Poznámka
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Systémově upřednostňované vícefaktorové ověřování (MFA) vyzve uživatele, aby se přihlásili pomocí nejbezpečnější metody, kterou zaregistrovali. Jedná se o důležité vylepšení zabezpečení pro uživatele, kteří se ověřují pomocí telekomunikačních přenosů. Správci můžou povolit vícefaktorové ověřování upřednostňované systémem, aby zlepšili zabezpečení přihlašování a nedoporučujeme méně bezpečné metody přihlašování, jako je Short Message Service (SMS).
Pokud si například uživatel zaregistroval jak nabízené oznámení SMS, tak i Microsoft Authenticator jako metody vícefaktorového ověřování, systémem preferované vícefaktorové ověřování vyzve uživatele, aby se přihlásil pomocí bezpečnější metody nabízených oznámení. Uživatel se stále může přihlásit pomocí jiné metody, ale nejdřív se zobrazí výzva k vyzkoušení nejbezpečnější metody, kterou zaregistroval.
Vícefaktorové ověřování upřednostňované systémem je nastavení spravované Microsoftem, což je zásada tristate. Hodnota spravované Microsoftem pro systémově upřednostňované vícefaktorové ověřování (MFA) je povolená. Pokud nechcete povolit MFA (vícefaktorové ověřování) preferované systémem, změňte stav ze Microsoft spravováno na Zakázáno nebo vylučte uživatele a skupiny ze zásad.
Po povolení vícefaktorového ověřování preferovaného systémem systém ověřování odvede veškerou práci. Uživatelé nemusí jako výchozí nastavit žádnou metodu ověřování, protože systém vždy určí a prezentuje nejbezpečnější metodu, kterou si zaregistrovali.
Povolení systémem upřednostňovaného vícefaktorového ověřování v Centru pro správu Microsoft Entra
Ve výchozím nastavení je vícefaktorové ověřování spravované společností Microsoft a zakázané pro všechny uživatele.
Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce zásad ověřování.
Přejděte na Entra ID>metody ověřování>Nastavení.
U vícefaktorového ověřování upřednostňovaného systémem zvolte, jestli chcete tuto funkci explicitně povolit nebo zakázat, a zahrnout nebo vyloučit všechny uživatele. Vyloučené skupiny mají přednost před zahrnutými skupinami.
Například následující snímek obrazovky ukazuje, jak explicitně povolit vícefaktorové ověřování upřednostňované systémem pouze pro skupinu inženýrů.
Po dokončení změn klikněte na Uložit.
Povolit vícefaktorové ověřování upřednostňované systémem pomocí Graph API
Pokud chcete vícefaktorové ověřování upřednostňované systémem povolit předem, musíte pro konfiguraci schématu zvolit jednu cílovou skupinu, jak je znázorněno v příkladu požadavku .
Vlastnosti konfigurace funkce metody ověřování
Ve výchozím nastavení je systémem upřednostňované MFA spravované Microsoftem a povolené.
| Majetek | Typ | Popis |
|---|---|---|
| vyloučitCíl | funkceCíl | Jedna entita, která je vyloučena z této funkce. Z vícefaktorového ověřování upřednostňovaného systémem můžete vyloučit jenom jednu skupinu, což může být dynamická nebo vnořená skupina. |
| includeTarget | funkceCíl | Jedna entita, která je součástí této funkce. Pro vícefaktorové ověřování upřednostňované systémem můžete zahrnout jenom jednu skupinu, což může být dynamická nebo vnořená skupina. |
| Stát | advancedConfigState | Možné hodnoty jsou: Povoleno explicitně povolí funkci pro vybranou skupinu. zakázáno explicitně zakáže funkci pro vybranou skupinu. Ve výchozím nastavení umožňuje ID Microsoft Entra spravovat, jestli je funkce povolená nebo ne pro vybranou skupinu. |
Vlastnosti cílových prvků
Vícefaktorové ověřování upřednostňované systémem je možné povolit jenom pro jednu skupinu, což může být dynamická nebo vnořená skupina.
| Majetek | Typ | Popis |
|---|---|---|
| Identifikátor | řetězec | ID cílové entity. |
| typ cíle | typ cílové vlastnosti | Typ entity, na který cílí, například skupina, role nebo jednotka pro správu. Možné hodnoty jsou: group, administrativeUnit, role, unknownFutureValue. |
Pomocí následujícího koncového bodu rozhraní API povolte systemCredentialPreferences a zahrňte nebo vylučte skupiny:
https://graph.microsoft.com/v1.0/policies/authenticationMethodsPolicy
Poznámka:
V Graph Exploreru potřebujete souhlas s oprávněním Policy.ReadWrite.AuthenticationMethod .
Žádost
Následující příklad vylučuje ukázkovou cílovou skupinu a zahrnuje všechny uživatele. Další informace naleznete v tématu Update authenticationMethodsPolicy.
PATCH https://graph.microsoft.com/v1.0/policies/authenticationMethodsPolicy
Content-Type: application/json
{
"systemCredentialPreferences": {
"state": "enabled",
"excludeTargets": [
{
"id": "d1411007-6fcf-4b4c-8d70-1da1857ed33c",
"targetType": "group"
}
],
"includeTargets": [
{
"id": "all_users",
"targetType": "group"
}
]
}
}
Často kladené dotazy
Jak vícefaktorové ověřování preferované systémem určuje nejbezpečnější metodu?
Když se uživatel přihlásí, proces ověřování zkontroluje, které metody ověřování jsou pro uživatele zaregistrované. Uživateli se zobrazí výzva k přihlášení pomocí nejbezpečnější metody podle následujícího pořadí. Pořadí metod ověřování je dynamické. Aktualizuje se, jak se mění prostředí zabezpečení a jak se objevují lepší metody ověřování. Kvůli známým problémům s ověřováním na základě certifikátů (CBA) a systémem upřednostňovaným vícefaktorovým ověřováním jsme přesunuli CBA na konec seznamu. Kliknutím na odkaz zobrazíte další informace o jednotlivých metodách.
- Dočasný přístupový průkaz
- Klíč (FIDO2)
- Metody externího ověřování
- Oznámení Microsoft Authenticatoru
- Jednorázové heslo založené na čase (TOTP)1
- Telefonie2
- Ověřování na základě certifikátů
1Zahrnuje hardwarové nebo softwarové TOTP z aplikací Microsoft Authenticator, Authenticator Lite nebo aplikací třetích stran.
2Zahrnuje SMS a hlasové hovory.
Jaký dopad má systémem upřednostňované vícefaktorové ověřování na rozšíření NPS?
Vícefaktorové ověřování upřednostňované systémem nemá vliv na uživatele, kteří se přihlašují pomocí rozšíření NPS (Network Policy Server). Tito uživatelé nevidí žádnou změnu svého přihlašovacího prostředí.
Co se stane s uživateli, kteří nejsou uvedeni v zásadách metod ověřování, ale jsou povoleni ve starších zásadách tenanta MFA?
Vícefaktorové ověřování upřednostňované systémem platí také pro uživatele, kteří mají povolené vícefaktorové ověřování ve starších zásadách vícefaktorového ověřování.
