通过

系统首选的多重身份验证 - 身份验证方法策略

  • 项目

系统首选的多重身份验证 (MFA) 将提示用户使用其注册的最安全的方法进行登录。 对于使用电信传输进行身份验证的用户来说,这是一项重要的安全增强功能。 管理员可以启用系统首选的 MFA 以提高登录安全性,并建议用户不要使用如短信服务 (SMS) 等安全性较低的登录方法。

例如,如果用户将短信和 Microsoft Authenticator 推送通知注册为 MFA 方法,则系统首选的 MFA 会提示用户使用更安全的推送通知方法进行登录。 用户仍可以选择使用其他方法进行登录,但系统会首先提示他们尝试注册的最安全方法。

系统首选的 MFA 是 Microsoft 托管设置,它是一种三态策略。 系统首选 MFA 的“Microsoft 托管”值已“启用”。 如果不想启用系统首选的 MFA,可将状态从“Microsoft 托管”更改为“禁用”,或从策略中排除用户和组。

启用系统首选的 MFA 后,身份验证系统将完成所有工作。 用户不需要将任何身份验证方法设置为默认方法,因为系统始终会确定并呈现他们注册的最安全方法。

在 Microsoft Entra 管理中心内启用系统首选的 MFA

默认情况下,系统首选的 MFA 由 Microsoft 管理,并且对所有用户禁用。

  1. 至少以身份验证策略管理员的身份登录到 Microsoft Entra 管理中心

  2. 浏览到“保护”>“身份验证方法”>“设置”。

  3. 对于“系统首选多重身份验证”,请选择是否显式启用或禁用该功能,以及包括或排除任何用户。 排除组优先于包含组。

    例如,以下屏幕截图显示了如何仅为工程组显式启用系统首选 MFA。

    显示如何为“推送身份验证”模式启用 Microsoft Authenticator 设置的屏幕截图。

  4. 完成任何更改后,单击“保存”。

使用图形 API 启用系统首选 MFA

若要提前启用系统首选的 MFA,需要为架构配置选择单个目标组,如请求示例所示。

身份验证方法功能配置属性

默认情况下,系统首选的 MFA 为 Microsoft 托管并且已启用。

属性 类型​​ 说明
excludeTarget featureTarget 从此功能中排除的单个实体。
只能从系统首选的 MFA 中排除一个组,它可以是动态组或嵌套组。
includeTarget featureTarget 此功能中包含的单个实体。
只能在系统首选的 MFA 中包含一个组,它可以是动态组或嵌套组。
状态 advancedConfigState 可能的值为:
enabled 为所选组显式启用该功能。
disabled 为所选组显式禁用该功能。
“default”允许 Microsoft Entra ID 管理为所选组启用或禁用该功能。

功能目标属性

只能为单个组启用系统首选的 MFA,它可以是动态组或嵌套组。

属性 类型​​ 描述
ID String 目标实体的 ID。
targetType featureTargetType 目标实体的种类,例如组、角色或管理单元。 可能的值为:“group”、“administrativeUnit”、“role”、“unknownFutureValue”。

使用以下 API 终结点启用 systemCredentialPreferences 并包括或排除组:

https://graph.microsoft.com/v1.0/policies/authenticationMethodsPolicy

注意

在 Graph 浏览器中,需要同意 Policy.ReadWrite.AuthenticationMethod 权限。

请求

以下示例排除了示例目标组,并包括所有用户。 有关详细信息,请参阅更新 authenticationMethodsPolicy

PATCH https://graph.microsoft.com/v1.0/policies/authenticationMethodsPolicy
Content-Type: application/json

{
    "systemCredentialPreferences": {
        "state": "enabled",
        "excludeTargets": [
            {
                "id": "d1411007-6fcf-4b4c-8d70-1da1857ed33c",
                "targetType": "group"
            }
        ],
        "includeTargets": [
            {
                "id": "all_users",
                "targetType": "group"
            }
        ]
    }
}

常见问题解答

系统首选的 MFA 如何确定最安全的方法?

当用户登录时,身份验证过程会检查为用户注册了哪些身份验证方法。 系统会按照以下顺序提示用户使用最安全的方法进行登录。 身份验证方法的顺序是动态的。 随着安全环境的变化以及更好的身份验证方法的出现,它会进行更新。 由于基于证书的身份验证 (CBA) 和系统首选的 MFA 都存在已知问题,我们已将 CBA 移至列表底部。 单击链接获取有关每个方法的更多信息。

  1. 临时访问密码
  2. 通行密钥 (FIDO2)
  3. Microsoft Authenticator 通知
  4. 基于时间的一次性密码 (TOTP)1
  5. 电话服务2
  6. 基于证书的身份验证

1 包括来自 Microsoft Authenticator、Authenticator Lite 或第三方应用程序的硬件或软件 TOTP。

2 包括短信和语音通话。

系统首选的 MFA 对 NPS 扩展有何影响?

系统首选的 MFA 不会影响使用网络策略服务器 (NPS) 扩展进行登录的用户。 这些用户的登录体验不会发生任何改变。

对于未在身份验证方法策略中指定,但已在旧式 MFA 租户范围策略中启用的用户,会发生什么情况?

系统首选的 MFA 也适用于在旧式 MFA 策略中启用了 MFA 的用户。

旧式 MFA 设置的屏幕截图。

后续步骤