Рекомендация Microsoft Entra: переход с MFA для каждого пользователя на MFA условного доступа

Рекомендации Microsoft Entra — это функция, которая предоставляет персонализированных аналитических сведений и практические рекомендации по согласованию клиента с рекомендуемыми рекомендациями.

В этой статье рассматриваются рекомендации по переключении учетных записей многофакторной проверки подлинности для каждого пользователя на учетные записи MFA условного доступа. Эта рекомендация вызывается switchFromPerUserMFA в API рекомендаций в Microsoft Graph.

Description

Как администратор, вы хотите обеспечить безопасность ресурсов вашей компании, но вы также хотите, чтобы сотрудники легко получать доступ к ресурсам по мере необходимости. Многофакторная проверка подлинности позволяет повысить уровень безопасности арендатора.

В своем клиенте вы можете включить многофакторную идентификацию (MFA) для каждого пользователя. В этом сценарии пользователи выполняют многофакторную проверку подлинности при каждом входе. Существуют некоторые исключения, например при входе из доверенных IP-адресов или при включении функции "помнить MFA на доверенных устройствах". Хотя включение MFA является хорошей практикой, переключение MFA на пользователя на MFA на основе условного доступа может уменьшить количество запросов пользователей на MFA.

Эта рекомендация отображается, если:

• Многофакторная проверка подлинности пользователя настроена не менее чем на 5% пользователей.
• Политики условного доступа активны для более чем 1% пользователей (что указывает на знакомство с политиками условного доступа).

Значение

Эта рекомендация повышает производительность пользователя и сокращает время входа с меньшим количеством запросов многофакторной проверки подлинности (MFA). Условный доступ и MFA, используемые вместе, помогают гарантировать, что наиболее конфиденциальные ресурсы могут иметь самые жесткие элементы управления, в то время как наименее конфиденциальные ресурсы могут быть более доступными. Общие сведения о доступных функциях условного доступа см. в статье "Создание политики условного доступа".

План действий

1. Убедитесь, что существует существующая политика условного доступа с требованием MFA. Убедитесь, что вы охватываете все ресурсы и пользователей, которые вы хотите защищать с помощью многофакторной проверки подлинности (MFA).

   • Просмотрите политики условного доступа.

2. Требовать многофакторную проверку подлинности с помощью политики условного доступа.

   • Защита событий входа пользователей с помощью многофакторной проверки подлинности Microsoft Entra.

3. Убедитесь, что многофакторная проверка подлинности (MFA) для каждого пользователя выключена.

После миграции всех пользователей на учетные записи MFA условного доступа состояние рекомендации автоматически обновляется при следующем запуске службы. Продолжайте просматривать политики условного доступа.

Связанный контент

• Использование рекомендаций Microsoft Entra
• API Microsoft Graph для рекомендаций
• Политика MFA и условного доступа
• Руководство по политике MFA и условного доступа