Meervoudige verificatie van systeemspreferentatie - Beleid voor verificatiemethoden
Door het systeem aanbevolen meervoudige verificatie (MFA) wordt gebruikers gevraagd zich aan te melden met behulp van de veiligste methode die ze hebben geregistreerd. Beheer istrators kunnen MFA van het systeem inschakelen om de aanmeldingsbeveiliging te verbeteren en minder veilige aanmeldingsmethoden zoals SMS te ontmoedigen.
Als een gebruiker bijvoorbeeld zowel sms- als Microsoft Authenticator-pushmeldingen heeft geregistreerd als methoden voor MFA, wordt de gebruiker gevraagd zich aan te melden met behulp van de veiligere pushmeldingsmethode. De gebruiker kan zich nog steeds aanmelden met een andere methode, maar wordt eerst gevraagd om de veiligste methode te proberen die ze hebben geregistreerd.
Door het systeem aanbevolen MFA is een door Microsoft beheerde instelling. Dit is een tristatebeleid. Voor preview is de standaardstatus uitgeschakeld. Als u deze functie wilt inschakelen voor alle gebruikers of een groep gebruikers tijdens de preview-versie, moet u de door Microsoft beheerde status expliciet wijzigen in Ingeschakeld. Na algemene beschikbaarheid wordt de door Microsoft beheerde status voor door het systeem voorkeurs-MFA gewijzigd in Ingeschakeld.
Nadat MFA van het systeem is ingeschakeld, doet het verificatiesysteem al het werk. Gebruikers hoeven geen verificatiemethode in te stellen als standaardmethode, omdat het systeem dit altijd bepaalt en de veiligste methode presenteert die ze hebben geregistreerd.
Notitie
MFA van het systeem is een belangrijke beveiligingsverbetering voor gebruikers die verifiëren met behulp van telecomtransporten. Vanaf 07 juli 2023 wordt de door Microsoft beheerde waarde van door het systeem voorkeurs-MFA gewijzigd van Uitgeschakeld in Ingeschakeld. Als u MFA van het systeem niet wilt inschakelen, wijzigt u de status van Standaard in Uitgeschakeld of sluit u gebruikers en groepen uit van het beleid.
MFA van het systeem inschakelen in het Microsoft Entra-beheercentrum
Standaard wordt MFA door het systeem beheerd en uitgeschakeld voor alle gebruikers.
Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een verificatiebeleid Beheer istrator.
Blader naar >beveiligingsverificatiemethoden> Instellingen.
Kies voor meervoudige verificatie van systeemspreferentatie of u de functie expliciet wilt in- of uitschakelen en alle gebruikers wilt opnemen of uitsluiten. Uitgesloten groepen hebben voorrang op include-groepen.
In de volgende schermopname ziet u bijvoorbeeld hoe u MFA van het systeem expliciet kunt inschakelen voor alleen de technische groep.
Nadat u klaar bent met het aanbrengen van wijzigingen, klikt u op Opslaan.
MFA van het systeem inschakelen met Behulp van Graph-API's
Als u vooraf door het systeem voorkeurs-MFA wilt inschakelen, moet u één doelgroep kiezen voor de schemaconfiguratie, zoals wordt weergegeven in het voorbeeld van de aanvraag .
Configuratie-eigenschappen van verificatiemethodefuncties
Standaard wordt MFA door het systeem beheerd en uitgeschakeld tijdens de preview. Na algemene beschikbaarheid wordt de standaardwaarde voor de door Microsoft beheerde status gewijzigd om MFA van het systeem in te schakelen.
| Eigenschap | Type | Description |
|---|---|---|
| excludeTarget | featureTarget | Eén entiteit die is uitgesloten van deze functie. U kunt slechts één groep uitsluiten van MFA van het systeem, wat een dynamische of geneste groep kan zijn. |
| includeTarget | featureTarget | Eén entiteit die is opgenomen in deze functie. U kunt slechts één groep opnemen voor MFA van het systeem, die een dynamische of geneste groep kan zijn. |
| Provincie | advancedConfigState | Mogelijke waarden zijn: enabled: de functie wordt expliciet ingeschakeld voor de geselecteerde groep. disabled: de functie wordt expliciet uitgeschakeld voor de geselecteerde groep. Standaard kan Microsoft Entra-id beheren of de functie al dan niet is ingeschakeld voor de geselecteerde groep. |
Eigenschappen van functiedoel
MFA van het systeem kan alleen worden ingeschakeld voor één groep. Dit kan een dynamische of geneste groep zijn.
| Eigenschap | Type | Beschrijving |
|---|---|---|
| Id | String | Id van de doelentiteit. |
| targetType | featureTargetType | Het type entiteit dat is gericht, zoals groep, rol of beheereenheid. De mogelijke waarden zijn: 'group', 'administrativeUnit', 'role', 'unknownFutureValue'. |
Gebruik het volgende API-eindpunt om systemCredentialPreferences in te schakelen en groepen op te nemen of uit te sluiten:
https://graph.microsoft.com/beta/policies/authenticationMethodsPolicy
Notitie
In Graph Explorer moet u toestemming geven voor de machtiging Policy.ReadWrite.AuthenticationMethod .
Aanvraag
In het volgende voorbeeld wordt een voorbeelddoelgroep uitgesloten en worden alle gebruikers opgenomen. Zie Update authenticationMethodsPolicy voor meer informatie.
PATCH https://graph.microsoft.com/beta/policies/authenticationMethodsPolicy
Content-Type: application/json
{
"systemCredentialPreferences": {
"state": "enabled",
"excludeTargets": [
{
"id": "d1411007-6fcf-4b4c-8d70-1da1857ed33c",
"targetType": "group"
}
],
"includeTargets": [
{
"id": "all_users",
"targetType": "group"
}
]
}
}
Veelgestelde vragen
Hoe bepaalt MFA van het systeem de veiligste methode?
Wanneer een gebruiker zich aanmeldt, controleert het verificatieproces welke verificatiemethoden voor de gebruiker zijn geregistreerd. De gebruiker wordt gevraagd zich aan te melden met de veiligste methode volgens de volgende volgorde. De volgorde van verificatiemethoden is dynamisch. Het wordt bijgewerkt naarmate het beveiligingslandschap verandert en naarmate er betere verificatiemethoden ontstaan. Vanwege bekende problemen met verificatie op basis van certificaten en MFA van het systeem hebben we CBA onder aan de lijst verplaatst. Klik op de koppeling voor informatie over elke methode.
- Tijdelijke toegangspas
- FIDO2-beveiligingssleutel
- Microsoft Authenticator-meldingen
- Eenmalige wachtwoord op basis van tijd (TOTP)1
- Telefonie2
- Verificatie op basis van certificaat
1 Omvat hardware of software TOTP van Microsoft Authenticator, Authenticator Lite of toepassingen van derden.
2 Inclusief sms- en spraakoproepen.
Hoe heeft MFA de voorkeur van het systeem invloed op de NPS-extensie?
MFA van het systeem heeft geen invloed op gebruikers die zich aanmelden met de NPS-extensie (Network Policy Server). Deze gebruikers zien geen wijzigingen in hun aanmeldingservaring.
Wat gebeurt er voor gebruikers die niet zijn opgegeven in het beleid voor verificatiemethoden, maar die zijn ingeschakeld in het verouderde MFA-tenantbrede beleid?
De door het systeem aanbevolen MFA is ook van toepassing op gebruikers die zijn ingeschakeld voor MFA in het verouderde MFA-beleid.
Volgende stappen
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor