Włączanie uwierzytelniania wieloskładnikowego firmy Microsoft dla użytkownika w celu zabezpieczenia zdarzeń logowania

  • Artykuł

Aby zabezpieczyć zdarzenia logowania użytkownika w identyfikatorze Entra firmy Microsoft, możesz wymagać uwierzytelniania wieloskładnikowego. Włączenie uwierzytelniania wieloskładnikowego firmy Microsoft przy użyciu zasad dostępu warunkowego jest zalecanym podejściem do ochrony użytkowników. Dostęp warunkowy to funkcja Microsoft Entra ID P1 lub P2, która umożliwia stosowanie reguł w celu wymagania uwierzytelniania wieloskładnikowego zgodnie z potrzebami w niektórych scenariuszach. Aby rozpocząć korzystanie z dostępu warunkowego, zobacz Samouczek: Zabezpieczanie zdarzeń logowania użytkownika przy użyciu uwierzytelniania wieloskładnikowego firmy Microsoft.

W przypadku dzierżaw usługi Microsoft Entra ID Free bez dostępu warunkowego można chronić użytkowników przy użyciu domyślnych ustawień zabezpieczeń. Użytkownicy są monitowani o uwierzytelnianie wieloskładnikowe zgodnie z potrzebami, ale nie można zdefiniować własnych reguł w celu kontrolowania zachowania.

W razie potrzeby możesz włączyć każde konto dla uwierzytelniania wieloskładnikowego firmy Microsoft dla poszczególnych użytkowników. Gdy użytkownicy są włączani indywidualnie, wykonują uwierzytelnianie wieloskładnikowe za każdym razem, gdy logują się (z pewnymi wyjątkami, takimi jak po zalogowaniu się z zaufanych adresów IP lub włączeniu funkcji zapamiętania uwierzytelniania wieloskładnikowego na zaufanych urządzeniach ).

Zmiana stanów użytkowników nie jest zalecana, chyba że licencje identyfikatora Entra firmy Microsoft nie zawierają dostępu warunkowego i nie chcesz używać wartości domyślnych zabezpieczeń. Aby uzyskać więcej informacji na temat różnych sposobów włączania uwierzytelniania wieloskładnikowego, zobacz Funkcje i licencje na uwierzytelnianie wieloskładnikowe firmy Microsoft.

Ważne

W tym artykule szczegółowo opisano sposób wyświetlania i zmieniania stanu uwierzytelniania wieloskładnikowego firmy Microsoft dla poszczególnych użytkowników. Jeśli używasz ustawień domyślnych dostępu warunkowego lub zabezpieczeń, nie przeglądasz ani nie włączasz kont użytkowników, wykonując te kroki.

Włączenie uwierzytelniania wieloskładnikowego firmy Microsoft za pomocą zasad dostępu warunkowego nie zmienia stanu użytkownika. Nie alarmuj, jeśli użytkownicy pojawią się wyłączeni. Dostęp warunkowy nie zmienia stanu.

Jeśli używasz zasad dostępu warunkowego, nie włączaj ani wymuszaj uwierzytelniania wieloskładnikowego firmy Microsoft w usłudze Microsoft Entra.

Stany użytkownika uwierzytelniania wieloskładnikowego firmy Microsoft

Stan użytkownika odzwierciedla, czy administrator zarejestrował je w uwierzytelnianiu wieloskładnikowym firmy Microsoft entra użytkownika. Konta użytkowników w usłudze Microsoft Entra multifactor authentication mają następujące trzy odrębne stany:

Stan opis Dotyczy to starszego uwierzytelniania Dotyczy to aplikacji przeglądarki Dotyczy to nowoczesnego uwierzytelniania
Disabled Domyślny stan użytkownika, który nie został zarejestrowany w ramach uwierzytelniania wieloskładnikowego firmy Microsoft dla poszczególnych użytkowników. Nie Nie. Nie.
Włączona Użytkownik jest zarejestrowany w uwierzytelnianiu wieloskładnikowym firmy Microsoft dla poszczególnych użytkowników, ale nadal może używać swojego hasła do starszego uwierzytelniania. Jeśli użytkownik nie zarejestrował jeszcze metod uwierzytelniania wieloskładnikowego, otrzyma monit o zarejestrowanie przy następnym zalogowaniu się przy użyciu nowoczesnego uwierzytelniania (na przykład za pośrednictwem przeglądarki internetowej). L.p. Starsze uwierzytelnianie nadal działa do momentu zakończenia procesu rejestracji. Tak. Po wygaśnięciu sesji wymagana jest rejestracja uwierzytelniania wieloskładnikowego firmy Microsoft. Tak. Po wygaśnięciu tokenu dostępu wymagana jest rejestracja uwierzytelniania wieloskładnikowego firmy Microsoft.
Wymuszone Użytkownik jest zarejestrowany dla poszczególnych użytkowników w ramach uwierzytelniania wieloskładnikowego firmy Microsoft. Jeśli użytkownik nie zarejestrował jeszcze metod uwierzytelniania, otrzyma monit o zarejestrowanie przy następnym zalogowaniu się przy użyciu nowoczesnego uwierzytelniania (na przykład za pośrednictwem przeglądarki internetowej). Użytkownicy, którzy ukończyli rejestrację w stanie Włączone , zostaną automatycznie przeniesieni do stanu Wymuszone . Tak. Aplikacje wymagają haseł aplikacji. Tak. Uwierzytelnianie wieloskładnikowe firmy Microsoft jest wymagane podczas logowania. Tak. Uwierzytelnianie wieloskładnikowe firmy Microsoft jest wymagane podczas logowania.

Wszyscy użytkownicy zaczynają wyłączać. Po zarejestrowaniu użytkowników w uwierzytelnianiu wieloskładnikowym firmy Microsoft firmy Microsoft ich stan zmieni się na Włączone. Po włączeniu użytkowników logują się i zakończą proces rejestracji, ich stan zmieni się na Wymuszone. Administracja istratory mogą przenosić użytkowników między stanami, w tym z Wymuszone na wartość Włączone lub Wyłączone.

Uwaga

Jeśli uwierzytelnianie wieloskładnikowe dla użytkownika jest ponownie włączone dla użytkownika, a użytkownik nie zarejestruje się ponownie, jego stan uwierzytelniania wieloskładnikowego nie zostanie przeniesiony z Włączone na Wymuszone w interfejsie użytkownika zarządzania uwierzytelnianiem wieloskładnikowym. Administrator musi przenieść użytkownika bezpośrednio do wymuszonego.

Wyświetlanie stanu użytkownika

Napiwek

Kroki opisane w tym artykule mogą się nieznacznie różnić w zależności od portalu, od którego zaczynasz.

Aby wyświetlić stany użytkowników i zarządzać nimi, wykonaj następujące kroki:

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator uwierzytelniania.
  2. Przejdź do pozycji Użytkownicy tożsamości>>Wszyscy użytkownicy.
  3. Wybierz pozycję Wieloskładnikowa uwierzytelnianie wieloskładnikowe dla użytkownika. Screenshot of select multifactor authentication from the Users window in Azure AD.
  4. Zostanie otwarta nowa strona, która wyświetla stan użytkownika, jak pokazano w poniższym przykładzie. Screenshot that shows example user state information for Microsoft Entra multifactor authentication

Zmienianie stanu użytkownika

Aby zmienić stan uwierzytelniania wieloskładnikowego dla użytkownika firmy Microsoft Entra, wykonaj następujące kroki:

  1. Użyj poprzednich kroków, aby wyświetlić stan użytkownika w celu uzyskania dostępu do strony użytkowników uwierzytelniania wieloskładnikowego firmy Microsoft.

  2. Znajdź użytkownika, który chcesz włączyć dla uwierzytelniania wieloskładnikowego firmy Microsoft dla poszczególnych użytkowników. Może być konieczne zmianę widoku u góry na użytkowników. Select the user to change status for from the users tab

  3. Zaznacz pole wyboru obok nazw użytkowników, aby zmienić stan.

  4. Po prawej stronie w obszarze szybkich kroków wybierz pozycję Włącz lub Wyłącz. W poniższym przykładzie użytkownik John Smith ma znacznik wyboru obok swojej nazwy i jest włączony do użycia: Enable selected user by clicking Enable on the quick steps menu

    Napiwek

    Użytkownicy z włączoną obsługą są automatycznie przełączani na wymuszane po zarejestrowaniu się w celu uwierzytelniania wieloskładnikowego firmy Microsoft. Nie należy ręcznie zmieniać stanu użytkownika na Wymuszone , chyba że użytkownik jest już zarejestrowany lub jeśli jest akceptowalny, aby użytkownik doświadczał przerw w nawiązywaniu połączeń ze starszymi protokołami uwierzytelniania.

  5. Potwierdź wybór w otwartym oknie podręcznym.

Po włączeniu użytkowników powiadom ich za pośrednictwem poczty e-mail. Poinformuj użytkowników, że zostanie wyświetlony monit o zarejestrowanie się przy następnym zalogowaniu. Ponadto jeśli organizacja korzysta z aplikacji innych niż przeglądarki, które nie obsługują nowoczesnego uwierzytelniania, muszą tworzyć hasła aplikacji. Aby uzyskać więcej informacji, zobacz Podręcznik użytkownika końcowego uwierzytelniania wieloskładnikowego firmy Microsoft, aby ułatwić im rozpoczęcie pracy.

Następne kroki

Aby skonfigurować ustawienia uwierzytelniania wieloskładnikowego firmy Microsoft, zobacz Konfigurowanie ustawień uwierzytelniania wieloskładnikowego firmy Microsoft.

Aby zarządzać ustawieniami użytkownika dla uwierzytelniania wieloskładnikowego firmy Microsoft, zobacz Zarządzanie ustawieniami użytkownika za pomocą uwierzytelniania wieloskładnikowego firmy Microsoft.

Aby dowiedzieć się, dlaczego użytkownik został wyświetlony monit o wykonanie uwierzytelniania wieloskładnikowego, zobacz Raporty uwierzytelniania wieloskładnikowego firmy Microsoft.