Systeemvoorkeurs meervoudige authenticatie - Beleid voor authenticatiemethoden
Systeemvoorkeur voor meervoudige verificatie (MFA) vraagt gebruikers om in te loggen met de veiligste methode die ze geregistreerd hebben. Het is een belangrijke beveiligingsverbetering voor gebruikers die zich authenticeren met telecomkanalen. Beheerders kunnen MFA van het systeem inschakelen om de aanmeldingsbeveiliging te verbeteren en minder veilige aanmeldingsmethoden zoals Short Message Service (SMS) te ontmoedigen.
Als een gebruiker bijvoorbeeld zowel sms- als Microsoft Authenticator-pushmeldingen heeft geregistreerd als methoden voor MFA, wordt de gebruiker gevraagd zich aan te melden met behulp van de veiligere pushmeldingsmethode. De gebruiker kan zich nog steeds aanmelden met een andere methode, maar wordt eerst gevraagd om de veiligste methode te proberen die ze hebben geregistreerd.
Systeemvoorkeur MFA is een door Microsoft beheerde instelling. Dit is een tristate-beleid. De door Microsoft beheerde waarde van door het systeem voorkeurs-MFA is ingeschakeld. Als u MFA van het systeem niet wilt inschakelen, wijzigt u de status van Door Microsoft beheerd in Uitgeschakeld of sluit u gebruikers en groepen uit van het beleid.
Nadat de systeemvoorkeur voor MFA is ingeschakeld, doet het verificatiesysteem al het werk. Gebruikers hoeven geen verificatiemethode in te stellen als standaardmethode, omdat het systeem dit altijd bepaalt en de veiligste methode presenteert die ze hebben geregistreerd.
MFA volgens systeemvoorkeuren inschakelen in het Microsoft Entra-beheercentrum
Bij standaardinstellingen wordt door Microsoft beheerde MFA uitgeschakeld voor alle gebruikers.
Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een verificatiebeleidsbeheerder.
Blader naar >Instellingen voor beveiligingsverificatiemethoden.>
Voor systeemvoorkeur voor meervoudige verificatie, kies of u de functie expliciet wilt in- of uitschakelen en bepaal of u gebruikers wilt opnemen of uitsluiten. Uitgesloten groepen hebben voorrang op include-groepen.
In de volgende schermopname ziet u bijvoorbeeld hoe u de systeemvoorkeur MFA expliciet kunt inschakelen voor alleen de Engineering afdeling.
Nadat u klaar bent met het aanbrengen van wijzigingen, klikt u op Opslaan.
Inschakelen van systeemvoorkeuren voor MFA met behulp van Graph API's
Als u vooraf door het systeem voorkeurs-MFA wilt inschakelen, moet u één doelgroep kiezen voor de schemaconfiguratie, zoals wordt weergegeven in het voorbeeld van de aanvraag .
Configuratie-eigenschappen van verificatiemethodefuncties
Standaard is de systeemvoorkeur voor meervoudige verificatie Microsoft managed en ingeschakeld.
| Eigenschap | Soort | Beschrijving |
|---|---|---|
| doel uitsluiten | eigenschapDoelwit | Eén entiteit die is uitgesloten van deze functie. U kunt maar één groep uitsluiten van de systeemvoorkeuren voor MFA, wat een dynamische of geneste groep kan zijn. |
| doelwit opnemen | functieDoelwit | Eén entiteit die is opgenomen in deze functie. U kunt slechts één groep opnemen voor systeemgeprefereerde MFA, die een dynamische of geneste groep kan zijn. |
| Provincie | advancedConfigState | Mogelijke waarden zijn: enabled: de functie wordt expliciet ingeschakeld voor de geselecteerde groep. disabled: de functie wordt expliciet uitgeschakeld voor de geselecteerde groep. Standaard staat Microsoft Entra ID toe te beheren of de functie wel of niet is ingeschakeld voor de geselecteerde groep. |
Eigenschappen van functiedoel
** Systeemvoorkeurs-MFA kan alleen worden ingeschakeld voor één groep, die een dynamische of geneste groep kan zijn.
| Eigendom | Soort | Beschrijving |
|---|---|---|
| Id | Snaar / Tekenreeks | Id van de doelentiteit. |
| doeltype | EigenschapDoelType | Het type entiteit waarop wordt gericht, zoals groep, rol of beheereenheid. De mogelijke waarden zijn: 'groep', 'administratieveEenheid', 'rol', 'onbekendeToekomstigeWaarde'. |
Gebruik het volgende API-eindpunt om systemCredentialPreferences in te schakelen en groepen op te nemen of uit te sluiten:
https://graph.microsoft.com/v1.0/policies/authenticationMethodsPolicy
Notitie
In Graph Explorer moet u instemmen met de Policy.ReadWrite.AuthenticationMethod-machtiging.
Aanvraag
In het volgende voorbeeld wordt een voorbeelddoelgroep uitgesloten en worden alle gebruikers opgenomen. Zie Update authenticationMethodsPolicy voor meer informatie.
PATCH https://graph.microsoft.com/v1.0/policies/authenticationMethodsPolicy
Content-Type: application/json
{
"systemCredentialPreferences": {
"state": "enabled",
"excludeTargets": [
{
"id": "d1411007-6fcf-4b4c-8d70-1da1857ed33c",
"targetType": "group"
}
],
"includeTargets": [
{
"id": "all_users",
"targetType": "group"
}
]
}
}
Veelgestelde vragen
Hoe bepaalt de systeem-voorkeur MFA de veiligste methode?
Wanneer een gebruiker zich aanmeldt, controleert het verificatieproces welke verificatiemethoden voor de gebruiker zijn geregistreerd. De gebruiker wordt gevraagd zich aan te melden met de veiligste methode volgens de volgende volgorde. De volgorde van verificatiemethoden is dynamisch. Het wordt bijgewerkt naarmate het beveiligingslandschap verandert en naarmate er betere verificatiemethoden ontstaan. Vanwege bekende problemen met verificatie op basis van certificaten (CBA) en systeemvoorkeurs-MFA hebben we CBA onderaan de lijst verplaatst. Klik op de koppeling voor meer informatie over elke methode.
- Tijdelijke toegangspas
- Wachtwoordsleutel (FIDO2)
- Microsoft Authenticator-meldingen
- externe verificatiemethoden
- Eenmalige wachtwoord op basis van tijd (TOTP)1
- Telefonie2
- Verificatie op basis van certificaat
1Omvat hardware of software TOTP van Microsoft Authenticator, Authenticator Lite of toepassingen van derden.
2Inclusief sms- en spraakoproepen.
Hoe beïnvloedt systeemvoorkeur MFA de NPS-extensie?
Systeemvoorkeur MFA heeft geen invloed op gebruikers die zich aanmelden met de NPS-extensie (Network Policy Server). Deze gebruikers zien geen wijzigingen in hun aanmeldingservaring.
Wat gebeurt er voor gebruikers die niet zijn opgegeven in het beleid voor verificatiemethoden, maar die zijn ingeschakeld in het verouderde MFA-tenantbrede beleid?
De door het systeem aanbevolen MFA is ook van toepassing op gebruikers die zijn ingeschakeld voor MFA in het verouderde MFA-beleid.
