Udostępnij za pośrednictwem

Włączanie uwierzytelniania wieloskładnikowego firmy Microsoft dla użytkownika w celu zabezpieczenia zdarzeń logowania

  • Artykuł

Aby zabezpieczyć zdarzenia logowania użytkownika w usłudze Microsoft Entra ID, możesz wymagać uwierzytelniania wieloskładnikowego (MFA) firmy Microsoft. Najlepszym sposobem ochrony użytkowników za pomocą usługi Microsoft Entra MFA jest utworzenie zasad dostępu warunkowego. Dostęp warunkowy to funkcja Microsoft Entra ID P1 lub P2, która umożliwia stosowanie reguł w celu wymagania uwierzytelniania wieloskładnikowego zgodnie z potrzebami w niektórych scenariuszach. Aby rozpocząć korzystanie z dostępu warunkowego, zobacz Samouczek: Zabezpieczanie zdarzeń logowania użytkownika przy użyciu uwierzytelniania wieloskładnikowego firmy Microsoft.

W przypadku dzierżaw usługi Microsoft Entra ID Free bez dostępu warunkowego można chronić użytkowników przy użyciu domyślnych ustawień zabezpieczeń. Użytkownicy są monitowani o uwierzytelnianie wieloskładnikowe zgodnie z potrzebami, ale nie można zdefiniować własnych reguł w celu kontrolowania zachowania.

W razie potrzeby możesz włączyć każde konto dla użytkownika Microsoft Entra MFA. Po włączeniu użytkowników indywidualnie wykonują uwierzytelnianie wieloskładnikowe za każdym razem, gdy się logują. Możesz włączyć wyjątki, takie jak po zalogowaniu się z zaufanych adresów IP lub włączeniu funkcji zapamiętania uwierzytelniania wieloskładnikowego na zaufanych urządzeniach .

Zmiana stanów użytkowników nie jest zalecana, chyba że licencje identyfikatora Entra firmy Microsoft nie zawierają dostępu warunkowego i nie chcesz używać wartości domyślnych zabezpieczeń. Aby uzyskać więcej informacji na temat różnych sposobów włączania uwierzytelniania wieloskładnikowego, zobacz Funkcje i licencje na uwierzytelnianie wieloskładnikowe firmy Microsoft.

Ważne

W tym artykule szczegółowo opisano sposób wyświetlania i zmieniania stanu uwierzytelniania wieloskładnikowego firmy Microsoft dla poszczególnych użytkowników. Jeśli używasz ustawień domyślnych dostępu warunkowego lub zabezpieczeń, nie przeglądasz ani nie włączasz kont użytkowników, wykonując te kroki.

Włączenie uwierzytelniania wieloskładnikowego firmy Microsoft za pomocą zasad dostępu warunkowego nie zmienia stanu użytkownika. Nie alarmuj, jeśli użytkownicy pojawią się wyłączeni. Dostęp warunkowy nie zmienia stanu.

Jeśli używasz zasad dostępu warunkowego, nie włączaj ani wymuszaj uwierzytelniania wieloskładnikowego firmy Microsoft w usłudze Microsoft Entra.

Stany użytkownika uwierzytelniania wieloskładnikowego firmy Microsoft

Stan użytkownika odzwierciedla, czy administrator uwierzytelniania zarejestrował je w ramach uwierzytelniania wieloskładnikowego firmy Microsoft dla użytkownika. Konta użytkowników w usłudze Microsoft Entra multifactor authentication mają następujące trzy odrębne stany:

Stan opis Dotyczy to starszego uwierzytelniania Dotyczy to aplikacji przeglądarki Dotyczy to nowoczesnego uwierzytelniania
Disabled Domyślny stan użytkownika, który nie został zarejestrowany w ramach uwierzytelniania wieloskładnikowego firmy Microsoft dla poszczególnych użytkowników. Nie Nie. Nie.
Włączona Użytkownik jest zarejestrowany w uwierzytelnianiu wieloskładnikowym firmy Microsoft dla poszczególnych użytkowników, ale nadal może używać swojego hasła do starszego uwierzytelniania. Jeśli użytkownik nie ma zarejestrowanych metod uwierzytelniania wieloskładnikowego, otrzymuje monit o zarejestrowanie przy następnym logowaniu przy użyciu nowoczesnego uwierzytelniania (na przykład po zalogowaniu się w przeglądarce internetowej). L.p. Starsze uwierzytelnianie nadal działa do momentu zakończenia procesu rejestracji. Tak. Po wygaśnięciu sesji wymagana jest rejestracja uwierzytelniania wieloskładnikowego firmy Microsoft. Tak. Po wygaśnięciu tokenu dostępu wymagana jest rejestracja uwierzytelniania wieloskładnikowego firmy Microsoft.
Wymuszone Użytkownik jest zarejestrowany dla poszczególnych użytkowników w ramach uwierzytelniania wieloskładnikowego firmy Microsoft. Jeśli użytkownik nie ma zarejestrowanych metod uwierzytelniania, otrzymuje monit o zarejestrowanie przy następnym logowaniu przy użyciu nowoczesnego uwierzytelniania (na przykład po zalogowaniu się w przeglądarce internetowej). Użytkownicy, którzy ukończyli rejestrację po włączeniu, zostaną automatycznie przeniesieni do stanu Wymuszone. Tak. Aplikacje wymagają haseł aplikacji. Tak. Uwierzytelnianie wieloskładnikowe firmy Microsoft jest wymagane podczas logowania. Tak. Uwierzytelnianie wieloskładnikowe firmy Microsoft jest wymagane podczas logowania.

Wszyscy użytkownicy zaczynają wyłączać. Po zarejestrowaniu użytkowników w uwierzytelnianiu wieloskładnikowym firmy Microsoft firmy Microsoft ich stan zmieni się na Włączone. Po włączeniu użytkowników logują się i zakończą proces rejestracji, ich stan zmieni się na Wymuszone. Administratorzy mogą przenosić użytkowników między stanami, w tym z wymuszonej do włączonej lub wyłączonej.

Uwaga

Jeśli uwierzytelnianie wieloskładnikowe dla użytkownika jest ponownie włączone dla użytkownika, a użytkownik nie zarejestruje się ponownie, jego stan uwierzytelniania wieloskładnikowego nie zostanie przeniesiony z Włączone na Wymuszone w interfejsie użytkownika zarządzania uwierzytelnianiem wieloskładnikowym. Administrator musi przenieść użytkownika bezpośrednio do wymuszonego.

Wyświetlanie stanu użytkownika

Ostatnio ulepszono środowisko administracyjne uwierzytelniania wieloskładnikowego dla poszczególnych użytkowników w centrum administracyjnym firmy Microsoft Entra. Aby wyświetlić stany użytkowników i zarządzać nimi, wykonaj następujące kroki:

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator zasad uwierzytelniania.

  2. Przejdź do pozycji Tożsamość>Użytkownicy>Wszyscy użytkownicy.

  3. Wybierz konto użytkownika i kliknij pozycję Ustawienia uwierzytelniania wieloskładnikowego użytkownika.

  4. Po wprowadzeniu jakichkolwiek zmian kliknij przycisk Zapisz.

    Zrzut ekranu przedstawiający przykład ustawień uwierzytelniania wieloskładnikowego dla użytkownika.

    Jeśli spróbujesz posortować tysiące użytkowników, wynik może z wdziękiem zwrócić brak użytkowników do wyświetlenia. Spróbuj wprowadzić bardziej szczegółowe kryteria wyszukiwania, aby zawęzić wyszukiwanie, lub zastosować określone filtry Stanu lub Wyświetl .

    Zrzut ekranu przedstawiający przykład sposobu filtrowania dużego sortowania użytkownika.

Podczas przechodzenia do nowego środowiska uwierzytelniania wieloskładnikowego dla użytkownika możesz również uzyskać dostęp do starszego środowiska uwierzytelniania wieloskładnikowego dla poszczególnych użytkowników. Format to:

https://account.activedirectory.windowsazure.com/usermanagement/multifactorverification.aspx?tenantId=${userTenantID}

Aby uzyskać identyfikator userTenantIDdzierżawy, skopiuj identyfikator dzierżawy na stronie Przegląd w centrum administracyjnym firmy Microsoft Entra. Następnie wykonaj następujące kroki, aby wyświetlić stan użytkownika ze starszym środowiskiem:

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator uwierzytelniania.
  2. Przejdź do pozycji Tożsamość>Użytkownicy>Wszyscy użytkownicy.
  3. Wybierz opcję Uwierzytelnianie wieloskładnikowe na użytkownika. Zrzut ekranu przedstawiający wybieranie uwierzytelniania wieloskładnikowego poszczególnych użytkowników.
  4. Zostanie otwarta nowa strona, która wyświetla stan użytkownika, jak pokazano w poniższym przykładzie. Zrzut ekranu przedstawiający przykładowe informacje o stanie użytkownika dla uwierzytelniania wieloskładnikowego firmy Microsoft.

Zmienianie stanu użytkownika

Aby zmienić stan uwierzytelniania wieloskładnikowego dla użytkownika firmy Microsoft Entra, wykonaj następujące kroki:

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator zasad uwierzytelniania.

  2. Przejdź do pozycji Tożsamość>Użytkownicy>Wszyscy użytkownicy.

  3. Wybierz konto użytkownika, a następnie kliknij pozycję Włącz uwierzytelnianie wieloskładnikowe. Zrzut ekranu przedstawiający sposób włączania użytkownika na potrzeby uwierzytelniania wieloskładnikowego firmy Microsoft.

    Napiwek

    Użytkownicy z włączoną obsługą są automatycznie przełączani na wymuszane po zarejestrowaniu się w celu uwierzytelniania wieloskładnikowego firmy Microsoft. Nie należy ręcznie zmieniać stanu użytkownika na Wymuszone , chyba że użytkownik jest już zarejestrowany lub jeśli jest akceptowalny, aby użytkownik doświadczał przerw w nawiązywaniu połączeń ze starszymi protokołami uwierzytelniania.

  4. Potwierdź wybór w otwartym oknie podręcznym.

Po włączeniu użytkowników powiadom ich pocztą e-mail. Poinformuj użytkowników, że zostanie wyświetlony monit o zarejestrowanie się przy następnym zalogowaniu. Jeśli twoja organizacja używa aplikacji, które nie działają w przeglądarce lub obsługują nowoczesne uwierzytelnianie, możesz utworzyć hasła aplikacji. Aby uzyskać więcej informacji, zobacz Wymuszanie uwierzytelniania wieloskładnikowego firmy Microsoft przy użyciu starszych aplikacji przy użyciu haseł aplikacji.

Zarządzanie usługą MFA dla poszczególnych użytkowników przy użyciu programu Microsoft Graph

Ustawienia uwierzytelniania wieloskładnikowego dla poszczególnych użytkowników można zarządzać przy użyciu interfejsu API REST programu Microsoft Graph w wersji beta. Możesz użyć typu zasobu uwierzytelniania, aby uwidocznić stany metod uwierzytelniania dla użytkowników.

Aby zarządzać uwierzytelnianiem wieloskładnikowym dla użytkownika, użyj właściwości perUserMfaState w obszarze users/id/authentication/requirements. Aby uzyskać więcej informacji, zobacz strongAuthenticationRequirements typ zasobu.

Wyświetlanie stanu uwierzytelniania wieloskładnikowego dla użytkownika

Aby pobrać stan uwierzytelniania wieloskładnikowego dla użytkownika:

GET /users/{id | userPrincipalName}/authentication/requirements

Na przykład:

GET https://graph.microsoft.com/beta/users/071cc716-8147-4397-a5ba-b2105951cc0b/authentication/requirements

Jeśli użytkownik jest włączony dla uwierzytelniania wieloskładnikowego dla użytkownika, odpowiedź brzmi:

HTTP/1.1 200 OK
Content-Type: application/json

{
  "perUserMfaState": "enforced"
}

Aby uzyskać więcej informacji, zobacz Pobieranie stanów metod uwierzytelniania.

Zmienianie stanu uwierzytelniania wieloskładnikowego dla użytkownika

Aby zmienić stan uwierzytelniania wieloskładnikowego dla użytkownika, użyj elementu strongAuthenticationRequirements użytkownika. Na przykład:

PATCH https://graph.microsoft.com/beta/users/071cc716-8147-4397-a5ba-b2105951cc0b/authentication/requirements
Content-Type: application/json

{
  "perUserMfaState": "disabled"
}

W przypadku powodzenia odpowiedź to:

HTTP/1.1 204 No Content

Aby uzyskać więcej informacji, zobacz Aktualizowanie stanów metod uwierzytelniania.

Następne kroki

Aby skonfigurować ustawienia uwierzytelniania wieloskładnikowego firmy Microsoft, zobacz Konfigurowanie ustawień uwierzytelniania wieloskładnikowego firmy Microsoft.

Aby zarządzać ustawieniami użytkownika dla uwierzytelniania wieloskładnikowego firmy Microsoft, zobacz Zarządzanie ustawieniami użytkownika za pomocą uwierzytelniania wieloskładnikowego firmy Microsoft.

Aby dowiedzieć się, dlaczego użytkownik został wyświetlony monit o wykonanie uwierzytelniania wieloskładnikowego, zobacz Raporty uwierzytelniania wieloskładnikowego firmy Microsoft.