Meervoudige verificatie van systeemspreferentatie - Beleid voor verificatiemethoden
Door het systeem aanbevolen meervoudige verificatie (MFA) wordt gebruikers gevraagd zich aan te melden met behulp van de veiligste methode die ze hebben geregistreerd. Het is een belangrijke beveiligingsverbetering voor gebruikers die zich verifiëren met telecomtransporten. Beheerders kunnen MFA van het systeem inschakelen om de aanmeldingsbeveiliging te verbeteren en minder veilige aanmeldingsmethoden zoals Short Message Service (SMS) te ontmoedigen.
Als een gebruiker bijvoorbeeld zowel sms- als Microsoft Authenticator-pushmeldingen heeft geregistreerd als methoden voor MFA, vraagt de gebruiker zich aan te melden met behulp van de veiligere pushmeldingsmethode. De gebruiker kan zich nog steeds aanmelden met een andere methode, maar wordt eerst gevraagd om de veiligste methode te proberen die ze hebben geregistreerd.
Door het systeem aanbevolen MFA is een door Microsoft beheerde instelling. Dit is een tristatebeleid. De door Microsoft beheerde waarde van door het systeem voorkeurs-MFA is ingeschakeld. Als u MFA van het systeem niet wilt inschakelen, wijzigt u de status van Door Microsoft beheerd in Uitgeschakeld of sluit u gebruikers en groepen uit van het beleid.
Nadat MFA van het systeem is ingeschakeld, doet het verificatiesysteem al het werk. Gebruikers hoeven geen verificatiemethode in te stellen als standaardmethode, omdat het systeem altijd bepaalt en de veiligste methode presenteert die ze hebben geregistreerd.
MFA van het systeem inschakelen in het Microsoft Entra-beheercentrum
Standaard wordt MFA door het systeem beheerd en uitgeschakeld voor alle gebruikers.
Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een verificatiebeleidsbeheerder.
Blader naar >Instellingen voor beveiligingsverificatiemethoden.>
Kies voor meervoudige verificatie van systeemspreferentatie of u de functie expliciet wilt in- of uitschakelen en alle gebruikers wilt opnemen of uitsluiten. Uitgesloten groepen hebben voorrang op include-groepen.
In de volgende schermopname ziet u bijvoorbeeld hoe u MFA van het systeem expliciet kunt inschakelen voor alleen de technische groep.
Nadat u klaar bent met het aanbrengen van wijzigingen, klikt u op Opslaan.
MFA van het systeem inschakelen met Behulp van Graph-API's
Als u vooraf door het systeem voorkeurs-MFA wilt inschakelen, moet u één doelgroep kiezen voor de schemaconfiguratie, zoals wordt weergegeven in het voorbeeld van de aanvraag .
Configuratie-eigenschappen van verificatiemethodefuncties
Standaard wordt MFA door het systeem beheerd en ingeschakeld.
| Eigenschap | Type | Beschrijving |
|---|---|---|
| excludeTarget | featureTarget | Eén entiteit die is uitgesloten van deze functie. U kunt slechts één groep uitsluiten van MFA van het systeem, wat een dynamische of geneste groep kan zijn. |
| includeTarget | featureTarget | Eén entiteit die is opgenomen in deze functie. U kunt slechts één groep opnemen voor MFA van het systeem, die een dynamische of geneste groep kan zijn. |
| Staat | advancedConfigState | Mogelijke waarden zijn: met ingeschakelde functie wordt de functie voor de geselecteerde groep expliciet ingeschakeld . uitgeschakeld schakelt de functie voor de geselecteerde groep expliciet uit. Standaard kan Microsoft Entra-id beheren of de functie al dan niet is ingeschakeld voor de geselecteerde groep. |
Eigenschappen van functiedoel
MFA van het systeem kan alleen worden ingeschakeld voor één groep. Dit kan een dynamische of geneste groep zijn.
| Eigenschap | Type | Beschrijving |
|---|---|---|
| LEGITIMATIEBEWIJS | Snaar | Id van de doelentiteit. |
| targetType | featureTargetType | Het type entiteit dat is gericht, zoals groep, rol of beheereenheid. De mogelijke waarden zijn: 'group', 'administrativeUnit', 'role', 'unknownFutureValue'. |
Gebruik het volgende API-eindpunt om systemCredentialPreferences in te schakelen en groepen op te nemen of uit te sluiten:
https://graph.microsoft.com/v1.0/policies/authenticationMethodsPolicy
Notitie
In Graph Explorer moet u toestemming geven voor de machtiging Policy.ReadWrite.AuthenticationMethod .
Verzoek
In het volgende voorbeeld wordt een voorbeelddoelgroep uitgesloten en worden alle gebruikers opgenomen. Zie Update authenticationMethodsPolicy voor meer informatie.
PATCH https://graph.microsoft.com/v1.0/policies/authenticationMethodsPolicy
Content-Type: application/json
{
"systemCredentialPreferences": {
"state": "enabled",
"excludeTargets": [
{
"id": "d1411007-6fcf-4b4c-8d70-1da1857ed33c",
"targetType": "group"
}
],
"includeTargets": [
{
"id": "all_users",
"targetType": "group"
}
]
}
}
FAQ
Hoe bepaalt MFA van het systeem de veiligste methode?
Wanneer een gebruiker zich aanmeldt, controleert het verificatieproces welke verificatiemethoden voor de gebruiker zijn geregistreerd. De gebruiker wordt gevraagd zich aan te melden met de veiligste methode volgens de volgende volgorde. De volgorde van verificatiemethoden is dynamisch. Het wordt bijgewerkt naarmate het beveiligingslandschap verandert en naarmate er betere verificatiemethoden ontstaan. Vanwege bekende problemen met verificatie op basis van certificaten (CBA) en MFA van het systeem hebben we CBA onder aan de lijst verplaatst. Klik op de koppeling voor meer informatie over elke methode.
- Tijdelijke toegangspas
- FIDO2-beveiligingssleutel
- Microsoft Authenticator-meldingen
- Eenmalige wachtwoord op basis van tijd (TOTP)1
- Telefonie2
- Verificatie op basis van certificaten
1Omvat hardware of software TOTP van Microsoft Authenticator, Authenticator Lite of toepassingen van derden.
2Inclusief sms- en spraakoproepen.
Hoe heeft MFA de voorkeur van het systeem invloed op de NPS-extensie?
MFA van het systeem heeft geen invloed op gebruikers die zich aanmelden met de NPS-extensie (Network Policy Server). Deze gebruikers zien geen wijzigingen in hun aanmeldingservaring.
Wat gebeurt er voor gebruikers die niet zijn opgegeven in het beleid voor verificatiemethoden, maar die zijn ingeschakeld in het verouderde MFA-tenantbrede beleid?
De door het systeem aanbevolen MFA is ook van toepassing op gebruikers die zijn ingeschakeld voor MFA in het verouderde MFA-beleid.
