Siła uwierzytelniania dostępu warunkowego

Siła uwierzytelniania to kontrola dostępu warunkowego określająca, które kombinacje metod uwierzytelniania mogą służyć do uzyskiwania dostępu do zasobu. Użytkownicy mogą spełnić wymagania dotyczące siły, uwierzytelniając się przy użyciu dowolnej z dozwolonych kombinacji.

Na przykład siła uwierzytelniania może wymagać, aby tylko metody uwierzytelniania odporne na wyłudzanie informacji były używane do uzyskiwania dostępu do poufnych zasobów. Aby uzyskać dostęp do niewrażliwego zasobu, administratorzy mogą utworzyć kolejną siłę uwierzytelniania, która umożliwia mniej bezpieczne kombinacje uwierzytelniania wieloskładnikowego (MFA), takie jak hasło i wiadomość SMS.

Siła uwierzytelniania jest oparta na zasadach metod uwierzytelniania, w których administratorzy mogą określać zakres metod uwierzytelniania dla określonych użytkowników i grup, które mają być używane w aplikacjach federacyjnych microsoft Entra ID. Siła uwierzytelniania umożliwia dalszą kontrolę nad użyciem tych metod na podstawie określonych scenariuszy, takich jak poufny dostęp do zasobów, ryzyko użytkownika, lokalizacja i inne.

Scenariusze dotyczące mocnych stron uwierzytelniania

Mocne uwierzytelnianie może pomóc klientom w rozwiązywaniu tych scenariuszy:

  • Wymagaj określonych metod uwierzytelniania w celu uzyskania dostępu do poufnego zasobu.
  • Wymagaj określonej metody uwierzytelniania, gdy użytkownik podejmuje wrażliwą akcję w aplikacji (w połączeniu z kontekstem uwierzytelniania dostępu warunkowego).
  • Wymagaj od użytkowników użycia określonej metody uwierzytelniania w przypadku uzyskiwania dostępu do poufnych aplikacji poza siecią firmową.
  • Wymagaj bezpieczniejszych metod uwierzytelniania dla użytkowników wysokiego ryzyka.
  • Wymagaj określonych metod uwierzytelniania od użytkowników-gości, którzy uzyskują dostęp do dzierżawy zasobów (w połączeniu z ustawieniami między dzierżawami).

Mocne strony uwierzytelniania

Administracja istratory mogą określić siłę uwierzytelniania, aby uzyskać dostęp do zasobu, tworząc zasady dostępu warunkowego za pomocąWymagaj kontroli siły uwierzytelniania. Mogą wybrać jedną z trzech wbudowanych sił uwierzytelniania: siłę uwierzytelniania wieloskładnikowego, siłę uwierzytelniania wieloskładnikowego bez hasła i siłę uwierzytelniania wieloskładnikowego odpornego na wyłudzanie informacji. Mogą również utworzyć niestandardową siłę uwierzytelniania na podstawie kombinacji metod uwierzytelniania, które chcą zezwolić.

Screenshot of a Conditional Access policy with an authentication strength configured in grant controls.

Wbudowane siły uwierzytelniania

Wbudowane siły uwierzytelniania to kombinacje metod uwierzytelniania, które są wstępnie zdefiniowane przez firmę Microsoft. Wbudowane mocne strony uwierzytelniania są zawsze dostępne i nie można ich modyfikować. Firma Microsoft zaktualizuje wbudowane mocne strony uwierzytelniania, gdy staną się dostępne nowe metody.

Na przykład wbudowana siła uwierzytelniania wieloskładnikowego odpornego na wyłudzanie informacji umożliwia wykonanie następujących kombinacji:

  • Windows Hello for Business

    Or

  • Klucz zabezpieczeń FIDO2

    Or

  • Uwierzytelnianie oparte na certyfikatach firmy Microsoft (Multifactor)

Screenshot showing the phishing-resistant MFA strength definition.

Kombinacje metod uwierzytelniania dla każdej wbudowanej siły uwierzytelniania są wymienione w poniższej tabeli. Te kombinacje obejmują metody, które muszą być zarejestrowane przez użytkowników i włączone w zasadach metod uwierzytelniania lub starszych zasad ustawień uwierzytelniania wieloskładnikowego.

  • Siła uwierzytelniania wieloskładnikowego — ten sam zestaw kombinacji, których można użyć do spełnienia ustawienia Wymagaj uwierzytelniania wieloskładnikowego .
  • Siła uwierzytelniania wieloskładnikowego bez hasła — obejmuje metody uwierzytelniania spełniające wymagania uwierzytelniania wieloskładnikowego, ale nie wymagają hasła.
  • Siła uwierzytelniania wieloskładnikowego odpornego na wyłudzanie informacji — obejmuje metody wymagające interakcji między metodą uwierzytelniania a powierzchnią logowania.
Kombinacja metody uwierzytelniania Siła uwierzytelniania wieloskładnikowego Siła uwierzytelniania wieloskładnikowego bez hasła Siła uwierzytelniania wieloskładnikowego odpornego na wyłudzanie informacji
Klucz zabezpieczeń FIDO2
Windows Hello for Business
Uwierzytelnianie oparte na certyfikatach (Multi-Factor)
Microsoft Authenticator (logowanie Telefon)
Dostęp tymczasowy (jednorazowe użycie i wielokrotne użycie)
Hasło i coś, co masz1
Federacyjny pojedynczy czynnik + coś, co masz1
Federacyjny wieloskładnikowy
Uwierzytelnianie oparte na certyfikatach (jednoskładnikowe)
Logowanie sms
Password
Federacyjny pojedynczy czynnik

1 Coś, co masz, odnosi się do jednej z następujących metod: wiadomości SMS, głosu, powiadomień wypychanych, tokenu OATH oprogramowania lub sprzętowego tokenu OATH.

Następujące wywołanie interfejsu API może służyć do wyświetlania listy definicji wszystkich wbudowanych mocnych stron uwierzytelniania:

GET https://graph.microsoft.com/beta/identity/conditionalAccess/authenticationStrength/policies?$filter=policyType eq 'builtIn'

Administracja istratory dostępu warunkowego mogą również tworzyć niestandardowe siły uwierzytelniania, aby dokładnie odpowiadały wymaganiom dostępu. Aby uzyskać więcej informacji, zobacz Niestandardowe siły uwierzytelniania dostępu warunkowego.

Ograniczenia

  • Zasady dostępu warunkowego są oceniane tylko po początkowym uwierzytelnieniu — w związku z tym siła uwierzytelniania nie ogranicza początkowego uwierzytelniania użytkownika. Załóżmy, że używasz wbudowanej siły uwierzytelniania wieloskładnikowego odpornego na wyłudzanie informacji. Użytkownik nadal może wpisać swoje hasło, ale musi zalogować się przy użyciu metody odpornej na wyłudzanie informacji, takiej jak klucz zabezpieczeń FIDO2, zanim będzie mógł kontynuować.

  • Wymagaj uwierzytelniania wieloskładnikowego i nie można używać siły uwierzytelniania razem w tych samych zasadach dostępu warunkowego — tych dwóch kontrolek udzielania dostępu warunkowego nie można używać razem, ponieważ wbudowana siła uwierzytelniania Wieloskładnikowego jest równoważna kontroli udzielania uwierzytelniania wieloskładnikowego.

  • Metody uwierzytelniania, które nie są obecnie obsługiwane przez siłę uwierzytelniania — metoda uwierzytelniania jednorazowego przekazywania wiadomości e-mail (gościa) nie jest uwzględniana w dostępnych kombinacjach.

  • Windows Hello dla firm — jeśli użytkownik zalogował się przy użyciu Windows Hello dla firm jako podstawowej metody uwierzytelniania, może służyć do spełnienia wymagania dotyczącego siły uwierzytelniania obejmującego Windows Hello dla firm. Jeśli jednak użytkownik zalogował się przy użyciu innej metody, takiej jak hasło jako podstawowa metoda uwierzytelniania, a siła uwierzytelniania wymaga Windows Hello dla firm, nie zostanie wyświetlony monit o zalogowanie się przy użyciu Windows Hello dla firm. Użytkownik musi ponownie uruchomić sesję, wybrać opcje logowania i wybrać metodę wymaganą przez siłę uwierzytelniania.

Znane problemy

  • Opcje zaawansowane klucza zabezpieczeń FIDO2 — opcje zaawansowane nie są obsługiwane dla użytkowników zewnętrznych z dzierżawą domową, która znajduje się w innej chmurze firmy Microsoft niż dzierżawa zasobów.

Często zadawane pytania

Czy należy używać siły uwierzytelniania lub zasad metod uwierzytelniania?

Siła uwierzytelniania jest oparta na zasadach metod uwierzytelniania. Zasady metody uwierzytelniania ułatwiają określanie zakresu i konfigurowanie metod uwierzytelniania, które mają być używane w usłudze Microsoft Entra ID przez określonych użytkowników i grup. Siła uwierzytelniania umożliwia inne ograniczenie metod dla określonych scenariuszy, takich jak poufny dostęp do zasobów, ryzyko użytkownika, lokalizacja i inne.

Na przykład administrator firmy Contoso chce zezwolić swoim użytkownikom na używanie aplikacji Microsoft Authenticator z powiadomieniami wypychanymi lub trybem uwierzytelniania bez hasła. Administrator przechodzi do ustawień aplikacji Microsoft Authenticator w zasadach metod uwierzytelniania, określa zakresy zasad dla odpowiednich użytkowników i ustawia tryb uwierzytelniania na Dowolny.

Następnie w przypadku najbardziej poufnego zasobu firmy Contoso administrator chce ograniczyć dostęp tylko do metod uwierzytelniania bez hasła. Administrator tworzy nowe zasady dostępu warunkowego przy użyciu wbudowanej siły uwierzytelniania wieloskładnikowego bez hasła.

W związku z tym użytkownicy w firmie Contoso mogą uzyskiwać dostęp do większości zasobów w dzierżawie przy użyciu hasła i powiadomień wypychanych z aplikacji Microsoft Authenticator LUB tylko przy użyciu aplikacji Microsoft Authenticator (logowanie za pomocą telefonu). Jednak gdy użytkownicy w dzierżawie uzyskują dostęp do poufnej aplikacji, muszą korzystać z aplikacji Microsoft Authenticator (logowanie za pomocą telefonu).

Wymagania wstępne

  • Microsoft Entra ID P1 — Twoja dzierżawa musi mieć licencję Microsoft Entra ID P1, aby korzystać z dostępu warunkowego. W razie potrzeby możesz włączyć bezpłatną wersję próbną.
  • Włącz rejestrację połączoną — siły uwierzytelniania są obsługiwane w przypadku korzystania z połączonej rejestracji uwierzytelniania wieloskładnikowego i samoobsługowego resetowania hasła. Użycie starszej rejestracji spowoduje złe środowisko użytkownika, ponieważ użytkownik może zarejestrować metody, które nie są wymagane przez zasady metody uwierzytelniania.

Następne kroki