Microsoft Entra-rekommendation: Växla från MFA per användare till MFA för villkorsstyrd åtkomst
Microsoft Entra-rekommendationer är en funktion som ger dig anpassade insikter och praktisk, handlingsbar vägledning för att synkronisera din klientorganisation med rekommenderade bästa praxis.
Den här artikeln beskriver rekommendationen att växla MFA-konton (multifaktorautentisering per användare) till MFA-konton med villkorsstyrd åtkomst. Den här rekommendationen anropas switchFromPerUserMFA
i API:et för rekommendationer i Microsoft Graph.
beskrivning
Som administratör vill du upprätthålla säkerheten för företagets resurser, men du vill också att dina anställda enkelt ska få åtkomst till resurser efter behov. Med MFA kan du förbättra klientens säkerhetsläge.
I din klientorganisation kan du aktivera MFA per användare. I det här scenariot utför användarna MFA varje gång de loggar in. Det finns vissa undantag, till exempel när de loggar in från betrodda IP-adresser eller när funktionen "kom ihåg MFA på betrodda enheter" är aktiverad. Det är bra att aktivera MFA, men att byta MFA per användare till MFA baserat på villkorsstyrd åtkomst kan minska antalet gånger användarna uppmanas att använda MFA.
Den här rekommendationen visas om:
- Du har konfigurerat MFA per användare för minst 5 % av användarna.
- Principer för villkorsstyrd åtkomst är aktiva för mer än 1 % av användarna (vilket anger att du är bekant med principer för villkorsstyrd åtkomst).
Värde
Den här rekommendationen förbättrar användarens produktivitet och minimerar inloggningstiden med färre MFA-frågor. Villkorsstyrd åtkomst och MFA som används tillsammans hjälper till att säkerställa att dina mest känsliga resurser kan ha de strängaste kontrollerna, medan dina minst känsliga resurser kan vara mer fritt tillgängliga. En översikt över tillgängliga funktioner i villkorlig åtkomst finns i Skapa en princip för villkorlig åtkomst.
Åtgärdsplan
Kräv MFA med hjälp av en princip för villkorsstyrd åtkomst.
- Aktivera Microsoft Entra multifaktorautentisering med villkorlig åtkomst.
- Se till att du täcker alla resurser och användare som du vill skydda med MFA.
Kontrollera att MFA-konfigurationen per användare är inaktiverad.
- Logga in på administrationscentret för Microsoft Entra med minst behörigheten Administratör för autentiseringspolicy.
- Bläddra till Användare>Alla användare och välj knappen MFA per användare.
- Välj Inaktivera MFA- för alla användare som har det här alternativet aktiverat.
När alla användare har migrerats till MFA-konton för villkorsstyrd åtkomst uppdateras rekommendationsstatusen automatiskt nästa gång tjänsten körs. Fortsätt att granska dina principer för villkorsstyrd åtkomst.