Aktivera microsoft Entra-multifaktorautentisering per användare för att skydda inloggningshändelser
För att skydda användarinloggningshändelser i Microsoft Entra-ID kan du kräva Microsoft Entra multifaktorautentisering (MFA). Det bästa sättet att skydda användare med Microsoft Entra MFA är att skapa en princip för villkorsstyrd åtkomst. Villkorsstyrd åtkomst är en Microsoft Entra ID P1- eller P2-funktion som låter dig tillämpa regler för att kräva MFA efter behov i vissa scenarier. Information om hur du kommer igång med villkorlig åtkomst finns i Självstudie: Skydda användarinloggningshändelser med Microsoft Entra multifaktorautentisering.
För kostnadsfria Microsoft Entra-ID-klienter utan villkorlig åtkomst kan du använda standardinställningar för säkerhet för att skydda användare. Användarna uppmanas att ange MFA efter behov, men du kan inte definiera dina egna regler för att kontrollera beteendet.
Om det behövs kan du i stället aktivera varje konto för Microsoft Entra MFA per användare. När du aktiverar användare individuellt utför de MFA varje gång de loggar in. Du kan aktivera undantag, till exempel när de loggar in från betrodda IP-adresser eller när funktionen kom ihåg att MFA på betrodda enheter är aktiverad.
Du rekommenderas inte att ändra användartillstånd om inte dina Microsoft Entra-ID-licenser inte innehåller villkorsstyrd åtkomst och du inte vill använda standardinställningar för säkerhet. Mer information om olika sätt att aktivera MFA finns i Funktioner och licenser för Microsoft Entra multifaktorautentisering.
Viktigt!
Den här artikeln beskriver hur du visar och ändrar status för microsoft Entra-multifaktorautentisering per användare. Om du använder villkorlig åtkomst eller standardinställningar för säkerhet granskar eller aktiverar du inte användarkonton med hjälp av de här stegen.
Om du aktiverar Microsoft Entra-multifaktorautentisering via en princip för villkorsstyrd åtkomst ändras inte användarens tillstånd. Oroa dig inte om användarna verkar inaktiverade. Villkorsstyrd åtkomst ändrar inte tillståndet.
Aktivera eller framtvinga inte microsoft entra-multifaktorautentisering per användare om du använder principer för villkorsstyrd åtkomst.
Användartillstånd för Microsoft Entra-multifaktorautentisering
En användares tillstånd visar om en autentiseringsadministratör har registrerat dem i microsoft Entra-multifaktorautentisering per användare. Användarkonton i Microsoft Entra multifaktorautentisering har följande tre distinkta tillstånd:
| Stat/län | beskrivning | Äldre autentisering påverkas | Webbläsarappar som påverkas | Modern autentisering påverkas |
|---|---|---|---|---|
| Inaktiverad | Standardtillståndet för en användare som inte har registrerats i microsoft Entra-multifaktorautentisering per användare. | Nej | Nej | Nej |
| Aktiverat | Användaren är registrerad i microsoft entra-multifaktorautentisering per användare, men kan fortfarande använda sitt lösenord för äldre autentisering. Om användaren inte har några registrerade MFA-autentiseringsmetoder får de en uppmaning om att registrera sig nästa gång de loggar in med modern autentisering (till exempel när de loggar in i en webbläsare). | Nej. Äldre autentisering fortsätter att fungera tills registreringsprocessen har slutförts. | Ja. När sessionen har upphört att gälla krävs registrering av multifaktorautentisering i Microsoft Entra. | Ja. När åtkomsttoken har upphört att gälla krävs registrering av Multifaktorautentisering i Microsoft Entra. |
| Framtvingat | Användaren registreras per användare i Microsoft Entra multifaktorautentisering. Om användaren inte har några registrerade autentiseringsmetoder får användaren en uppmaning om att registrera sig nästa gång de loggar in med modern autentisering (till exempel när de loggar in i en webbläsare). Användare som slutför registreringen medan de är aktiverade flyttas automatiskt till framtvingat tillstånd. | Ja. Appar kräver applösenord. | Ja. Microsoft Entra multifaktorautentisering krävs vid inloggning. | Ja. Microsoft Entra multifaktorautentisering krävs vid inloggning. |
Alla användare börjar inaktiverade. När du registrerar användare i Microsoft Entra-multifaktorautentisering per användare ändras deras tillstånd till Aktiverad. När aktiverade användare loggar in och slutför registreringsprocessen ändras deras tillstånd till Framtvingad. Administratörer kan flytta användare mellan tillstånd, inklusive från Framtvingad till Aktiverad eller Inaktiverad.
Kommentar
Om MFA per användare återaktiveras på en användare och användaren inte registreras igen övergår inte deras MFA-tillstånd från Aktiverat till Framtvingat i MFA-hanteringsgränssnittet . Administratören måste flytta användaren direkt till Framtvingad.
Visa status för en användare
MFA-administration per användare i administrationscentret för Microsoft Entra har nyligen förbättrats. Utför följande steg för att visa och hantera användartillstånd:
Logga in på administrationscentret för Microsoft Entra som minst administratör för autentiseringsprinciper.
Gå till Identitet>Användare>Alla användare.
Välj ett användarkonto och klicka på MFA-inställningar för användare.
När du har ändrat klickar du på Spara.
Om du försöker sortera tusentals användare kan resultatet returneras på ett korrekt sätt . Det finns inga användare att visa. Försök att ange mer specifika sökvillkor för att begränsa sökningen eller tillämpa specifika status- eller vyfilter .
Under övergången till den nya MFA-upplevelsen per användare kan du också komma åt den äldre MFA-upplevelsen per användare. Formatet är:
https://account.activedirectory.windowsazure.com/usermanagement/multifactorverification.aspx?tenantId=${userTenantID}
Om du vill hämta userTenantIDkopierar du klientorganisations-ID:t på sidan Översikt i administrationscentret för Microsoft Entra. Följ sedan de här stegen för att visa status för en användare med den äldre upplevelsen:
- Logga in på administrationscentret för Microsoft Entra som minst autentiseringsadministratör.
- Gå till Identitet>Användare>Alla användare.
- Välj MFA per användare.
- En ny sida öppnas som visar användartillståndet, som du ser i följande exempel.
Ändra status för en användare
Utför följande steg för att ändra autentiseringstillståndet för microsoft entra multifaktorautentisering per användare:
Logga in på administrationscentret för Microsoft Entra som minst administratör för autentiseringsprinciper.
Gå till Identitet>Användare>Alla användare.
Välj ett användarkonto och klicka på Aktivera MFA.
Dricks
Aktiverade användare växlas automatiskt till Framtvingad när de registrerar sig för Microsoft Entra multifaktorautentisering. Ändra inte användartillståndet manuellt till Framtvingat om inte användaren redan är registrerad eller om det är acceptabelt för användaren att uppleva avbrott i anslutningar till äldre autentiseringsprotokoll.
Bekräfta ditt val i popup-fönstret som öppnas.
När du har aktiverat användare meddelar du dem via e-post. Berätta för användarna att en uppmaning visas för att be dem registrera sig nästa gång de loggar in. Om din organisation använder program som inte körs i en webbläsare eller stöder modern autentisering kan du skapa programlösenord. Mer information finns i Framtvinga Microsoft Entra multifaktorautentisering med äldre program med applösenord.
Använda Microsoft Graph för att hantera MFA per användare
Du kan hantera MFA-inställningar per användare med hjälp av Microsoft Graph REST API Beta. Du kan använda autentiseringsresurstypen för att exponera autentiseringsmetodtillstånd för användare.
Om du vill hantera MFA per användare använder du egenskapen perUserMfaState inom användare/id/autentisering/krav. Mer information finns i strongAuthenticationRequirements resurstyp.
Visa MFA-tillstånd per användare
Så här hämtar du multifaktorautentiseringstillståndet per användare för en användare:
GET /users/{id | userPrincipalName}/authentication/requirements
Till exempel:
GET https://graph.microsoft.com/beta/users/071cc716-8147-4397-a5ba-b2105951cc0b/authentication/requirements
Om användaren är aktiverad för MFA per användare är svaret:
HTTP/1.1 200 OK
Content-Type: application/json
{
"perUserMfaState": "enforced"
}
Mer information finns i Hämta autentiseringsmetodtillstånd.
Ändra MFA-tillstånd för en användare
Om du vill ändra tillståndet för multifaktorautentisering för en användare använder du användarens strongAuthenticationRequirements. Till exempel:
PATCH https://graph.microsoft.com/beta/users/071cc716-8147-4397-a5ba-b2105951cc0b/authentication/requirements
Content-Type: application/json
{
"perUserMfaState": "disabled"
}
Om det lyckas är svaret:
HTTP/1.1 204 No Content
Mer information finns i Uppdatera autentiseringsmetodtillstånd.
Nästa steg
Information om hur du konfigurerar inställningarna för Microsoft Entra-multifaktorautentisering finns i Konfigurera autentiseringsinställningar för Microsoft Entra-multifaktorautentisering.
Information om hur du hanterar användarinställningar för Microsoft Entra-multifaktorautentisering finns i Hantera användarinställningar med Microsoft Entra multifaktorautentisering.
Information om varför en användare uppmanas eller inte uppmanas att utföra MFA finns i Microsoft Entra multifaktorautentiseringsrapporter.