Поделиться через

Системная многофакторная проверка подлинности — политика методов проверки подлинности

  • Статья

Системная многофакторная проверка подлинности (MFA) предлагает пользователям войти с помощью наиболее безопасного метода, который они зарегистрировали. Это важное улучшение безопасности для пользователей, прошедших проверку подлинности с помощью телекоммуникационных транспортных средств. Администраторы могут включить системную MFA для повышения безопасности входа и запретить менее безопасные методы входа, такие как short Message Service (SMS).

Например, если в качестве методов многофакторной аутентификации пользователь зарегистрировал уведомления как в сообщениях СМС, так и в Microsoft Authenticator, установленный в системе способ многофакторной аутентификации предложит этому пользователю войти в систему с использованием более надежного метода получения уведомлений. Пользователь по-прежнему может выполнить вход с помощью другого метода, но сначала будет предложено попробовать самый безопасный метод, который он зарегистрировал.

Системный предпочтительным MFA является управляемым параметром Майкрософт, который является политикой тристата. Управляемое корпорацией Майкрософт значение mFA, предпочитаемое системой, включено. Если вы не хотите включить системную MFA, измените состояние от корпорации Майкрософт, управляемое корпорацией Майкрософт, или исключите пользователей и группы из политики.

После включения установленного в системе способа многофакторной аутентификации всю работу будет выполнять система аутентификации. Пользователям не нужно настраивать какой-то метод аутентификации по умолчанию, поскольку система всегда определяет и предлагает наиболее надежный метод, который они зарегистрировали.

Включение системной MFA в Центре администрирования Microsoft Entra

По умолчанию системная MFA управляется корпорацией Майкрософт и отключена для всех пользователей.

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор политики проверки подлинности.

  2. Перейдите к параметрам методов>проверки подлинности защиты.>

  3. Для многофакторной проверки подлинности, предпочитаемой системой, выберите, следует ли явно включить или отключить эту функцию, а также включить или исключить всех пользователей. Исключенные группы имеют приоритет над группами.

    Например, на следующем снимка экрана показано, как явно включить MFA системы только для группы инженеров.

    Снимок экрана: включение настроек Microsoft Authenticator для режима проверки подлинности с помощью Push-уведомлений.

  4. После завершения внесения изменений нажмите кнопку "Сохранить".

Включение предпочтительной системы MFA с помощью API Graph

Чтобы заранее включить системную MFA, необходимо выбрать одну целевую группу для конфигурации схемы, как показано в примере запроса .

Свойства конфигурации для возможности способа проверки подлинности

По умолчанию системная MFA управляется корпорацией Майкрософт и включена.

Свойство Type Описание
excludeTarget featureTarget Одна сущность, исключенная из этой возможности.
Можно исключить только одну группу из предпочитаемой системой многофакторной проверки подлинности, которая может быть динамической или вложенной группой.
includeTarget featureTarget Одна сущность, включенная в эту возможность.
Можно включить только одну группу для MFA, предпочитаемой системой, которая может быть динамической или вложенной группой.
Штат advancedConfigState Возможны следующие значения:
enabled: явным образом включает функцию для выбранной группы.
disabled: явным образом выключает функцию для выбранной группы.
значение по умолчанию позволяет идентификатору Microsoft Entra управлять включенной функцией или нет для выбранной группы.

Целевые свойства возможности

Системный MFA можно включить только для одной группы, которая может быть динамической или вложенной группой.

Свойство Type Описание
Идентификатор Строка Идентификатор целевой сущности.
targetType featureTargetType Тип целевой сущности, такой как группа, роль или административная единица. Возможные значения: group, "administrativeUnit", "role", "unknownFutureValue".

Используйте следующую конечную точку API, чтобы включить systemCredentialPreferences и включить или исключить группы:

https://graph.microsoft.com/v1.0/policies/authenticationMethodsPolicy

Примечание.

В обозревателе Graph необходимо предоставить разрешение Policy.ReadWrite.AuthenticationMethod .

Запросить

Следующий пример исключает пример целевой группы и включает всех пользователей. Дополнительные сведения см. в разделе Update authenticationMethodsPolicy.

PATCH https://graph.microsoft.com/v1.0/policies/authenticationMethodsPolicy
Content-Type: application/json

{
    "systemCredentialPreferences": {
        "state": "enabled",
        "excludeTargets": [
            {
                "id": "d1411007-6fcf-4b4c-8d70-1da1857ed33c",
                "targetType": "group"
            }
        ],
        "includeTargets": [
            {
                "id": "all_users",
                "targetType": "group"
            }
        ]
    }
}

Вопросы и ответы

Как предпочтительный системный MFA определяет наиболее безопасный метод?

При входе пользователя процесс проверки подлинности проверяет, какие методы проверки подлинности зарегистрированы для пользователя. Пользователю предлагается войти с помощью наиболее безопасного метода в соответствии со следующим порядком. Порядок методов проверки подлинности является динамическим. Он обновляется по мере изменения ландшафта безопасности и по мере появления лучших методов проверки подлинности. Из-за известных проблем с проверкой подлинности на основе сертификатов (CBA) и системной MFA мы переместили CBA в нижней части списка. Щелкните ссылку для получения дополнительных сведений о каждом методе.

  1. Временный проход доступа
  2. Секретный ключ (FIDO2)
  3. Уведомления Microsoft Authenticator
  4. Одноразовый пароль на основе времени (TOTP)1
  5. Телефония2
  6. Аутентификация на основе сертификата

1Включает оборудование или программное обеспечение TOTP из Microsoft Authenticator, Authenticator Lite или сторонних приложений.

2Включает SMS и голосовые звонки.

Как предпочтительная система MFA влияет на расширение NPS?

Предпочтительная система MFA не влияет на пользователей, которые войдите с помощью расширения "Сервер политики сети" (NPS). Эти пользователи не видят никаких изменений в интерфейсе входа.

Что происходит для пользователей, которые не указаны в политике методов проверки подлинности, но включены в устаревшей политике MFA на уровне клиента?

Предпочтительный системный MFA также применяется для пользователей, которые включены для MFA в устаревшей политике MFA.

Снимок экрана: устаревшие параметры MFA.

Следующие шаги