Włącz uwierzytelnianie wieloskładnikowe Microsoft Entra dla poszczególnych użytkowników, aby zabezpieczyć zdarzenia logowania
Aby zabezpieczyć zdarzenia logowania użytkownika w usłudze Microsoft Entra ID, możesz wymagać uwierzytelniania wieloskładnikowego (MFA) firmy Microsoft. Najlepszym sposobem ochrony użytkowników za pomocą usługi Microsoft Entra MFA jest utworzenie zasad dostępu warunkowego. Dostęp warunkowy to funkcja Microsoft Entra ID P1 lub P2, która umożliwia stosowanie reguł w celu wymagania uwierzytelniania wieloskładnikowego zgodnie z potrzebami w niektórych scenariuszach. Aby rozpocząć korzystanie z dostępu warunkowego, zobacz Samouczek: Zabezpieczanie zdarzeń logowania użytkownika przy użyciu uwierzytelniania wieloskładnikowego firmy Microsoft.
W przypadku dzierżaw usługi Microsoft Entra ID Free bez dostępu warunkowego można chronić użytkowników przy użyciu domyślnych ustawień zabezpieczeń. Użytkownicy są monitowani o uwierzytelnianie wieloskładnikowe zgodnie z potrzebami, ale nie można zdefiniować własnych reguł w celu kontrolowania zachowania.
W razie potrzeby możesz włączyć każde konto indywidualnie dla użytkownika Microsoft Entra MFA. Po włączeniu użytkowników indywidualnie wykonują uwierzytelnianie wieloskładnikowe za każdym razem, gdy się logują. Możesz włączyć wyjątki, na przykład w przypadku logowania się z zaufanych adresów IP lub gdy funkcja zapamiętywania uwierzytelniania wieloskładnikowego na zaufanych urządzeniach jest włączona.
Zmiana stanów użytkowników nie jest zalecana, chyba że licencje identyfikatora Entra firmy Microsoft nie zawierają dostępu warunkowego i nie chcesz używać wartości domyślnych zabezpieczeń. Aby uzyskać więcej informacji na temat różnych sposobów włączania uwierzytelniania wieloskładnikowego, zobacz Funkcje i licencje na uwierzytelnianie wieloskładnikowe firmy Microsoft.
Ważne
W tym artykule szczegółowo opisano sposób wyświetlania i zmieniania stanu uwierzytelniania wieloskładnikowego firmy Microsoft dla poszczególnych użytkowników. Jeśli używasz ustawień domyślnych dostępu warunkowego lub zabezpieczeń, nie przeglądasz ani nie włączasz kont użytkowników, wykonując te kroki.
Włączenie uwierzytelniania wieloskładnikowego firmy Microsoft za pomocą zasad dostępu warunkowego nie zmienia stanu użytkownika. Nie niepokój się, jeśli użytkownicy wydają się być nieaktywni. Dostęp warunkowy nie zmienia stanu.
Nie włączaj ani nie wymuszaj uwierzytelniania wieloskładnikowego Microsoft Entra na użytkownika, jeśli używasz zasad dostępu warunkowego.
Stany użytkownika uwierzytelniania wieloskładnikowego firmy Microsoft
Stan użytkownika odzwierciedla, czy administrator uwierzytelniania zarejestrował ich w wieloskładnikowym uwierzytelnianiu Microsoft Entra dla pojedynczych użytkowników. Konta użytkowników w usłudze Microsoft Entra multifactor authentication mają następujące trzy odrębne stany:
| Stan | opis | Dotyczy to starszego uwierzytelniania | Dotyczy to aplikacji przeglądarki | Dotyczy to nowoczesnego uwierzytelniania |
|---|---|---|---|---|
| Wyłączone | Domyślny stan użytkownika, który nie jest zarejestrowany w ramach wieloskładnikowego uwierzytelniania systemu Microsoft Entra dla poszczególnych użytkowników. | Nie | Nie | Nie |
| Włączona | Użytkownik jest zarejestrowany w uwierzytelnianiu wieloskładnikowym firmy Microsoft dla poszczególnych użytkowników, ale nadal może używać swojego hasła do starszego uwierzytelniania. Jeśli użytkownik nie ma zarejestrowanych metod uwierzytelniania wieloskładnikowego, otrzymuje monit o zarejestrowanie przy następnym logowaniu przy użyciu nowoczesnego uwierzytelniania (na przykład po zalogowaniu się w przeglądarce internetowej). | Nr. Starsze uwierzytelnianie nadal działa do momentu zakończenia procesu rejestracji. | Tak. Po wygaśnięciu sesji wymagana jest rejestracja wieloskładnikowego uwierzytelniania Microsoft Entra. | Tak. Po wygaśnięciu tokenu dostępu wymagana jest rejestracja uwierzytelniania wieloskładnikowego firmy Microsoft. |
| Wymuszone | Użytkownik jest zarejestrowany indywidualnie w usłudze uwierzytelniania wieloskładnikowego Microsoft Entra. Jeśli użytkownik nie ma zarejestrowanych metod uwierzytelniania, otrzymuje monit o zarejestrowanie przy następnym logowaniu przy użyciu nowoczesnego uwierzytelniania (na przykład po zalogowaniu się w przeglądarce internetowej). Użytkownicy, którzy ukończyli rejestrację po włączeniu, zostaną automatycznie przeniesieni do stanu Wymuszone. | Tak. Aplikacje wymagają haseł aplikacji. | Tak. Wymagane jest logowanie za pomocą Microsoft Entra uwierzytelniania wieloskładnikowego. | Tak. Uwierzytelnianie wieloskładnikowe Microsoft Entra jest wymagane przy logowaniu. |
Wszyscy użytkownicy zaczynają jako Wyłączony. Kiedy zarejestrujesz użytkowników w Microsoft Entra wieloskładnikowym uwierzytelnianiu, ich stan zmieni się na Włączone. Gdy funkcja jest włączona, użytkownicy logują się i kończą proces rejestracji, ich stan zmienia się na Wymuszone. Administratorzy mogą przenosić użytkowników między stanami, w tym z wymuszonego do włączonego lub wyłączonego.
Uwaga
Jeśli uwierzytelnianie wieloskładnikowe dla użytkownika jest ponownie włączone dla użytkownika, a użytkownik nie zarejestruje się ponownie, jego stan uwierzytelniania wieloskładnikowego nie zostanie przeniesiony z Włączone na Wymuszone w interfejsie użytkownika zarządzania uwierzytelnianiem wieloskładnikowym. Administrator musi przenieść użytkownika bezpośrednio do Enforced.
Wyświetlanie stanu użytkownika
Doświadczenie administracyjne MFA dla poszczególnych użytkowników w centrum administracyjnym Microsoft Entra zostało ostatnio ulepszone. Aby wyświetlić stany użytkowników i zarządzać nimi, wykonaj następujące kroki:
Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator zasad uwierzytelniania.
Przejdź do sekcji Tożsamość>Użytkownicy>Wszyscy użytkownicy.
Wybierz konto użytkownika i wybierz ustawienia uwierzytelniania wieloskładnikowego użytkownika.
Po dokonaniu jakichkolwiek zmian wybierz pozycję Zapisz.
Jeśli spróbujesz posortować tysiące użytkowników, wynik może zwrócić komunikat: brak użytkowników do wyświetlenia. Spróbuj wprowadzić bardziej szczegółowe kryteria wyszukiwania, aby zawęzić wyszukiwanie, lub zastosować określone filtry Stanu lub Wyświetl .
Zmienianie stanu użytkownika
Aby zmienić stan uwierzytelniania wieloskładnikowego dla poszczególnych użytkowników Microsoft Entra, wykonaj następujące kroki:
Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator zasad uwierzytelniania.
Przejdź do pozycji Tożsamość>Użytkownicy>Wszyscy użytkownicy.
Wybierz konto użytkownika i wybierz pozycję Włącz usługę MFA.
Napiwek
Włączeni użytkownicy są automatycznie przełączani na tryb wymuszony, gdy zarejestrują się do uwierzytelniania wieloskładnikowego Microsoft Entra. Nie należy ręcznie zmieniać stanu użytkownika na Wymuszone , chyba że użytkownik jest już zarejestrowany lub jeśli jest akceptowalny, aby użytkownik doświadczał przerw w nawiązywaniu połączeń ze starszymi protokołami uwierzytelniania.
Potwierdź wybór w wyskakującym oknie.
Po włączeniu użytkowników powiadom ich pocztą e-mail. Poinformuj użytkowników, że zostanie wyświetlony monit o zarejestrowanie się przy następnym zalogowaniu. Jeśli twoja organizacja używa aplikacji, które nie działają w przeglądarce lub obsługują nowoczesne uwierzytelnianie, możesz utworzyć hasła aplikacji. Aby uzyskać więcej informacji, zobacz Wymuszanie uwierzytelniania wieloskładnikowego Microsoft Entra z aplikacjami starszego typu, używając haseł aplikacji.
Zarządzanie usługą MFA dla poszczególnych użytkowników przy użyciu programu Microsoft Graph
Można zarządzać ustawieniami uwierzytelniania wieloskładnikowego dla poszczególnych użytkowników, korzystając z interfejsu API REST programu Microsoft Graph w wersji beta. Możesz użyć typu zasobu uwierzytelniania, aby uwidocznić stany metod uwierzytelniania dla użytkowników.
Aby zarządzać uwierzytelnianiem wieloskładnikowym dla każdego użytkownika, użyj właściwości perUserMfaState w users/id/authentication/requirements. Aby uzyskać więcej informacji, zobacz zasób typu wymaganiaSilnegoUwierzytelniania.
Wyświetl stan uwierzytelniania MFA dla każdego użytkownika
Aby pobrać stan uwierzytelniania wieloskładnikowego dla użytkownika:
GET /users/{id | userPrincipalName}/authentication/requirements
Na przykład:
GET https://graph.microsoft.com/beta/users/071cc716-8147-4397-a5ba-b2105951cc0b/authentication/requirements
Jeśli dla użytkownika jest włączone uwierzytelnianie wieloskładnikowe, odpowiedź brzmi:
HTTP/1.1 200 OK
Content-Type: application/json
{
"perUserMfaState": "enforced"
}
Aby uzyskać więcej informacji, zobacz Pobieranie stanów metod uwierzytelniania.
Zmienianie stanu uwierzytelniania wieloskładnikowego dla użytkownika
Aby zmienić stan uwierzytelniania wieloskładnikowego dla użytkownika, użyj elementu strongAuthenticationRequirements użytkownika. Na przykład:
PATCH https://graph.microsoft.com/beta/users/071cc716-8147-4397-a5ba-b2105951cc0b/authentication/requirements
Content-Type: application/json
{
"perUserMfaState": "disabled"
}
W przypadku powodzenia odpowiedź to:
HTTP/1.1 204 No Content
Aby uzyskać więcej informacji, zobacz Aktualizowanie stanów metod uwierzytelniania.
Następne kroki
Aby skonfigurować ustawienia uwierzytelniania wieloskładnikowego firmy Microsoft, zobacz Konfigurowanie ustawień uwierzytelniania wieloskładnikowego firmy Microsoft.
Aby zarządzać ustawieniami użytkownika dla uwierzytelniania wieloskładnikowego firmy Microsoft, zobacz Zarządzanie ustawieniami użytkownika za pomocą uwierzytelniania wieloskładnikowego firmy Microsoft.
Aby zrozumieć, z jakiego powodu użytkownik został poproszony lub nie został poproszony o wykonanie uwierzytelniania wieloskładnikowego, zobacz Raporty uwierzytelniania wieloskładnikowego Microsoft Entra.