Felhasználónkénti Microsoft Entra többtényezős hitelesítés engedélyezése a bejelentkezési események védelméhez
A felhasználói bejelentkezési események Microsoft Entra-azonosítóban való védelméhez többtényezős hitelesítésre lehet szükség. A felhasználók védelme érdekében ajánlott a Microsoft Entra többtényezős hitelesítésének feltételes hozzáférési szabályzatokkal történő engedélyezése. A feltételes hozzáférés egy P1 vagy P2 Microsoft Entra-azonosítójú funkció, amely lehetővé teszi az MFA igény szerinti alkalmazásának szabályait bizonyos helyzetekben. A feltételes hozzáférés használatának megkezdéséhez tekintse meg a Microsoft Entra többtényezős hitelesítéssel rendelkező felhasználói bejelentkezési események biztonságossá tételét ismertető oktatóanyagot.
Feltételes hozzáféréssel nem rendelkező Ingyenes Microsoft Entra-bérlők esetén a biztonsági alapértékek használatával védheti a felhasználókat. A rendszer szükség szerint MFA-t kér a felhasználóktól, de a viselkedés szabályozásához nem definiálhat saját szabályokat.
Ha szükséges, engedélyezheti az egyes fiókokat felhasználónkénti Microsoft Entra többtényezős hitelesítéshez. Ha a felhasználók egyénileg vannak engedélyezve, minden bejelentkezéskor többtényezős hitelesítést hajtanak végre (néhány kivétellel, például amikor megbízható IP-címekről jelentkeznek be, vagy amikor be van kapcsolva a megbízható eszközök MFA-jának megjegyzése funkció).
A felhasználói állapotok módosítása csak akkor javasolt, ha a Microsoft Entra ID-licencei nem tartalmazzák a feltételes hozzáférést, és nem szeretné használni a biztonsági alapértelmezett beállításokat. Az MFA engedélyezésének különböző módjairól további információt a Microsoft Entra többtényezős hitelesítés funkciói és licencei című témakörben talál.
Fontos
Ez a cikk bemutatja, hogyan tekintheti meg és módosíthatja a felhasználónkénti Microsoft Entra többtényezős hitelesítés állapotát. Ha feltételes hozzáférést vagy biztonsági beállításokat használ, az alábbi lépésekkel nem tekintheti át és nem engedélyezheti a felhasználói fiókokat.
A Microsoft Entra többtényezős hitelesítés feltételes hozzáférési szabályzaton keresztüli engedélyezése nem változtatja meg a felhasználó állapotát. Ne aggódjon, ha a felhasználók letiltva jelennek meg. A feltételes hozzáférés nem módosítja az állapotot.
Ha feltételes hozzáférési szabályzatokat használ, ne engedélyezze vagy kényszerítse ki a felhasználónkénti Microsoft Entra többtényezős hitelesítést.
A Microsoft Entra többtényezős hitelesítés felhasználói állapotai
A felhasználó állapota azt tükrözi, hogy egy rendszergazda regisztrálta-e őket felhasználónkénti Microsoft Entra többtényezős hitelesítésben. A Microsoft Entra többtényezős hitelesítés felhasználói fiókjai a következő három különböző állapottal rendelkeznek:
| Állapot | Leírás | Örökölt hitelesítés érintett | Érintett böngészőalkalmazások | Modern hitelesítés érintett |
|---|---|---|---|---|
| Disabled (Letiltva) | A felhasználónkénti Microsoft Entra többtényezős hitelesítésben nem regisztrált felhasználók alapértelmezett állapota. | Nem | Nem | Nem |
| Engedélyezve | A felhasználó felhasználónkénti Microsoft Entra többtényezős hitelesítésben van regisztrálva, de továbbra is használhatja a jelszavát az örökölt hitelesítéshez. Ha a felhasználó még nem regisztrált MFA hitelesítési módszereket, a rendszer kérni fogja, hogy regisztrálja a következő alkalommal, amikor modern hitelesítéssel jelentkezik be (például webböngészőn keresztül). | Szám Az örökölt hitelesítés a regisztrációs folyamat befejezéséig továbbra is működik. | Igen. A munkamenet lejárta után a Microsoft Entra többtényezős hitelesítés regisztrációja szükséges. | Igen. A hozzáférési jogkivonat lejárata után a Microsoft Entra többtényezős hitelesítés regisztrációja szükséges. |
| Kényszerítve | A felhasználó felhasználónként regisztrálva van a Microsoft Entra többtényezős hitelesítésben. Ha a felhasználó még nem regisztrált hitelesítési módszereket, a rendszer kérni fogja, hogy regisztrálja a következő alkalommal, amikor modern hitelesítéssel jelentkezik be (például webböngészőn keresztül). Azok a felhasználók, akik engedélyezve állapotban végzik a regisztrációt , automatikusan át lesznek helyezve a kényszerített állapotba. | Igen. Az alkalmazásokhoz alkalmazásjelszavak szükségesek. | Igen. A bejelentkezéshez többtényezős Microsoft Entra-hitelesítés szükséges. | Igen. A bejelentkezéshez többtényezős Microsoft Entra-hitelesítés szükséges. |
Minden felhasználó elindul letiltva. Ha felhasználónkénti Microsoft Entra többtényezős hitelesítésben regisztrál felhasználókat, az állapotuk engedélyezve lesz. Ha az engedélyezett felhasználók bejelentkeznek, és befejezik a regisztrációs folyamatot, állapotuk érvénybe lép. A rendszergazdák áthelyezhetik a felhasználókat az államok között, beleértve a kényszerítésről az engedélyezett vagy letiltott állapotra.
Feljegyzés
Ha a felhasználónkénti MFA újra engedélyezve van egy felhasználón, és a felhasználó nem regisztrál újra, az MFA állapota nem vált át az Engedélyezettről a Kényszerítve állapotra az MFA felügyeleti felhasználói felületén. A rendszergazdának közvetlenül a Kényszerített fájlba kell áthelyeznie a felhasználót.
Felhasználó állapotának megtekintése
A felhasználói állapotok megtekintéséhez és kezeléséhez hajtsa végre a következő lépéseket:
- Jelentkezzen be a Microsoft Entra felügyeleti központba legalább hitelesítési rendszergazdaként.
- Keresse meg az Identitás>Felhasználók>Minden felhasználó elemet.
- Válassza ki a Felhasználónkénti MFA lehetőséget.
- Megnyílik egy új oldal, amely megjeleníti a felhasználói állapotot az alábbi példában látható módon.
Felhasználó állapotának módosítása
A felhasználónkénti Microsoft Entra többtényezős hitelesítési állapot módosításához hajtsa végre a következő lépéseket:
Az előző lépésekkel megtekintheti egy felhasználó állapotát a Microsoft Entra többtényezős hitelesítés felhasználói oldalának eléréséhez.
Keresse meg a felhasználónkénti Microsoft Entra többtényezős hitelesítéshez engedélyezni kívánt felhasználót. Előfordulhat, hogy felülről felhasználókra kell módosítania a nézetet.
Jelölje be a felhasználó(k) neve(ke) melletti jelölőnégyzetet a felhasználó(k) állapotának módosításához.
A jobb oldalon a gyors lépések alatt válassza az Engedélyezés vagy a Letiltás lehetőséget. Az alábbi példában John Smith felhasználónak van egy ellenőrzése a nevük mellett, és engedélyezve van a használathoz:
Tipp.
Az engedélyezett felhasználók automatikusan kényszerítve lesznek, amikor regisztrálnak a Microsoft Entra többtényezős hitelesítésre. Ne módosítsa manuálisan a felhasználó állapotát kényszerítve állapotra, kivéve, ha a felhasználó már regisztrálva van, vagy ha a felhasználó számára elfogadható, hogy megszakadjon a kapcsolat az örökölt hitelesítési protokollokkal.
Erősítse meg a kijelölést a megnyíló előugró ablakban.
Miután engedélyezte a felhasználókat, értesítse őket e-mailben. Tájékoztassa a felhasználókat, hogy megjelenik egy üzenet, amely arra kéri őket, hogy regisztráljanak a következő bejelentkezéskor. Ha a szervezet nem böngészőalapú alkalmazásokat használ, amelyek nem támogatják a modern hitelesítést, alkalmazásjelszavakat kell létrehozniuk. További információkért tekintse meg a Microsoft Entra többtényezős hitelesítés végfelhasználói útmutatóját , amely segítséget nyújt az első lépésekhez.
Felhasználónkénti MFA kezelése a Microsoft Graph használatával
A felhasználónkénti MFA-beállítások a Microsoft Graph REST API bétaverziójának használatával kezelhetők. A hitelesítési erőforrástípussal elérhetővé teheti a hitelesítési módszerek állapotát a felhasználók számára.
Felhasználónkénti MFA kezeléséhez használja a perUserMfaState tulajdonságot a felhasználókon/azonosítón/hitelesítésen/követelményeken belül. További információ: strongAuthenticationRequirements erőforrástípus.
Felhasználónkénti MFA-állapot megtekintése
Felhasználónkénti többtényezős hitelesítési állapot lekérése felhasználónként:
GET /users/{id | userPrincipalName}/authentication/requirements
Példa:
GET https://graph.microsoft.com/beta/users/071cc716-8147-4397-a5ba-b2105951cc0b/authentication/requirements
Ha a felhasználó felhasználónkénti MFA-ra van engedélyezve, a válasz a következő:
HTTP/1.1 200 OK
Content-Type: application/json
{
"perUserMfaState": "enforced"
}
További információ: Get authentication method states.
Felhasználó MFA-állapotának módosítása
A felhasználó többtényezős hitelesítési állapotának módosításához használja a felhasználó erősAuthenticationRequirements azonosítóját. Példa:
PATCH https://graph.microsoft.com/beta/users/071cc716-8147-4397-a5ba-b2105951cc0b/authentication/requirements
Content-Type: application/json
{
"perUserMfaState": "disabled"
}
Ha sikeres, a válasz a következő:
HTTP/1.1 204 No Content
További információ: A hitelesítési módszer állapotának frissítése.
Következő lépések
A Microsoft Entra többtényezős hitelesítési beállításainak konfigurálásához tekintse meg a Microsoft Entra többtényezős hitelesítési beállításainak konfigurálását.
A Microsoft Entra többtényezős hitelesítés felhasználói beállításainak kezeléséhez lásd: Felhasználói beállítások kezelése a Microsoft Entra többtényezős hitelesítéssel.
Annak megértéséhez, hogy a rendszer miért kéri vagy nem kéri a felhasználótól az MFA elvégzését, tekintse meg a Microsoft Entra többtényezős hitelesítési jelentéseit.
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: