Рекомендация Microsoft Entra: переход с MFA для каждого пользователя на MFA условного доступа
В этой статье рассматриваются рекомендации по переключении учетных записей многофакторной проверки подлинности для каждого пользователя на учетные записи MFA условного доступа. Эта рекомендация называется switchFromPerUserMFA
в API рекомендаций в Microsoft Graph.
Описание
Как администратор, вы хотите обеспечить безопасность ресурсов вашей компании, но вы также хотите, чтобы сотрудники легко получать доступ к ресурсам по мере необходимости. МФА позволяет улучшить состояние безопасности вашего тенанта.
В своем клиенте вы можете включить многофакторную идентификацию (MFA) для каждого пользователя. В этом сценарии пользователи выполняют многофакторную проверку подлинности при каждом входе. Существуют некоторые исключения, например при входе из доверенных IP-адресов или при включении функции "помнить MFA на доверенных устройствах". Хотя включение MFA является хорошей практикой, переключение от индивидуального MFA к MFA на основе условного доступа может уменьшить количество запросов на MFA для ваших пользователей.
Эта рекомендация отображается, если:
- Многофакторная аутентификация настроена для не менее чем 5% ваших пользователей.
- Политики условного доступа активны для более чем 1% пользователей (что указывает на знакомство с политиками условного доступа).
Значение
Эта рекомендация повышает производительность пользователя и сокращает время входа с меньшим количеством запросов многофакторной проверки подлинности (MFA). Условный доступ и MFA, используемые вместе, помогают гарантировать, что наиболее конфиденциальные ресурсы могут иметь самые жесткие элементы управления, в то время как наименее конфиденциальные ресурсы могут быть более доступными. Общие сведения о доступных функциях условного доступа см. в статье "Создание политики условного доступа".
План действий
Требуется использование многофакторной аутентификации при помощи политики условного доступа.
- Включить многофакторную аутентификацию Microsoft Entra с помощьюусловного доступа.
- Убедитесь, что вы охватываете все ресурсы и пользователей, которые вы хотите защищать с помощью многофакторной проверки подлинности (MFA).
Убедитесь, что многофакторная проверка подлинности (MFA) для каждого пользователя выключена.
- Войдите в центр администрирования Microsoft Entra как по крайней мере администратор политики проверки подлинности .
- Перейдите к Пользователи>Все Пользователи и выберите кнопку MFA для пользователей.
- Выберите Отключить MFA для всех пользователей, которые включили этот параметр.
После миграции всех пользователей на учетные записи MFA условного доступа состояние рекомендации автоматически обновляется при следующем запуске службы. Продолжайте просматривать политики условного доступа.