Системная многофакторная проверка подлинности — политика методов проверки подлинности
Системная многофакторная проверка подлинности (MFA) предлагает пользователям войти с помощью наиболее безопасного метода, который они зарегистрировали. Это важное улучшение безопасности для пользователей, прошедших проверку подлинности с помощью телекоммуникационных транспортных средств. Администраторы могут включить системную MFA для повышения безопасности входа и запретить менее безопасные методы входа, такие как short Message Service (SMS).
Например, если пользователь зарегистрировал как SMS, так и push-уведомления Microsoft Authenticator в качестве методов для MFA, предпочтительная система MFA предложит пользователю войти с помощью более безопасного метода push-уведомлений. Пользователь по-прежнему может выполнить вход с помощью другого метода, но сначала будет предложено попробовать самый безопасный метод, который он зарегистрировал.
Системный предпочтительным MFA является управляемым параметром Майкрософт, который является политикой тристата. Управляемое корпорацией Майкрософт значение mFA, предпочитаемое системой, включено. Если вы не хотите включить системную MFA, измените состояние от корпорации Майкрософт, управляемое корпорацией Майкрософт, или исключите пользователей и группы из политики.
После включения системной MFA система проверки подлинности выполняет всю работу. Пользователи не должны задавать какой-либо метод проверки подлинности по умолчанию, так как система всегда определяет и представляет самый безопасный метод, который они зарегистрировали.
Включение системной MFA в Центре администрирования Microsoft Entra
По умолчанию системная MFA управляется корпорацией Майкрософт и отключена для всех пользователей.
Войдите в Центр администрирования Microsoft Entra как минимум администратор политики проверки подлинности.
Перейдите к параметрам методов>проверки подлинности защиты.>
Для многофакторной проверки подлинности, предпочитаемой системой, выберите, следует ли явно включить или отключить эту функцию, а также включить или исключить всех пользователей. Исключенные группы имеют приоритет над группами.
Например, на следующем снимка экрана показано, как явно включить MFA системы только для группы инженеров.
После завершения внесения изменений нажмите кнопку "Сохранить".
Включение предпочтительной системы MFA с помощью API Graph
Чтобы заранее включить системную MFA, необходимо выбрать одну целевую группу для конфигурации схемы, как показано в примере запроса .
Свойства конфигурации компонентов метода проверки подлинности
По умолчанию системная MFA управляется корпорацией Майкрософт и включена.
| Свойство | Тип | Описание |
|---|---|---|
| excludeTarget | featureTarget | Одна сущность, исключенная из этой функции. Можно исключить только одну группу из предпочитаемой системой многофакторной проверки подлинности, которая может быть динамической или вложенной группой. |
| includeTarget | featureTarget | Одна сущность, включенная в эту функцию. Можно включить только одну группу для MFA, предпочитаемой системой, которая может быть динамической или вложенной группой. |
| Государство | advancedConfigState | Возможные значения: включено явное включение функции для выбранной группы. отключен явным образом отключает функцию для выбранной группы. значение по умолчанию позволяет идентификатору Microsoft Entra управлять включенной функцией или нет для выбранной группы. |
Свойства целевого объекта компонента
Системный MFA можно включить только для одной группы, которая может быть динамической или вложенной группой.
| Свойство | Тип | Описание |
|---|---|---|
| ИДЕНТИФИКАТОР | Струна | Идентификатор целевой сущности. |
| targetType | featureTargetType | Тип сущности, целевой, например группы, роли или административной единицы. Возможные значения: group, "administrativeUnit", "role", "unknownFutureValue". |
Используйте следующую конечную точку API, чтобы включить systemCredentialPreferences и включить или исключить группы:
https://graph.microsoft.com/v1.0/policies/authenticationMethodsPolicy
Заметка
В обозревателе Graph необходимо предоставить разрешение Policy.ReadWrite.AuthenticationMethod .
Просьба
Следующий пример исключает пример целевой группы и включает всех пользователей. Дополнительные сведения см. в разделе Update authenticationMethodsPolicy.
PATCH https://graph.microsoft.com/v1.0/policies/authenticationMethodsPolicy
Content-Type: application/json
{
"systemCredentialPreferences": {
"state": "enabled",
"excludeTargets": [
{
"id": "d1411007-6fcf-4b4c-8d70-1da1857ed33c",
"targetType": "group"
}
],
"includeTargets": [
{
"id": "all_users",
"targetType": "group"
}
]
}
}
Вопросы и ответы
Как предпочтительный системный MFA определяет наиболее безопасный метод?
При входе пользователя процесс проверки подлинности проверяет, какие методы проверки подлинности зарегистрированы для пользователя. Пользователю предлагается войти с помощью наиболее безопасного метода в соответствии со следующим порядком. Порядок методов проверки подлинности является динамическим. Он обновляется по мере изменения ландшафта безопасности и по мере появления лучших методов проверки подлинности. Из-за известных проблем с проверкой подлинности на основе сертификатов (CBA) и системной MFA мы переместили CBA в нижней части списка. Щелкните ссылку для получения дополнительных сведений о каждом методе.
- Временный проход доступа
- Ключ безопасности FIDO2
- Уведомления Microsoft Authenticator
- Одноразовый пароль на основе времени (TOTP)1
- Телефония2
- Проверка подлинности на основе сертификатов
1Включает оборудование или программное обеспечение TOTP из Microsoft Authenticator, Authenticator Lite или сторонних приложений.
2Включает SMS и голосовые звонки.
Как предпочтительная система MFA влияет на расширение NPS?
Предпочтительная система MFA не влияет на пользователей, которые войдите с помощью расширения "Сервер политики сети" (NPS). Эти пользователи не видят никаких изменений в интерфейсе входа.
Что происходит для пользователей, которые не указаны в политике методов проверки подлинности, но включены в устаревшей политике MFA на уровне клиента?
Предпочтительный системный MFA также применяется для пользователей, которые включены для MFA в устаревшей политике MFA.
