Поделиться через


Рекомендация Microsoft Entra: переход с MFA для каждого пользователя на MFA условного доступа

Рекомендации Microsoft Entra — это функция, которая предоставляет персонализированные инсайты и практические советы по согласованию арендатора с рекомендуемыми лучшими практиками.

В этой статье рассматриваются рекомендации по переключении учетных записей многофакторной проверки подлинности для каждого пользователя на учетные записи MFA условного доступа. Эта рекомендация называется switchFromPerUserMFA в API рекомендаций в Microsoft Graph.

Описание

Как администратор, вы хотите обеспечить безопасность ресурсов вашей компании, но вы также хотите, чтобы сотрудники легко получать доступ к ресурсам по мере необходимости. МФА позволяет улучшить состояние безопасности вашего тенанта.

В своем клиенте вы можете включить многофакторную идентификацию (MFA) для каждого пользователя. В этом сценарии пользователи выполняют многофакторную проверку подлинности при каждом входе. Существуют некоторые исключения, например при входе из доверенных IP-адресов или при включении функции "помнить MFA на доверенных устройствах". Хотя включение MFA является хорошей практикой, переключение от индивидуального MFA к MFA на основе условного доступа может уменьшить количество запросов на MFA для ваших пользователей.

Эта рекомендация отображается, если:

  • Многофакторная аутентификация настроена для не менее чем 5% ваших пользователей.
  • Политики условного доступа активны для более чем 1% пользователей (что указывает на знакомство с политиками условного доступа).

Значение

Эта рекомендация повышает производительность пользователя и сокращает время входа с меньшим количеством запросов многофакторной проверки подлинности (MFA). Условный доступ и MFA, используемые вместе, помогают гарантировать, что наиболее конфиденциальные ресурсы могут иметь самые жесткие элементы управления, в то время как наименее конфиденциальные ресурсы могут быть более доступными. Общие сведения о доступных функциях условного доступа см. в статье "Создание политики условного доступа".

План действий

  1. Требуется использование многофакторной аутентификации при помощи политики условного доступа.

  2. Убедитесь, что многофакторная проверка подлинности (MFA) для каждого пользователя выключена.

    1. Войдите в центр администрирования Microsoft Entra как по крайней мере администратор политики проверки подлинности .
    2. Перейдите к Пользователи>Все Пользователи и выберите кнопку MFA для пользователей.

    снимок экрана: кнопка MFA для каждого пользователя в Центре администрирования Microsoft Entra.

    1. Выберите Отключить MFA для всех пользователей, которые включили этот параметр.

    снимок экрана: параметры MFA для каждого пользователя в Центре администрирования.

После миграции всех пользователей на учетные записи MFA условного доступа состояние рекомендации автоматически обновляется при следующем запуске службы. Продолжайте просматривать политики условного доступа.