События
9 апр., 15 - 10 апр., 12
Закодируете будущее с помощью ИИ и подключитесь к одноранговым узлам и экспертам Java в JDConf 2025.
ЗарегистрироватьсяСистемная многофакторная проверка подлинности — политика методов проверки подлинности
Системная многофакторная проверка подлинности (MFA) предлагает пользователям войти с помощью наиболее безопасного метода, который они зарегистрировали. Это важное улучшение безопасности для пользователей, которые аутентифицируются с помощью телекоммуникационных средств. Администраторы могут включить рекомендуемую системой MFA для повышения безопасности входа и отговаривать от менее безопасных методов входа, таких как Short Message Service (SMS).
Например, если в качестве методов многофакторной аутентификации пользователь зарегистрировал уведомления как в сообщениях СМС, так и в Microsoft Authenticator, установленный в системе способ многофакторной аутентификации предложит этому пользователю войти в систему с использованием более надежного метода получения уведомлений. Пользователь по-прежнему может выполнить вход с помощью другого метода, но сначала будет предложено попробовать самый безопасный метод, который он зарегистрировал.
Системно предпочтительный MFA – это параметр, управляемый Microsoft, который является трехзначной политикой. Управляемое корпорацией Майкрософт значение mFA, предпочитаемое системой, включено. Если вы не хотите включать рекомендуемую системой MFA, измените состояние с управляется Microsoft на Отключено, или исключите пользователей и группы из политики.
После включения предпочтительного системой метода многофакторной аутентификации всю работу выполняет система аутентификации. Пользователям не нужно настраивать какой-то метод аутентификации по умолчанию, поскольку система всегда определяет и предлагает наиболее надежный метод, который они зарегистрировали.
Включите предпочитаемую системой многофакторную аутентификацию в Центре администрирования Microsoft Entra
По умолчанию предпочтительная система многофакторной аутентификации управляется Microsoft и отключена для всех пользователей.
Войдите в Центр администрирования Microsoft Entra в качестве Администратора политики проверки подлинности или более высокого уровня.
Перейдите к Защите>Методам проверки подлинности>Параметры.
Для многофакторной проверки подлинности, предпочитаемой системой, выберите, следует ли явно включить или отключить эту функцию, а также включить или исключить всех пользователей. Исключенные группы имеют приоритет над группами включения.
Например, на следующем снимке экрана показано, как специально включить предпочитаемую системой MFA только для инженерной группы.
После завершения внесения изменений нажмите кнопку "Сохранить".
Чтобы включить заранее предпочитаемую системой МФА, необходимо выбрать одну целевую группу для конфигурации схемы, как показано в примере запроса.
По умолчанию предпочитаемая системой MFA находится под управлением корпорации Майкрософт и включена.
| Свойство | тип | Описание |
|---|---|---|
| исключить цель | featureTarget | Одна сущность, исключенная из этой возможности. Можно исключить только одну группу из многофакторной проверки подлинности, предпочитаемой системой, и эта группа может быть динамической или вложенной. |
| включитьЦель | featureTarget | Одна сущность, которая входит в эту функцию. Можно включить только одну группу для MFA, предпочитаемой системой, которая может быть динамической или вложенной группой. |
| Штат | advancedConfigState | Возможны следующие значения: enabled: явным образом включает функцию для выбранной группы. disabled: явным образом выключает функцию для выбранной группы. Значение по умолчанию позволяет Microsoft Entra ID управлять, включена функция или нет, для выбранной группы. |
Системный MFA можно включить только для одной группы, которая может быть динамической или вложенной группой.
| Недвижимость | Тип | Описание |
|---|---|---|
| Идентификатор | Строка | Идентификатор целевой сущности. |
| тип цели | тип целевого объекта функции | Тип целевой сущности, такой как группа, роль или административная единица. Возможные значения: group, "administrativeUnit", "role", "unknownFutureValue". |
Используйте следующую конечную точку API, чтобы включить systemCredentialPreferences и включить или исключить группы:
https://graph.microsoft.com/v1.0/policies/authenticationMethodsPolicy
Примечание
В обозревателе Graph необходимо дать согласие на разрешение Policy.ReadWrite.AuthenticationMethod.
Следующий пример исключает пример целевой группы и включает всех пользователей. Дополнительные сведения см. в разделе Update authenticationMethodsPolicy.
HTTP
PATCH https://graph.microsoft.com/v1.0/policies/authenticationMethodsPolicy
Content-Type: application/json
{
"systemCredentialPreferences": {
"state": "enabled",
"excludeTargets": [
{
"id": "d1411007-6fcf-4b4c-8d70-1da1857ed33c",
"targetType": "group"
}
],
"includeTargets": [
{
"id": "all_users",
"targetType": "group"
}
]
}
}
При входе пользователя процесс проверки подлинности проверяет, какие методы проверки подлинности зарегистрированы для пользователя. Пользователю предлагается войти с помощью наиболее безопасного метода в соответствии со следующим порядком. Порядок методов проверки подлинности является динамическим. Он обновляется по мере изменения ландшафта безопасности и по мере появления лучших методов проверки подлинности. Из-за известных проблем с проверкой подлинности на основе сертификатов (CBA) и предпочтительной для системы многофакторной аутентификацией (MFA) мы переместили CBA в конец списка. Щелкните ссылку для получения дополнительных сведений о каждом методе.
- Временный проход доступа
- Секретный ключ (FIDO2)
- Уведомления Microsoft Authenticator
- внешние методы проверки подлинности
- Одноразовый пароль на основе времени (TOTP)1
- Телефония2
- Аутентификация на основе сертификата
1Включает оборудование или программное обеспечение TOTP из Microsoft Authenticator, Authenticator Lite или сторонних приложений.
2Включает SMS и голосовые звонки.
Предпочтительная система MFA не влияет на пользователей, которые входят с помощью расширения "Сервер политики сети" (NPS). Эти пользователи не видят никаких изменений в интерфейсе входа.
Что происходит для пользователей, которые не указаны в политике методов проверки подлинности, но включены в устаревшей политике MFA на уровне клиента?
Предпочтительная система MFA также применяется к пользователям, которые включены в MFA согласно устаревшей политике MFA.
Дополнительные ресурсы
Обучение
Схема обучения
Многофакторная проверка подлинности помогает защитить среду и ресурсы, требуя от пользователей подтвердить личность с помощью нескольких методов проверки подлинности, таких как телефонный звонок, текстовое сообщение, уведомление мобильного приложения или одноразовый пароль. Многофакторную проверку подлинности можно использовать как в локальной, так и в облачной среде, чтобы обеспечить дополнительную безопасность при доступе к веб-службам Майкрософт, приложениям удаленного доступа и т. д. В этой схеме обучен
Сертификация
Сертифицировано Microsoft 365: администратор конечной точки - Certifications
Планирование и выполнение стратегии развертывания конечных точек с помощью основных элементов современного управления, совместного управления и интеграции Microsoft Intune.