Microsoft Entra-Empfehlung: Umstellen von MFA pro Benutzer auf MFA mit bedingtem Zugriff

Microsoft Entra-Empfehlungen sind ein Feature, das Ihnen personalisierte Erkenntnisse und handlungsrelevante Anleitungen bietet, um Ihren Mandanten an empfohlenen Best Practices auszurichten.

Dieser Artikel behandelt die Empfehlung, Konten mit Multi-Faktor-Authentifizierung (MFA) pro Benutzer in MFA-Konten mit bedingtem Zugriff umzuwandeln. Diese Empfehlung wird in der Empfehlungen-API in Microsoft Graph switchFromPerUserMFA genannt.

BESCHREIBUNG

Als Administrator möchten Sie die Sicherheit der Unternehmensressourcen gewährleisten. Sie möchten aber auch, dass Ihre Mitarbeiter*innen bei Bedarf problemlos auf Ressourcen zugreifen können. Durch MFA können Sie den Sicherheitsstatus Ihres Mandanten verbessern.

In Ihrem Mandanten können Sie MFA pro Benutzer aktivieren. In diesem Szenario führen Ihre Benutzer bei jeder Anmeldung MFA aus. Es gibt einige Ausnahmen, z. B. wenn sie sich von vertrauenswürdigen IP-Adressen aus anmelden oder wenn das Feature zum Speichern von MFA auf vertrauenswürdigen Geräten aktiviert ist. Die Aktivierung von MFA stellt zwar eine bewährte Methode dar, aber die Umstellung von MFA pro Benutzer auf MFA basierend auf bedingtem Zugriff kann dazu führen, dass Ihre Benutzer weniger oft zur MFA aufgefordert werden.

Diese Empfehlung wird angezeigt, wenn Folgendes zutrifft:

• Sie haben die benutzerspezifische MFA für mindestens 5 % Ihrer Benutzer konfiguriert.
• Richtlinien für bedingten Zugriff sind für mehr als 1 % Ihrer Benutzer aktiv (was auf Vertrautheit mit diesen Richtlinien für bedingten Zugriff hinweist).

Wert

Diese Empfehlung verbessert die Produktivität Ihres Benutzers und minimiert die Anmeldezeit mit weniger MFA-Eingabeaufforderungen. Durch den gemeinsamen Einsatz von bedingtem Zugriff und MFA wird sichergestellt, dass für Ihre vertraulichsten Ressourcen die strengsten Kontrollen gelten, während Ihre am wenigsten vertraulichen Ressourcen freier zugänglich sein können. Eine Übersicht über die verfügbaren Funktionen im bedingten Zugriff finden Sie unter Erstellen einer Richtlinie für bedingten Zugriff.

Maßnahmenplan

1. Vergewissern Sie sich, dass eine Richtlinie für bedingten Zugriff mit einer MFA-Anforderung vorhanden ist. Sorgen Sie dafür, dass Sie alle Ressourcen und Benutzer abdecken, die Sie mit MFA schützen möchten.

   • Überprüfen Sie Ihre Richtlinien für bedingten Zugriff.

2. Fordern Sie MFA unter Verwendung einer Richtlinie für bedingten Zugriff an.

   • Schützen von Benutzeranmeldeereignissen mit der Multi-Faktor-Authentifizierung in Microsoft Entra.

3. Stellen Sie sicher, dass die Konfiguration von MFA pro Benutzer deaktiviert ist.

Nachdem alle Benutzer*innen zu MFA-Konten mit bedingtem Zugriff migriert wurden, wird der Empfehlungsstatus bei der nächsten Ausführung des Diensts automatisch aktualisiert. Überprüfen Sie weiterhin Ihre Richtlinien für bedingten Zugriff, um die allgemeine Integrität Ihres Mandanten zu verbessern.

Nächste Schritte

• Lesen Sie die Übersicht über Microsoft Entra-Empfehlungen.
• Erfahren Sie, wie Sie Microsoft Entra-Empfehlungen verwenden
• Sehen Sie sich die Microsoft Graph-API-Eigenschaften an, um Empfehlungen zu erhalten.
• Erfahren Sie mehr zum Anfordern von MFA mit bedingtem Zugriff für alle Benutzer.
• Tutorial für die MFA-Richtlinie für bedingten Zugriff anzeigen