Системная многофакторная проверка подлинности — политика методов проверки подлинности
Системная многофакторная проверка подлинности (MFA) предлагает пользователям войти с помощью наиболее безопасного метода, который они зарегистрировали. Администратор istrator может включить системную MFA для повышения безопасности входа и запретить менее безопасные методы входа, такие как SMS.
Например, если в качестве методов многофакторной аутентификации пользователь зарегистрировал уведомления как в сообщениях СМС, так и в Microsoft Authenticator, установленный в системе способ многофакторной аутентификации предложит этому пользователю войти в систему с использованием более надежного метода получения уведомлений. Пользователь по-прежнему может выполнить вход с помощью другого метода, но сначала будет предложено попробовать самый безопасный метод, который он зарегистрировал.
Системный предпочтительным MFA является управляемым параметром Майкрософт, который является политикой тристата. Для предварительной версии состояние по умолчанию отключено. Если вы хотите включить его для всех пользователей или группы пользователей во время предварительной версии, необходимо явно изменить управляемое состояние Майкрософт на Включено. Через некоторое время после общедоступной доступности управляемое состояние Майкрософт для предпочтительной системы MFA изменится на Включено.
После включения установленного в системе способа многофакторной аутентификации всю работу будет выполнять система аутентификации. Пользователям не нужно настраивать какой-то метод аутентификации по умолчанию, поскольку система всегда определяет и предлагает наиболее надежный метод, который они зарегистрировали.
Примечание.
Системный предпочтительным MFA является важным улучшением безопасности для пользователей, проверяющих подлинность с помощью телекоммуникационных транспортных средств. Начиная с 7 июля 2023 г., управляемое корпорацией Майкрософт значение MFA, предпочитаемое системой, изменится с "Отключено " на "Включено". Если вы не хотите включить системную MFA, измените состояние по умолчанию на "Отключено" или исключите пользователей и группы из политики.
Включение системной MFA в Центре администрирования Microsoft Entra
По умолчанию системная MFA управляется корпорацией Майкрософт и отключена для всех пользователей.
Войдите в Центр администрирования Microsoft Entra как минимум политику проверки подлинности Администратор istrator.
Перейдите к методам> проверки подлинности защиты>Параметры.
Для многофакторной проверки подлинности, предпочитаемой системой, выберите, следует ли явно включить или отключить эту функцию, а также включить или исключить всех пользователей. Исключенные группы имеют приоритет над группами.
Например, на следующем снимка экрана показано, как явно включить MFA системы только для группы инженеров.
После завершения внесения изменений нажмите кнопку "Сохранить".
Включение предпочтительной системы MFA с помощью API Graph
Чтобы заранее включить системную MFA, необходимо выбрать одну целевую группу для конфигурации схемы, как показано в примере запроса .
Свойства конфигурации для возможности способа проверки подлинности
По умолчанию системная MFA управляется корпорацией Майкрософт и отключается во время предварительной версии. После общедоступной доступности значение по умолчанию управляемого состояния Майкрософт изменится, чтобы включить системную MFA.
| Свойство | Type | Описание |
|---|---|---|
| excludeTarget | featureTarget | Одна сущность, исключенная из этой возможности. Можно исключить только одну группу из предпочитаемой системой многофакторной проверки подлинности, которая может быть динамической или вложенной группой. |
| includeTarget | featureTarget | Одна сущность, включенная в эту возможность. Можно включить только одну группу для MFA, предпочитаемой системой, которая может быть динамической или вложенной группой. |
| State | advancedConfigState | Возможны следующие значения: enabled: явным образом включает функцию для выбранной группы. disabled: явным образом выключает функцию для выбранной группы. значение по умолчанию позволяет идентификатору Microsoft Entra управлять включенной функцией или нет для выбранной группы. |
Целевые свойства возможности
Системный MFA можно включить только для одной группы, которая может быть динамической или вложенной группой.
| Свойство | Type | Описание |
|---|---|---|
| Идентификатор | Строка | Идентификатор целевой сущности. |
| Targettype | featureTargetType | Тип целевой сущности, такой как группа, роль или административная единица. Возможные значения: group, "administrativeUnit", "role", "unknownFutureValue". |
Используйте следующую конечную точку API, чтобы включить systemCredentialPreferences и включить или исключить группы:
https://graph.microsoft.com/beta/policies/authenticationMethodsPolicy
Примечание.
В Graph Обозреватель необходимо предоставить разрешение Policy.ReadWrite.AuthenticationMethod.
Запросить
Следующий пример исключает пример целевой группы и включает всех пользователей. Дополнительные сведения см. в разделе Update authenticationMethodsPolicy.
PATCH https://graph.microsoft.com/beta/policies/authenticationMethodsPolicy
Content-Type: application/json
{
"systemCredentialPreferences": {
"state": "enabled",
"excludeTargets": [
{
"id": "d1411007-6fcf-4b4c-8d70-1da1857ed33c",
"targetType": "group"
}
],
"includeTargets": [
{
"id": "all_users",
"targetType": "group"
}
]
}
}
Вопросы и ответы
Как предпочтительный системный MFA определяет наиболее безопасный метод?
При входе пользователя процесс проверки подлинности проверка, какие методы проверки подлинности регистрируются для пользователя. Пользователю предлагается войти с помощью наиболее безопасного метода в соответствии со следующим порядком. Порядок методов проверки подлинности является динамическим. Он обновляется по мере изменения ландшафта безопасности и по мере появления лучших методов проверки подлинности. Из-за известных проблем с проверкой подлинности на основе сертификатов и системной предпочтительной MFA мы переместили CBA в нижней части списка. Щелкните ссылку для получения сведений о каждом методе.
- Временный проход доступа
- Ключ безопасности FIDO2
- Уведомления Microsoft Authenticator
- Одноразовый пароль на основе времени (TOTP)1
- Телефония2
- Аутентификация на основе сертификата
1 Включает оборудование или программное обеспечение TOTP из Microsoft Authenticator, Authenticator Lite или сторонних приложений.
2 Включает SMS и голосовые звонки.
Как предпочтительная система MFA влияет на расширение NPS?
Предпочтительная система MFA не влияет на пользователей, которые войдите с помощью расширения "Сервер политики сети" (NPS). Эти пользователи не видят никаких изменений в интерфейсе входа.
Что происходит для пользователей, которые не указаны в политике методов проверки подлинности, но включены в устаревшей политике MFA на уровне клиента?
Предпочтительный системный MFA также применяется для пользователей, которые включены для MFA в устаревшей политике MFA.
Следующие шаги
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по