Udostępnij za pośrednictwem

Jak działa siła uwierzytelniania dostępu warunkowego

  • Artykuł

W tym temacie opisano, jak siła uwierzytelniania dostępu warunkowego może ograniczyć metody uwierzytelniania, które mogą uzyskiwać dostęp do zasobu.

Jak siła uwierzytelniania działa z zasadami metod uwierzytelniania

Istnieją dwie zasady określające, które metody uwierzytelniania mogą służyć do uzyskiwania dostępu do zasobów. Jeśli użytkownik jest włączony dla metody uwierzytelniania w obu zasadach, może zalogować się przy użyciu tej metody.

  • Metody>uwierzytelniania zabezpieczeń>Zasady to bardziej nowoczesny sposób zarządzania metodami uwierzytelniania dla określonych użytkowników i grup. Można określić użytkowników i grupy dla różnych metod. Można również skonfigurować parametry w celu kontrolowania sposobu użycia metody.

    Zrzut ekranu przedstawiający zasady metod uwierzytelniania.

  • Zabezpieczenia>uwierzytelniania>wieloskładnikowego Dodatkowe ustawienia uwierzytelniania wieloskładnikowego oparte na chmurze to starszy sposób kontrolowania metod uwierzytelniania wieloskładnikowego dla wszystkich użytkowników w dzierżawie.

    Zrzut ekranu przedstawiający ustawienia usługi MFA.

Użytkownicy mogą rejestrować się w celu uzyskania metod uwierzytelniania, dla których są włączone. Administrator może również skonfigurować urządzenie użytkownika przy użyciu metody, takiej jak uwierzytelnianie oparte na certyfikatach.

Jak są oceniane zasady siły uwierzytelniania podczas logowania

Siła uwierzytelniania Zasady dostępu warunkowego definiuje, które metody mogą być używane. Microsoft Entra ID sprawdza zasady podczas logowania, aby określić dostęp użytkownika do zasobu. Na przykład administrator konfiguruje zasady dostępu warunkowego z niestandardową siłą uwierzytelniania, która wymaga klucza dostępu (klucz zabezpieczeń FIDO2) lub hasła i wiadomości SMS. Użytkownik uzyskuje dostęp do zasobu chronionego przez te zasady.

Podczas logowania wszystkie ustawienia są sprawdzane, aby określić, które metody są dozwolone, które metody są zarejestrowane i które metody są wymagane przez zasady dostępu warunkowego. Aby się zalogować, metoda musi być dozwolona, zarejestrowana przez użytkownika (przed żądaniem dostępu lub w ramach żądania dostępu) i spełnić siłę uwierzytelniania.

Ocenianie wielu zasad siły uwierzytelniania dostępu warunkowego

Ogólnie rzecz biorąc, jeśli do logowania stosuje się wiele zasad dostępu warunkowego, muszą zostać spełnione wszystkie warunki ze wszystkich zasad. W tym samym środowisku, gdy do logowania ma zastosowanie wiele zasad siły uwierzytelniania dostępu warunkowego, użytkownik musi spełnić wszystkie warunki siły uwierzytelniania. Jeśli na przykład dwie różne zasady siły uwierzytelniania wymagają klucza dostępu (FIDO2), użytkownik może użyć klucza zabezpieczeń FIDO2, aby spełnić oba zasady. Jeśli dwie zasady siły uwierzytelniania mają różne zestawy metod, użytkownik musi użyć wielu metod w celu spełnienia obu zasad.

Jak ocenia się wiele zasad siły uwierzytelniania dostępu warunkowego do rejestrowania informacji zabezpieczających

W przypadku trybu przerwania rejestracji informacji zabezpieczających ocena siły uwierzytelniania jest traktowana inaczej — siły uwierzytelniania, które dotyczą akcji użytkownika Rejestrowanie informacji zabezpieczających, są preferowane w przypadku innych zasad siły uwierzytelniania przeznaczonych dla wszystkich zasobów (dawniej "Wszystkie aplikacje w chmurze"). Wszystkie inne mechanizmy kontroli udzielania (takie jak Wymagaj, aby urządzenie było oznaczone jako zgodne) z innych zasad dostępu warunkowego w zakresie logowania będą stosowane jak zwykle.

Załóżmy na przykład, że firma Contoso chce wymagać od użytkowników, aby zawsze logowali się przy użyciu metody uwierzytelniania wieloskładnikowego i ze zgodnego urządzenia. Firma Contoso chce również zezwolić nowym pracownikom na zarejestrowanie tych metod uwierzytelniania wieloskładnikowego przy użyciu dostępu tymczasowego (TAP). Interfejs TAP nie może być używany w żadnym innym zasobie. Aby osiągnąć ten cel, administrator może wykonać następujące czynności:

  1. Utwórz niestandardową siłę uwierzytelniania o nazwie Bootstrap i odzyskiwanie , które obejmuje kombinację uwierzytelniania dostępu tymczasowego dostępu pass, może również obejmować dowolną z metod uwierzytelniania wieloskładnikowego.
  2. Utwórz niestandardową siłę uwierzytelniania o nazwie MFA na potrzeby logowania , która zawiera wszystkie dozwolone metody uwierzytelniania wieloskładnikowego bez tymczasowego dostępu — pass.
  3. Utwórz zasady dostępu warunkowego, które są przeznaczone dla wszystkich zasobów (dawniej "Wszystkie aplikacje w chmurze") i wymagają uwierzytelniania wieloskładnikowego na potrzeby siły uwierzytelniania logowania i wymagaj zgodnych mechanizmów kontroli udzielania urządzeń .
  4. Utwórz zasady dostępu warunkowego, które są przeznaczone dla akcji Zarejestruj informacje o zabezpieczeniach użytkownika i wymagają siły uwierzytelniania Bootstrap i odzyskiwania .

W związku z tym użytkownicy na zgodnym urządzeniu będą mogli używać tymczasowego przekazywania dostępu do rejestrowania dowolnej metody uwierzytelniania wieloskładnikowego, a następnie użyć nowo zarejestrowanej metody do uwierzytelniania w innych zasobach, takich jak program Outlook.

Uwaga

  • Jeśli wiele zasad dostępu warunkowego jest przeznaczonych dla akcji Zarejestruj informacje o zabezpieczeniach, a każda z nich stosuje siłę uwierzytelniania, użytkownik musi spełnić wszystkie takie siły uwierzytelniania, aby się zalogować.

  • Niektórych metod odpornych na wyłudzanie informacji i haseł nie można zarejestrować w trybie przerwania. Aby uzyskać więcej informacji, zobacz Rejestrowanie metod uwierzytelniania bez hasła.

Środowisko użytkownika

Następujące czynniki określają, czy użytkownik uzyskuje dostęp do zasobu:

  • Która metoda uwierzytelniania została wcześniej użyta?
  • Jakie metody są dostępne dla siły uwierzytelniania?
  • Które metody są dozwolone dla logowania użytkownika w zasadach metod uwierzytelniania?
  • Czy użytkownik jest zarejestrowany dla dowolnej dostępnej metody?

Gdy użytkownik uzyskuje dostęp do zasobu chronionego przez zasady dostępu warunkowego siły uwierzytelniania, identyfikator Entra firmy Microsoft ocenia, czy metody, które zostały wcześniej użyte, spełniają siłę uwierzytelniania. Jeśli użyto zadowalającej metody, identyfikator Entra firmy Microsoft udziela dostępu do zasobu. Załóżmy na przykład, że użytkownik loguje się przy użyciu hasła i wiadomości SMS. Uzyskują dostęp do zasobu chronionego przez siłę uwierzytelniania wieloskładnikowego. W takim przypadku użytkownik może uzyskać dostęp do zasobu bez innego monitu o uwierzytelnienie.

Załóżmy, że następnie uzyskują dostęp do zasobu chronionego przez siłę uwierzytelniania MFA odpornego na wyłudzanie informacji. Na tym etapie zostanie wyświetlony monit o podanie metody uwierzytelniania odpornej na wyłudzanie informacji, takiej jak Windows Hello dla firm.

Jeśli użytkownik nie zarejestrował żadnych metod spełniających siłę uwierzytelniania, nastąpi przekierowanie do połączonej rejestracji.

Użytkownicy muszą zarejestrować tylko jedną metodę uwierzytelniania, która spełnia wymagania dotyczące siły uwierzytelniania.

Jeśli siła uwierzytelniania nie zawiera metody, którą użytkownik może zarejestrować i użyć, użytkownik nie może zalogować się do zasobu.

Rejestrowanie metod uwierzytelniania bez hasła

Następujących metod uwierzytelniania nie można zarejestrować w ramach trybu połączonego przerwania rejestracji. Upewnij się, że użytkownicy są zarejestrowani dla tych metod przed zastosowaniem zasad dostępu warunkowego, które mogą wymagać użycia ich do logowania. Jeśli użytkownik nie jest zarejestrowany dla tych metod, nie będzie mógł uzyskać dostępu do zasobu, dopóki wymagana metoda nie zostanie zarejestrowana.

Method Wymagania dotyczące rejestracji
Microsoft Authenticator (logowanie telefoniczne) Można zarejestrować w aplikacji Authenticator.
Klucz dostępu (FIDO2) Można zarejestrować przy użyciu trybu zarządzanego rejestracji połączonej i wymuszać przez siłę uwierzytelniania przy użyciu trybu kreatora rejestracji połączonej
Uwierzytelnianie oparte na certyfikatach Wymaga konfiguracji administratora; Nie można zarejestrować przez użytkownika.
Windows Hello for Business Można zarejestrować w środowisku Windows Out of Box Experience (OOBE) lub w menu Ustawienia systemu Windows.

Środowisko użytkownika federacyjnego

W przypadku domen federacyjnych uwierzytelnianie wieloskładnikowe może być wymuszane przez usługę Microsoft Entra Conditional Access lub przez lokalnego dostawcę federacyjnego, ustawiając federacyjny serwer federacyjnyIdpMfaBehavior. Jeśli ustawienie federatedIdpMfaBehavior jest ustawione na wymuszanieMfaByFederatedIdp, użytkownik musi uwierzytelnić się na swoim federacyjnym dostawcy tożsamości i może spełniać tylko federacyjną kombinację wieloskładnikowego wymagania dotyczącego siły uwierzytelniania. Aby uzyskać więcej informacji na temat ustawień federacyjnych, zobacz Planowanie obsługi uwierzytelniania wieloskładnikowego.

Jeśli użytkownik z domeny federacyjnej ma ustawienia uwierzytelniania wieloskładnikowego w zakresie wprowadzania etapowego, użytkownik może ukończyć uwierzytelnianie wieloskładnikowe w chmurze i spełnić dowolny z federacyjnych jednoskładnikowych + coś, co masz kombinacje. Aby uzyskać więcej informacji na temat wdrażania etapowego, zobacz Enable Staged Rollout (Włączanie wdrażania etapowego).

Następne kroki