Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Системная многофакторная проверка подлинности (MFA) предлагает пользователям войти с помощью наиболее безопасного метода, который они зарегистрировали. Это важное улучшение безопасности для пользователей, которые аутентифицируются с помощью телекоммуникационных средств. Администраторы могут включить рекомендуемую системой MFA для повышения безопасности входа и отговаривать от менее безопасных методов входа, таких как Short Message Service (SMS).
Например, если в качестве методов многофакторной аутентификации пользователь зарегистрировал уведомления как в сообщениях СМС, так и в Microsoft Authenticator, установленный в системе способ многофакторной аутентификации предложит этому пользователю войти в систему с использованием более надежного метода получения уведомлений. Пользователь по-прежнему может выполнить вход с помощью другого метода, но сначала будет предложено попробовать самый безопасный метод, который он зарегистрировал.
Системно предпочтительный MFA – это параметр, управляемый Microsoft, который является трехзначной политикой. Управляемое корпорацией Майкрософт значение mFA, предпочитаемое системой, включено. Если вы не хотите включать многофакторную аутентификацию, управляемую компанией Microsoft, измените состояние с Microsoft managed на Disabled, или исключите пользователей и группы из политики.
После включения предпочтительного системой метода многофакторной аутентификации всю работу выполняет система аутентификации. Пользователям не нужно настраивать какой-то метод аутентификации по умолчанию, поскольку система всегда определяет и предлагает наиболее надежный метод, который они зарегистрировали.
Включите предпочитаемую системой многофакторную аутентификацию в Центре администрирования Microsoft Entra
По умолчанию предпочтительная система многофакторной аутентификации управляется Microsoft и отключена для всех пользователей.
Войдите в Центр администрирования Microsoft Entra как минимум администратор политики проверки подлинности.
Перейдите к Entra ID>методам проверки подлинности>параметрам.
Для многофакторной проверки подлинности, предпочитаемой системой, выберите, следует ли явно включить или отключить эту функцию, а также включить или исключить всех пользователей. Исключенные группы имеют приоритет над группами включения.
Например, на следующем снимке экрана показано, как специально включить предпочитаемую системой MFA только для инженерной группы.
После завершения внесения изменений нажмите кнопку "Сохранить".
Включите предпочитаемую системой многофакторную аутентификацию с использованием Graph API.
Чтобы заранее включить предпочитаемую системой MFA, необходимо выбрать одну целевую группу для конфигурации схемы, как показано в примере запроса.
Свойства конфигурации функции способа аутентификации
По умолчанию предпочтительная многофакторная аутентификация системы управляется Microsoft и включена.
| Свойство | тип | Описание |
|---|---|---|
| исключить цель | Целевая особенность | Одна сущность, исключенная из этой возможности. Можно исключить только одну группу из многофакторной проверки подлинности, предпочитаемой системой, и эта группа может быть динамической или вложенной. |
| включитьЦель | Целевая особенность | Одна сущность, которая входит в эту функцию. Вы можете включить только одну группу для MFA, которая задается системой, и она может быть динамической или вложенной. |
| Штат | advancedConfigState | Возможны следующие значения: включено явно включает функцию для выбранной группы. отключен явным образом отключает функцию для выбранной группы. значение по умолчанию позволяет идентификатору Microsoft Entra управлять включенной функцией или нет для выбранной группы. |
Свойства целевых функций
Предпочитаемый системой MFA можно включить только для одной группы, которая может быть динамической или вложенной.
| Свойство | тип | Описание |
|---|---|---|
| Идентификатор | Строка | Идентификатор нацеленной сущности. |
| тип цели | тип целевого объекта функции | Тип целевой сущности, такой как группа, роль или административная единица. Возможные значения: "группа", "административная единица", "роль", "неизвестное будущее значение". |
Используйте следующую конечную точку API, чтобы включить systemCredentialPreferences и включить или исключить группы:
https://graph.microsoft.com/v1.0/policies/authenticationMethodsPolicy
Примечание.
В обозревателе Graph нужно дать согласие на разрешение Policy.ReadWrite.AuthenticationMethod.
Запрос
Следующий пример исключает пример целевой группы и включает всех пользователей. Дополнительные сведения см. в разделе Update authenticationMethodsPolicy.
PATCH https://graph.microsoft.com/v1.0/policies/authenticationMethodsPolicy
Content-Type: application/json
{
"systemCredentialPreferences": {
"state": "enabled",
"excludeTargets": [
{
"id": "d1411007-6fcf-4b4c-8d70-1da1857ed33c",
"targetType": "group"
}
],
"includeTargets": [
{
"id": "all_users",
"targetType": "group"
}
]
}
}
Вопросы и ответы
Как системный предпочитаемый метод MFA выбирает наиболее безопасный метод?
При входе пользователя процесс проверки подлинности проверяет, какие методы проверки подлинности зарегистрированы для пользователя. Пользователю предлагается войти с помощью наиболее безопасного метода в соответствии со следующим порядком. Порядок методов проверки подлинности является динамическим. Он обновляется по мере изменения ландшафта безопасности и по мере появления лучших методов проверки подлинности. Из-за известных проблем с проверкой подлинности на основе сертификатов (CBA) и предпочтительной для системы многофакторной аутентификацией (MFA) мы переместили CBA в конец списка. Щелкните ссылку для получения дополнительных сведений о каждом методе.
- Временный проход доступа
- Секретный ключ (FIDO2)
- Внешние методы проверки подлинности
- Уведомления Microsoft Authenticator
- Одноразовый пароль на основе времени (TOTP)1
- Телефония2
- Проверка подлинности на основе сертификатов
1Включает оборудование или программное обеспечение TOTP из Microsoft Authenticator, Authenticator Lite или сторонних приложений.
2Включает SMS и голосовые звонки.
Как предпочтительный системой MFA влияет на расширение NPS?
Предпочтительная система MFA не влияет на пользователей, которые входят с помощью расширения "Сервер политики сети" (NPS). Эти пользователи не видят никаких изменений в интерфейсе входа.
Что происходит для пользователей, которые не указаны в политике методов проверки подлинности, но включены в устаревшей политике MFA на уровне клиента?
Предпочтительная система MFA также применяется к пользователям, которые включены в MFA согласно устаревшей политике MFA.
Следующие шаги
- Методы аутентификации в Microsoft Entra ID
- Как запустить кампанию регистрации для настройки Microsoft Authenticator