Så här fungerar autentiseringsstyrkan för villkorsstyrd åtkomst
I det här avsnittet beskrivs hur autentiseringsstyrkan för villkorsstyrd åtkomst kan begränsa vilka autentiseringsmetoder som tillåts komma åt en resurs.
Så här fungerar autentiseringsstyrkan med principen Autentiseringsmetoder
Det finns två principer som avgör vilka autentiseringsmetoder som kan användas för att komma åt resurser. Om en användare är aktiverad för en autentiseringsmetod i någon av principerna kan de logga in med den metoden.
Principer för säkerhetsautentiseringsmetoder>>är ett modernare sätt att hantera autentiseringsmetoder för specifika användare och grupper. Du kan ange användare och grupper för olika metoder. Du kan också konfigurera parametrar för att styra hur en metod kan användas.
Säkerhet>Multifaktorautentisering>Ytterligare molnbaserade inställningar för multifaktorautentisering är ett äldre sätt att styra multifaktorautentiseringsmetoder för alla användare i klientorganisationen.
Användare kan registrera sig för autentiseringsmetoder som de är aktiverade för. En administratör kan också konfigurera en användares enhet med en metod, till exempel certifikatbaserad autentisering.
Hur en princip för autentiseringsstyrka utvärderas under inloggningen
Principen för villkorsstyrd åtkomst för autentiseringsstyrka definierar vilka metoder som kan användas. Microsoft Entra-ID kontrollerar principen under inloggningen för att fastställa användarens åtkomst till resursen. En administratör konfigurerar till exempel en princip för villkorsstyrd åtkomst med en anpassad autentiseringsstyrka som kräver en nyckel (FIDO2-säkerhetsnyckel) eller lösenord + textmeddelande. Användaren kommer åt en resurs som skyddas av den här principen.
Under inloggningen kontrolleras alla inställningar för att avgöra vilka metoder som tillåts, vilka metoder som är registrerade och vilka metoder som krävs av principen för villkorsstyrd åtkomst. För att logga in måste metoden tillåtas, registreras av användaren (antingen före eller som en del av åtkomstbegäran) och uppfylla autentiseringsstyrkan.
Hur flera principer för autentisering med villkorsstyrd åtkomst utvärderas
När flera principer för villkorsstyrd åtkomst gäller för inloggning måste alla villkor från alla principer i allmänhet uppfyllas. På samma sätt, när flera principer för autentisering med villkorsstyrd åtkomst gäller för inloggningen, måste användaren uppfylla alla villkor för autentiseringsstyrkan. Om två olika principer för autentiseringsstyrka kräver nyckel (FIDO2) kan användaren till exempel använda en FIDO2-säkerhetsnyckel för att uppfylla båda principerna. Om de två autentiseringshållfasthetsprinciperna har olika uppsättningar metoder måste användaren använda flera metoder för att uppfylla båda principerna.
Hur flera principer för autentisering med villkorsstyrd åtkomst utvärderas för registrering av säkerhetsinformation
För registrering av säkerhetsinformationsavbrott behandlas utvärderingen av autentiseringsstyrkan på olika sätt – autentiseringsstyrkor som riktar sig mot användaråtgärden registrering av säkerhetsinformation föredras framför andra autentiseringsstyrkaprinciper som riktar sig mot Alla resurser (tidigare "Alla molnappar"). Alla andra beviljandekontroller (till exempel Kräv att enheten markeras som kompatibel) från andra principer för villkorsstyrd åtkomst i omfånget för inloggningen gäller som vanligt.
Anta till exempel att Contoso vill kräva att användarna alltid loggar in med en multifaktorautentiseringsmetod och från en kompatibel enhet. Contoso vill också tillåta nya anställda att registrera dessa MFA-metoder med hjälp av ett tillfälligt åtkomstpass (TAP). TAP kan inte användas på någon annan resurs. För att uppnå det här målet kan administratören vidta följande steg:
- Skapa en anpassad autentiseringsstyrka med namnet Bootstrap och återställning som innehåller autentiseringskombinationen För tillfälligt åtkomstpass kan den även innehålla någon av MFA-metoderna.
- Skapa en anpassad autentiseringsstyrka med namnet MFA för inloggning som innehåller alla tillåtna MFA-metoder , utan tillfälligt åtkomstpass.
- Skapa en princip för villkorsstyrd åtkomst som riktar sig till Alla resurser (tidigare "Alla molnappar") och kräver MFA för inloggningsautentiseringsstyrka OCH Kräv kompatibla kontroller för enhetsbeviljande .
- Skapa en princip för villkorlig åtkomst som riktar sig till användaråtgärden Registrera säkerhetsinformation och kräver bootstrap- och återställningsautentiseringsstyrkan .
Därför skulle användare på en kompatibel enhet kunna använda ett tillfälligt åtkomstpass för att registrera valfri MFA-metod och sedan använda den nyligen registrerade metoden för att autentisera till andra resurser som Outlook.
Kommentar
Om flera principer för villkorsstyrd åtkomst är inriktade på användaråtgärden Registrera säkerhetsinformation och var och en tillämpar en autentiseringsstyrka, måste användaren uppfylla alla sådana autentiseringsstyrkor för att logga in.
Vissa lösenordslösa och nätfiskeresistenta metoder kan inte registreras från avbrottsläget. Mer information finns i Registrera metoder för lösenordsfri autentisering.
Användarupplevelse
Följande faktorer avgör om användaren får åtkomst till resursen:
- Vilken autentiseringsmetod användes tidigare?
- Vilka metoder är tillgängliga för autentiseringsstyrkan?
- Vilka metoder tillåts för användarinloggning i principen Autentiseringsmetoder?
- Är användaren registrerad för någon tillgänglig metod?
När en användare kommer åt en resurs som skyddas av en princip för villkorsstyrd åtkomst för autentiseringsstyrka utvärderar Microsoft Entra-ID om de metoder som de tidigare har använt uppfyller autentiseringsstyrkan. Om en tillfredsställande metod användes ger Microsoft Entra-ID åtkomst till resursen. Anta till exempel att en användare loggar in med lösenord + textmeddelande. De får åtkomst till en resurs som skyddas av MFA-autentiseringsstyrka. I det här fallet kan användaren komma åt resursen utan någon annan autentiseringsfråga.
Anta att de härnäst kommer åt en resurs som skyddas av nätfiskeresistent MFA-autentiseringsstyrka. I det här läget uppmanas de att tillhandahålla en nätfiskeresistent autentiseringsmetod, till exempel Windows Hello för företag.
Om användaren inte har registrerat sig för några metoder som uppfyller autentiseringsstyrkan omdirigeras de till kombinerad registrering.
Användarna måste bara registrera en autentiseringsmetod som uppfyller kraven på autentiseringsstyrka.
Om autentiseringsstyrkan inte innehåller en metod som användaren kan registrera och använda blockeras användaren från att logga in på resursen.
Registrera lösenordslösa autentiseringsmetoder
Följande autentiseringsmetoder kan inte registreras som en del av det kombinerade registreringsavbrottsläget. Kontrollera att användarna är registrerade för dessa metoder innan du tillämpar en princip för villkorsstyrd åtkomst som kan kräva att de används för inloggning. Om en användare inte är registrerad för dessa metoder kan de inte komma åt resursen förrän den obligatoriska metoden har registrerats.
| Metod | Registreringskrav |
|---|---|
| Microsoft Authenticator (telefoninloggning) | Kan registreras från Authenticator-appen. |
| Nyckel(FIDO2) | Kan registreras med kombinerat registreringshanterat läge och framtvingas av autentiseringsstyrkor med hjälp av kombinerat registreringsguideläge |
| Certifikatbaserad autentisering | Kräver administratörskonfiguration. kan inte registreras av användaren. |
| Windows Hello för företag | Kan registreras i Windows Out of Box Experience (OOBE) eller menyn Windows-inställningar. |
Federerad användarupplevelse
För federerade domäner kan MFA framtvingas av villkorsstyrd åtkomst i Microsoft Entra eller av den lokala federationsprovidern genom att ange federatedIdpMfaBehavior. Om inställningen federatedIdpMfaBehavior är inställd på att framtvingaMfaByFederatedIdp måste användaren autentisera på sin federerade IdP och kan bara uppfylla den federerade Multi-Factor-kombinationen av kravet på autentiseringsstyrka. Mer information om federationsinställningarna finns i Planera stöd för MFA.
Om en användare från en federerad domän har inställningar för multifaktorautentisering i omfånget för stegvis distribution kan användaren slutföra multifaktorautentisering i molnet och uppfylla någon av de federerade enfaktorsinställningarna + något du har kombinationer. Mer information om stegvis distribution finns i Aktivera stegvis distribution.