System föredragen multifaktorautentisering – Princip för autentiseringsmetoder
Systemförvald multifaktorautentisering (MFA) uppmanar användarna att logga in med den säkraste metoden de registrerade. Det är en viktig säkerhetsförbättring för användare som autentiserar med hjälp av telekommunikationstransporter. Administratörer kan aktivera system föredragen MFA för att förbättra inloggningssäkerheten och avskräcka från mindre säkra inloggningsmetoder som Sms (Short Message Service).
Till exempel, om en användare har registrerat både SMS och Microsoft Authenticator-pushmeddelanden som metoder för MFA, föredrar systemets MFA att användaren uppmanas att logga in med den säkrare pushmeddelandemetoden. Användaren kan fortfarande välja att logga in med hjälp av en annan metod, men de uppmanas först att prova den säkraste metoden som de registrerade.
System föredragen MFA är en Microsoft-hanterad inställning, vilket är en tristate-princip. Microsofts hanterade värde för system föredragen MFA är Aktiverad. Om du inte vill aktivera system föredragen MFA ändrar du tillståndet från Microsoft som hanteras till Inaktiverad eller exkluderar användare och grupper från principen.
När system föredragen MFA har aktiverats utför autentiseringssystemet allt arbete. Användarna behöver inte ange någon autentiseringsmetod som standard eftersom systemet alltid fastställer och presenterar den säkraste metoden som de registrerade.
Aktivera system föredragen MFA i administrationscentret för Microsoft Entra
Som standard är system föredragen MFA Microsoft-hanterad och inaktiverad för alla användare.
Logga in på administrationscentret för Microsoft Entra som minst administratör för autentiseringsprinciper.
Bläddra till Inställningar för skyddsautentiseringsmetoder>>.
För system föredragen multifaktorautentisering väljer du om du uttryckligen vill aktivera eller inaktivera funktionen och inkludera eller exkludera alla användare. Exkluderade grupper har företräde framför inkluderingsgrupper.
Följande skärmbild visar till exempel hur du gör system föredragen MFA explicit aktiverad för endast gruppen Teknik.
När du har gjort ändringarna klickar du på Spara.
Aktivera system föredragen MFA med graph-API:er
Om du vill aktivera systemförvalt MFA i förväg måste du välja en enda målgrupp för schemakonfigurationen, som du ser i exemplet Begäran .
Egenskaper för funktionskonfiguration för autentiseringsmetod
Som standard är system föredragen MFA Microsoft-hanterad och aktiverad.
| Property | Type | Beskrivning |
|---|---|---|
| excludeTarget | featureTarget | En enda entitet som undantas från den här funktionen. Du kan bara exkludera en grupp från system föredragen MFA, som kan vara en dynamisk eller kapslad grupp. |
| includeTarget | featureTarget | En enda entitet som ingår i den här funktionen. Du kan bara inkludera en grupp för system föredragen MFA, som kan vara en dynamisk eller kapslad grupp. |
| Tillstånd | advancedConfigState | Möjliga värden är: aktiverad aktiverar uttryckligen funktionen för den valda gruppen. inaktiveras inaktiveras uttryckligen funktionen för den valda gruppen. standard tillåter Microsoft Entra-ID att hantera om funktionen är aktiverad eller inte för den valda gruppen. |
Egenskaper för funktionsmål
System föredragen MFA kan endast aktiveras för en enskild grupp, som kan vara en dynamisk eller kapslad grupp.
| Property | Type | Beskrivning |
|---|---|---|
| ID | String | ID för den entitet som är mål. |
| targetType | featureTargetType | Den typ av entitet som är riktad, till exempel grupp, roll eller administrativ enhet. Möjliga värden är: "group", "administrativeUnit", "role", "unknownFutureValue". |
Använd följande API-slutpunkt för att aktivera systemCredentialPreferences och inkludera eller exkludera grupper:
https://graph.microsoft.com/v1.0/policies/authenticationMethodsPolicy
Kommentar
I Graph Explorer måste du godkänna behörigheten Policy.ReadWrite.AuthenticationMethod .
Förfrågan
I följande exempel undantas en exempelmålgrupp och alla användare ingår. Mer information finns i Uppdatera autentiseringMethodsPolicy.
PATCH https://graph.microsoft.com/v1.0/policies/authenticationMethodsPolicy
Content-Type: application/json
{
"systemCredentialPreferences": {
"state": "enabled",
"excludeTargets": [
{
"id": "d1411007-6fcf-4b4c-8d70-1da1857ed33c",
"targetType": "group"
}
],
"includeTargets": [
{
"id": "all_users",
"targetType": "group"
}
]
}
}
Vanliga frågor
Hur avgör system föredragen MFA den säkraste metoden?
När en användare loggar in kontrollerar autentiseringsprocessen vilka autentiseringsmetoder som är registrerade för användaren. Användaren uppmanas att logga in med den säkraste metoden enligt följande ordning. Autentiseringsmetodernas ordning är dynamisk. Det uppdateras när säkerhetslandskapet ändras och när bättre autentiseringsmetoder dyker upp. På grund av kända problem med certifikatbaserad autentisering (CBA) och system föredragen MFA flyttade vi CBA till botten av listan. Klicka på länken för mer information om varje metod.
- Tillfälligt åtkomstpass
- Nyckel (FIDO2)
- Microsoft Authenticator-meddelanden
- Tidsbaserat engångslösenord (TOTP)1
- Telefoni2
- Certifikatbaserad autentisering
1Innehåller maskin- eller programvaru-TOTP från Microsoft Authenticator, Authenticator Lite eller program från tredje part.
2Inkluderar SMS och röstsamtal.
Hur påverkar system föredragen MFA NPS-tillägget?
System föredragen MFA påverkar inte användare som loggar in med hjälp av NPS-tillägget (Network Policy Server). Dessa användare ser ingen ändring i inloggningsupplevelsen.
Vad händer för användare som inte anges i principen Autentiseringsmetoder men som är aktiverade i den äldre MFA-principen för hela klientorganisationen?
System föredragen MFA gäller även för användare som är aktiverade för MFA i den äldre MFA-principen.
