Notatka
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Preferowane przez system uwierzytelnianie monituje użytkowników o zalogowanie się przy użyciu najbezpieczniejszej metody, którą zarejestrowali. Jest to ważne ulepszenie zabezpieczeń dla użytkowników, którzy uwierzytelniają się przy użyciu metod opartych na telefonach. Administratorzy mogą włączyć uwierzytelnianie preferowane przez system, aby zwiększyć bezpieczeństwo logowania i zniechęcić mniej bezpiecznych metod logowania, takich jak krótka usługa wiadomości (SMS).
Na przykład, jeśli użytkownik zarejestrował zarówno powiadomienia SMS, jak i powiadomienia push z Microsoft Authenticator jako metody uwierzytelniania wieloskładnikowego, preferowana przez system metoda uwierzytelniania monituje użytkownika o zalogowanie się przy użyciu bezpieczniejszej metody powiadomień push. Użytkownik nadal może zdecydować się na zalogowanie przy użyciu innej metody, ale najpierw zostanie wyświetlony monit o wypróbowanie najbardziej bezpiecznej metody, którą zarejestrowali.
Uwierzytelnianie preferowane przez system to ustawienie zarządzane przez firmę Microsoft, które jest polityką trójstanową:
- Włączone — stosuje tylko uwierzytelnianie preferowane przez system do drugiego czynnika (MFA).
- Zarządzane przez firmę Microsoft — w wersji zapoznawczej przełącznik Zastosuj do uwierzytelniania podstawowego i wieloskładnikowego (wersja zapoznawcza) kontroluje, czy funkcja ma również zastosowanie do uwierzytelniania podstawowego. Gdy przełącznik jest wyłączony (ustawienie domyślne), preferowane przez system uwierzytelnianie ma zastosowanie tylko do drugiego czynnika. Gdy przełącznik jest włączony, ma zastosowanie zarówno do pierwszego, jak i drugiego czynnika.
- Wyłączone — wyłącza uwierzytelnianie preferowane przez system.
Jeśli nie chcesz włączać uwierzytelniania preferowanego przez system, zmień stan na Wyłączone lub wyklucz użytkowników i grupy z zasad.
Po włączeniu preferowanego uwierzytelniania system wykonuje całą pracę. Użytkownicy nie muszą ustawiać żadnej metody uwierzytelniania jako domyślnej, ponieważ system zawsze określa i przedstawia najbezpieczniejszą zarejestrowaną metodę.
Znane ograniczenia
- Zmiana zasad dla grupy docelowej może nie mieć wpływu na następne logowanie użytkownika. Dotyczy to wszystkich kolejnych logowań od tego momentu.
- Polityka dostępu warunkowego jest weryfikowana wyłącznie dla uwierzytelniania wieloskładnikowego i nie dotyczy uwierzytelniania pierwszego czynnika.
Włączanie uwierzytelniania preferowanego przez system w centrum administracyjnym firmy Microsoft Entra
Aby włączyć uwierzytelnianie preferowane przez system, wykonaj następujące kroki:
Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator zasad uwierzytelniania.
Przejdź do Microsoft Entra ID>Metody uwierzytelniania>Ustawienia.
W przypadku uwierzytelniania preferowanego przez system wybierz stan (zarządzany przez firmę Microsoft lub włączony) na podstawie tego, czy chcesz zastosować uwierzytelnianie preferowane przez system do obu czynników, czy tylko do drugiego czynnika. Możesz również uwzględnić lub wykluczyć wszystkich użytkowników lub grup. Wykluczone grupy mają pierwszeństwo przed uwzględnioną grupą.
Po ustawieniu stanu na zarządzany przez firmę Microsoft zostanie wyświetlony przełącznik Zastosuj do uwierzytelniania podstawowego i wieloskładnikowego (wersja zapoznawcza). Włącz przełącznik , aby zastosować uwierzytelnianie preferowane przez system do uwierzytelniania podstawowego i pomocniczego. Gdy przełącznik jest wyłączony (ustawienie domyślne), preferowane przez system uwierzytelnianie ma zastosowanie tylko do drugiego czynnika.
Na przykład poniższy zrzut ekranu przedstawia sposób włączania uwierzytelniania preferowanego przez system tylko dla grupy inżynieryjnej.
Po zakończeniu wprowadzania zmian wybierz pozycję Zapisz.
Włączanie uwierzytelniania preferowanego przez system przy użyciu interfejsów API programu Graph
Aby włączyć uwierzytelnianie preferowane przez system z wyprzedzeniem, należy wybrać pojedynczą grupę docelową dla konfiguracji schematu, jak pokazano w przykładzie Żądanie .
Właściwości konfiguracji funkcji metody uwierzytelniania
Domyślnie preferowane przez system uwierzytelnianie jest zarządzane przez firmę Microsoft.
| Nieruchomość | Typ | Opis |
|---|---|---|
| wyklucz cel | Cel funkcji | Jedna jednostka, która jest wykluczona z tej funkcji. Można wykluczyć tylko jedną grupę z uwierzytelniania preferowanego przez system, która może być grupą dynamiczną lub zagnieżdżoną. |
| dołącz cel | Cel funkcji | Jedna jednostka, która jest uwzględniona w tej funkcji. Do uwierzytelniania preferowanego przez system można dołączyć tylko jedną grupę, która może być grupą dynamiczną lub zagnieżdżoną. |
| Państwo | advancedConfigState | Dopuszczalne wartości: włączone jawnie włącza funkcję dla wybranej grupy. Dotyczy tylko drugiego czynnika (MFA). wyłączone jawnie wyłącza funkcję dla wybranej grupy. Ustawienie domyślne umożliwia firmie Microsoft Entra ID zarządzanie tym, czy funkcja jest włączona, czy nie dla wybranej grupy. |
Właściwości docelowego elementu
Uwierzytelnianie preferowane przez system można włączyć tylko dla jednej grupy, która może być grupą dynamiczną lub zagnieżdżoną.
| Nieruchomość | Typ | Opis |
|---|---|---|
| identyfikator | Sznurek | Identyfikator docelowej jednostki. |
| typ celu | typCeluFunkcji | Rodzaj jednostki docelowej, taki jak grupa, rola lub jednostka administracyjna. Możliwe wartości to: "group", "administrativeUnit", "role", "unknownFutureValue". |
Użyj następującego punktu końcowego interfejsu API, aby włączyć funkcje systemCredentialPreferences i dołączać lub wykluczać grupy:
https://graph.microsoft.com/v1.0/policies/authenticationMethodsPolicy
Uwaga
W Eksploratorze programu Graph musisz wyrazić zgodę na uprawnienie Policy.ReadWrite.AuthenticationMethod .
Żądanie
Poniższy przykład wyklucza przykładową grupę docelową i obejmuje wszystkich użytkowników. Aby uzyskać więcej informacji, zobacz Polityka metod uwierzytelniania.
PATCH https://graph.microsoft.com/v1.0/policies/authenticationMethodsPolicy
Content-Type: application/json
{
"systemCredentialPreferences": {
"state": "enabled",
"excludeTargets": [
{
"id": "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb",
"targetType": "group"
}
],
"includeTargets": [
{
"id": "all_users",
"targetType": "group"
}
]
}
}
Często zadawane pytania
W jaki sposób preferowane przez system uwierzytelnianie określa najbezpieczniejszą metodę?
Po zalogowaniu się użytkownika proces uwierzytelniania sprawdza, które metody uwierzytelniania są zarejestrowane dla użytkownika. Użytkownik jest monitowany o zalogowanie się przy użyciu najbezpieczniejszej metody zgodnie z następującą kolejnością. Kolejność metod uwierzytelniania jest dynamiczna i aktualizowana w miarę zmian w poziomie zabezpieczeń i pojawiania się lepszych metod uwierzytelniania. Użytkownicy zawsze mogą anulować i wybrać inną dostępną metodę logowania. Jeśli twoja organizacja ma zasady dostępu warunkowego, które wymagają określonych metod uwierzytelniania, te zasady nadal mają pierwszeństwo przed kolejnością uwierzytelniania preferowanego przez system.
| Ranga | Credential | Kategoria | Spełnia wymagania dotyczące |
|---|---|---|---|
| 1 | Dostęp tymczasowy (TAP) | Recovery | 1FA i uwierzytelnianie wieloskładnikowe |
| 2 | Klucz dostępu1 | Odporność na ataki phishingowe | 1FA i uwierzytelnianie wieloskładnikowe |
| 3 | Uwierzytelnianie oparte na certyfikatach (CBA) | Odporność na ataki phishingowe | 1FA lub 1FA + MFA |
| 4 | Powiadomienia Microsoft Authenticator | Logowanie bez hasła | 1FA i uwierzytelnianie wieloskładnikowe |
| 5 | Zewnętrzne uwierzytelnianie wieloskładnikowe (MFA) | — | MFA |
| 6 | Hasło jednorazowe oparte na czasie (TOTP)2 | — | MFA |
| 7 | Telefonia3 | — | MFA |
| 8 | kod QR | Pracownik pierwszego kontaktu | 1FA |
| 9 | Hasło | — | 1FA |
1Obejmuje klucze zabezpieczeń, klucze dostępu w aplikacji Authenticator, zsynchronizowane klucze dostępu, usługę Windows Hello dla firm i logowanie jednokrotne platformy macOS.
2Obejmuje sprzęt lub oprogramowanie TOTP z aplikacji Microsoft Authenticator, Authenticator Lite lub innych firm.
3Obejmuje wiadomości SMS i połączenia głosowe.
Ważna
Uwierzytelnianie oparte na certyfikatach (CBA) zostało wcześniej umieszczone na ostatnim miejscu w preferowanym przez system porządku uwierzytelniania z powodu znanych problemów związanych z CBA oraz uwierzytelnianiem preferowanym przez system. Po rozwiązaniu tych problemów od 18 marca 2026 r. uwierzytelnianie oparte na certyfikatach zostało przeniesione do trzeciej pozycji w kolejności uwierzytelniania.
W jaki sposób preferowane przez system uwierzytelnianie wpływa na rozszerzenie serwera NPS?
Uwierzytelnianie preferowane przez system nie ma wpływu na użytkowników, którzy logują się przy użyciu rozszerzenia serwera zasad sieciowych (NPS). Ci użytkownicy nie widzą żadnych zmian w środowisku logowania.
Co się stanie z użytkownikami, którzy nie są określeni w polityce metod uwierzytelniania, ale są włączeni w starszej polityce MFA tenant-wide?
Uwierzytelnianie preferowane przez system dotyczy również użytkowników, którzy mają włączone uwierzytelnianie wieloskładnikowe w zasadach uwierzytelniania wieloskładnikowego w trybie starszym.
Czy użytkownicy nadal mogą wybrać inną metodę logowania?
Tak. System preferuje uwierzytelnianie, zachęcając użytkowników do użycia najbezpieczniejszego zarejestrowanego poświadczenia, ale wciąż mogą wybierać inne dozwolone metody podczas logowania.