Udostępnij za pośrednictwem

Uwierzytelnianie wieloskładnikowe preferowane przez system — zasady metod uwierzytelniania

  • Artykuł

Preferowane przez system uwierzytelnianie wieloskładnikowe (MFA) monituje użytkowników o zalogowanie się przy użyciu najbezpieczniejszej metody, którą zarejestrowali. Jest to ważne ulepszenie zabezpieczeń dla użytkowników, którzy uwierzytelniają się przy użyciu transportu telekomunikacyjnego. Administratorzy mogą włączyć preferowaną przez system uwierzytelnianie wieloskładnikowe w celu poprawy zabezpieczeń logowania i zniechęcić do mniej bezpiecznych metod logowania, takich jak short message service (SMS).

Jeśli na przykład użytkownik zarejestrował powiadomienia SMS i Microsoft Authenticator jako metody uwierzytelniania wieloskładnikowego, preferowana przez system usługa MFA monituje użytkownika o zalogowanie się przy użyciu bezpieczniejszej metody powiadomień push. Użytkownik nadal może zdecydować się na zalogowanie przy użyciu innej metody, ale najpierw zostanie wyświetlony monit o wypróbowanie najbardziej bezpiecznej metody, którą zarejestrowali.

Preferowana przez system usługa MFA to ustawienie zarządzane przez firmę Microsoft, które jest zasadami trójstanu. Wartość zarządzana przez firmę Microsoft preferowanego przez system uwierzytelniania wieloskładnikowego jest włączona. Jeśli nie chcesz włączyć preferowanej przez system uwierzytelniania wieloskładnikowego, zmień stan z zarządzanego przez firmę Microsoft na Wyłączone lub wyklucz użytkowników i grupy z zasad.

Po włączeniu preferowanej przez system uwierzytelniania wieloskładnikowego system wykonuje całą pracę. Użytkownicy nie muszą ustawiać żadnej metody uwierzytelniania jako domyślnej, ponieważ system zawsze określa i przedstawia najbezpieczniejszą zarejestrowaną metodę.

Włączanie preferowanej przez system uwierzytelniania wieloskładnikowego w centrum administracyjnym firmy Microsoft Entra

Domyślnie preferowana przez system usługa MFA jest zarządzana i wyłączona przez firmę Microsoft dla wszystkich użytkowników.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator zasad uwierzytelniania.

  2. Przejdź do pozycji Ustawienia metod> uwierzytelniania ochrony.>

  3. W przypadku uwierzytelniania wieloskładnikowego preferowanego przez system wybierz, czy jawnie włączyć lub wyłączyć tę funkcję, i uwzględnić lub wykluczyć wszystkich użytkowników. Wykluczone grupy mają pierwszeństwo przed grupami dołączania.

    Na przykład poniższy zrzut ekranu przedstawia sposób jawnego włączenia uwierzytelniania wieloskładnikowego preferowanego przez system tylko dla grupy inżynieryjnej.

    Zrzut ekranu przedstawiający sposób włączania ustawień aplikacji Microsoft Authenticator dla trybu uwierzytelniania wypychanego.

  4. Po zakończeniu wprowadzania zmian kliknij przycisk Zapisz.

Włączanie preferowanej przez system uwierzytelniania wieloskładnikowego przy użyciu interfejsów API programu Graph

Aby włączyć wcześniej preferowaną przez system uwierzytelnianie wieloskładnikowe, należy wybrać pojedynczą grupę docelową dla konfiguracji schematu, jak pokazano w przykładzie Żądanie .

Właściwości konfiguracji funkcji metody uwierzytelniania

Domyślnie preferowana przez system usługa MFA jest zarządzana i włączona przez firmę Microsoft.

Właściwość Type Opis
excludeTarget featureTarget Jedna jednostka, która jest wykluczona z tej funkcji.
Można wykluczyć tylko jedną grupę z preferowanej przez system uwierzytelniania wieloskładnikowego, która może być grupą dynamiczną lub zagnieżdżona.
includeTarget featureTarget Jedna jednostka, która jest uwzględniona w tej funkcji.
Można uwzględnić tylko jedną grupę dla preferowanej przez system uwierzytelniania wieloskładnikowego, która może być grupą dynamiczną lub zagnieżdżona.
Stan advancedConfigState Dopuszczalne wartości:
włączone jawnie włącza funkcję dla wybranej grupy.
wyłączone jawnie wyłącza funkcję dla wybranej grupy.
Ustawienie domyślne umożliwia firmie Microsoft Entra ID zarządzanie tym, czy funkcja jest włączona, czy nie dla wybranej grupy.

Właściwości obiektu docelowego funkcji

Preferowane przez system uwierzytelnianie wieloskładnikowe można włączyć tylko dla jednej grupy, która może być grupą dynamiczną lub zagnieżdżona.

Właściwość Type Opis
IDENTYFIKATOR String Identyfikator docelowej jednostki.
targetType featureTargetType Rodzaj jednostki docelowej, taki jak grupa, rola lub jednostka administracyjna. Możliwe wartości to: "group", "administrativeUnit", "role", "unknownFutureValue".

Użyj następującego punktu końcowego interfejsu API, aby włączyć funkcje systemCredentialPreferences i dołączać lub wykluczać grupy:

https://graph.microsoft.com/v1.0/policies/authenticationMethodsPolicy

Uwaga

W Eksploratorze programu Graph musisz wyrazić zgodę na uprawnienie Policy.ReadWrite.AuthenticationMethod .

Żądanie

Poniższy przykład wyklucza przykładową grupę docelową i obejmuje wszystkich użytkowników. Aby uzyskać więcej informacji, zobacz Aktualizowanie uwierzytelnianiaMethodsPolicy.

PATCH https://graph.microsoft.com/v1.0/policies/authenticationMethodsPolicy
Content-Type: application/json

{
    "systemCredentialPreferences": {
        "state": "enabled",
        "excludeTargets": [
            {
                "id": "d1411007-6fcf-4b4c-8d70-1da1857ed33c",
                "targetType": "group"
            }
        ],
        "includeTargets": [
            {
                "id": "all_users",
                "targetType": "group"
            }
        ]
    }
}

Często zadawane pytania

W jaki sposób preferowana przez system usługa MFA określa najbezpieczniejszą metodę?

Po zalogowaniu się użytkownika proces uwierzytelniania sprawdza, które metody uwierzytelniania są zarejestrowane dla użytkownika. Użytkownik jest monitowany o zalogowanie się przy użyciu najbezpieczniejszej metody zgodnie z następującą kolejnością. Kolejność metod uwierzytelniania jest dynamiczna. Jest ona aktualizowana w miarę zmian w poziomie zabezpieczeń i w miarę pojawiania się lepszych metod uwierzytelniania. Ze względu na znane problemy z uwierzytelnianiem opartym na certyfikatach (CBA) i preferowanym przez system uwierzytelnianie wieloskładnikowe, przenieśliśmy cba na dół listy. Kliknij link, aby uzyskać więcej informacji o każdej metodzie.

  1. Dostęp tymczasowy — dostęp próbny
  2. Klucz dostępu (FIDO2)
  3. Powiadomienia microsoft Authenticator
  4. Hasło jednorazowe oparte na czasie (TOTP)1
  5. Telefonia2
  6. Uwierzytelnianie oparte na certyfikatach

1Obejmuje sprzęt lub oprogramowanie TOTP z aplikacji Microsoft Authenticator, Authenticator Lite lub innych firm.

2Obejmuje wiadomości SMS i połączenia głosowe.

Jak preferowana przez system usługa MFA wpływa na rozszerzenie serwera NPS?

Preferowana przez system usługa MFA nie ma wpływu na użytkowników, którzy logują się przy użyciu rozszerzenia serwera zasad sieciowych (NPS). Ci użytkownicy nie widzą żadnych zmian w środowisku logowania.

Co się stanie z użytkownikami, którzy nie są określeni w zasadach metod uwierzytelniania, ale są włączeni w starszych zasadach dotyczących całej dzierżawy usługi MFA?

Preferowana przez system uwierzytelnianie wieloskładnikowe dotyczy również użytkowników, którzy są włączeni dla uwierzytelniania wieloskładnikowego w starszych zasadach uwierzytelniania wieloskładnikowego.

Zrzut ekranu przedstawiający starsze ustawienia uwierzytelniania wieloskładnikowego.

Następne kroki