAuthenticationRequirements ()重要提醒禁用后应立即检查账户活动日志确保不是攻击者所为。有次客户报告突然收不到MFA验证码排查发现是黑客通过社工手段重置了验证方式。5. 实战案例与排错5.1 新员工自动化配置结合HR系统实现MFA自动配置的脚本框架# 模拟从HR系统获取新员工列表 $newHires ( [PSCustomObject]{Name张三; UPNzhangsandomain.com; DeptSales}, [PSCustomObject]{Name李四; UPNlisidomain.com; DeptIT} ) # 配置MFA并分配许可 foreach($user in $newHires){ try { Set-MsolUser -UserPrincipalName $user.UPN -StrongAuthenticationRequirements $sar Set-MsolUserLicense -UserPrincipalName $user.UPN -AddLicenses domain:ENTERPRISEPREMIUM Write-Host [成功] $($user.Name) 配置完成 -ForegroundColor Green } catch { Write-Host [失败] $($user.Name) 错误: $_ -ForegroundColor Red # 可添加邮件通知管理员功能 } }5.2 常见错误处理错误1User Not Found检查UPN拼写是否正确确认用户是否存在于该租户错误2Authentication Failure重新运行Connect-MsolService检查账号是否有足够权限如果是MFA账号确保使用-UseModernAuthentication错误3StrongAuthenticationRequirements is read-only确认使用的是Set-MsolUser而非Get-MsolUser检查PowerShell模块版本Get-Module MSOnline去年处理过一个棘手案例客户执行批量启用时总报权限错误最后发现是Azure AD P2许可证中的权限模型变更导致。解决方案是改用AzureAD模块Connect-AzureAD $auth New-Object Microsoft.Open.AzureAD.Model.StrongAuthenticationRequirement $auth.RelyingParty * $auth.State Enabled Set-AzureADUser -ObjectId userdomain.com -StrongAuthenticationRequirements ($auth)6. 安全增强建议6.1 验证方法策略通过条件访问控制验证方式强度# 要求使用Authenticator应用或FIDO2密钥 $authMethods ( MicrosoftAuthenticator, FIDO2 ) New-AzureADPolicy -Definition ({StrongAuthenticationMethods:$authMethods}) -DisplayName MFA Method Restriction6.2 定期审计脚本建议每月运行以下检查# 检查MFA配置变更记录 Get-AzureADAuditSignInLogs -Filter eventType eq MFAConfiguration6.3 结合条件访问虽然PowerShell能配置基础MFA但最佳实践是结合条件访问策略需Azure AD P1/P2# 示例对海外登录要求MFA $conditions { applications{includeApplicationsAll} locations{includeLocationsAll;excludeLocationsTrustedIPs} } New-AzureADMSConditionalAccessPolicy -DisplayName 海外登录需MFA -State enabled -Conditions $conditions -GrantControls {operatorOR;builtInControlsmfa}最近为跨境电商客户部署的方案中我们对财务部门额外添加了登录时间限制仅工作日9-18点允许访问显著降低了夜间攻击风险。7. 性能优化技巧处理大规模租户时10万用户直接Get-MsolUser -All可能超时。建议分页处理$pageSize 500 $totalUsers (Get-MsolUser -MaxResults 1).Count for($i0; $i -lt $totalUsers; $i$pageSize){ Get-MsolUser -MaxResults $pageSize -PageIndex ($i/$pageSize) | Where-Object { -not $_.StrongAuthenticationRequirements } | Export-Csv -Append -Path NoMFAUsers.csv }对于超大型组织可考虑并行处理# 按部门并行处理 $departments Sales,IT,HR,Finance $departments | ForEach-Object -Parallel { Import-Module MSOnline Connect-MsolService -Credential $using:cred Get-MsolUser -Department $_ | Where-Object { -not $_.StrongAuthenticationRequirements } | Select DisplayName,UserPrincipalName } -ThrottleLimit 4

告别丑图表！用WinForm Chart控件打造专业级数据看板（附完整源码）

告别丑图表！用WinForm Chart控件打造专业级数据看板（附完整源码） 在数据驱动的商业环境中，一个专业的数据看板往往能成为决策者的"眼睛"。但现实中，我们经常看到各种配色混乱、布局不当的图表，不…...

2026/4/10 7:36:15 阅读更多 →

新手零安装入门：在快马平台创建你的第一个免费网页项目

作为一个刚接触编程的新手，想要创建个人网页却卡在环境配置环节？最近我在InsCode(快马)平台尝试了零配置的网页开发，整个过程就像用记事本写文档一样简单。下面分享我的实操记录： 为什么选择在线编辑器本地搭建开发环境常会遇到各…...

2026/4/10 7:36:14 阅读更多 →

实测Claude 4.5 Opus重构“屎山”代码：手把手教你用AI给遗留项目做外科手术（附前后对比与单元测试生成）

实测Claude 4.5 Opus重构“屎山”代码：手把手教你用AI给遗留项目做外科手术（附前后对比与单元测试生成） 接手一个满是"祖传代码"的老旧项目，就像被丢进一座迷宫——变量命名像密码，函数逻辑像意大利面&…...

2026/4/10 7:36:16 阅读更多 →

LoopViT：结合循环机制的视觉Transformer优化架构

1. 项目概述在计算机视觉领域，Transformer架构近年来展现出惊人的潜力。LoopViT是我最近开发的一种新型视觉推理架构，它通过引入循环机制改进了传统视觉Transformer的计算效率和信息流模式。这个架构特别适合处理视频分析、医学影像分割等需要时序建模的…...

2026/5/3 0:06:07 阅读更多 →

实战指南：深度解锁微信网页版，让浏览器也能畅快聊天

实战指南：深度解锁微信网页版，让浏览器也能畅快聊天【免费下载链接】wechat-need-web 让微信网页版可用 / Allow the use of WeChat via webpage access 项目地址: https://gitcode.com/gh_mirrors/we/wechat-need-web 还在为微信网页版频繁提示…...

2026/5/3 0:10:11 阅读更多 →

智慧树学习效率提升指南：如何用自动化工具节省80%学习时间

智慧树学习效率提升指南：如何用自动化工具节省80%学习时间【免费下载链接】zhihuishu 智慧树刷课插件，自动播放下一集、1.5倍速度、无声项目地址: https://gitcode.com/gh_mirrors/zh/zhihuishu 还在为智慧树平台繁琐的视频学习流程而烦恼吗&am…...

2026/5/3 0:27:49 阅读更多 →