Aktivera microsoft Entra-multifaktorautentisering per användare för att skydda inloggningshändelser
För att skydda användarinloggningshändelser i Microsoft Entra-ID kan du kräva multifaktorautentisering. Att aktivera Microsoft Entra-multifaktorautentisering med hjälp av principer för villkorsstyrd åtkomst är den rekommenderade metoden för att skydda användare. Villkorsstyrd åtkomst är en Microsoft Entra ID P1- eller P2-funktion som låter dig tillämpa regler för att kräva MFA efter behov i vissa scenarier. Information om hur du kommer igång med villkorlig åtkomst finns i Självstudie: Skydda användarinloggningshändelser med Microsoft Entra multifaktorautentisering.
För kostnadsfria Microsoft Entra-ID-klienter utan villkorlig åtkomst kan du använda standardinställningar för säkerhet för att skydda användare. Användarna uppmanas att ange MFA efter behov, men du kan inte definiera dina egna regler för att kontrollera beteendet.
Om det behövs kan du i stället aktivera varje konto för microsoft Entra-multifaktorautentisering per användare. När användare aktiveras individuellt utför de multifaktorautentisering varje gång de loggar in (med vissa undantag, till exempel när de loggar in från betrodda IP-adresser eller när funktionen kom ihåg MFA på betrodda enheter är aktiverad).
Du rekommenderas inte att ändra användartillstånd om inte dina Microsoft Entra-ID-licenser inte innehåller villkorsstyrd åtkomst och du inte vill använda standardinställningar för säkerhet. Mer information om olika sätt att aktivera MFA finns i Funktioner och licenser för Microsoft Entra multifaktorautentisering.
Viktigt!
Den här artikeln beskriver hur du visar och ändrar status för microsoft Entra-multifaktorautentisering per användare. Om du använder villkorlig åtkomst eller standardinställningar för säkerhet granskar eller aktiverar du inte användarkonton med hjälp av de här stegen.
Om du aktiverar Microsoft Entra-multifaktorautentisering via en princip för villkorsstyrd åtkomst ändras inte användarens tillstånd. Oroa dig inte om användarna verkar inaktiverade. Villkorsstyrd åtkomst ändrar inte tillståndet.
Aktivera eller framtvinga inte microsoft entra-multifaktorautentisering per användare om du använder principer för villkorsstyrd åtkomst.
Användartillstånd för Microsoft Entra-multifaktorautentisering
En användares tillstånd visar om en administratör har registrerat dem i microsoft Entra-multifaktorautentisering per användare. Användarkonton i Microsoft Entra multifaktorautentisering har följande tre distinkta tillstånd:
| Stat/län | beskrivning | Äldre autentisering påverkas | Webbläsarappar som påverkas | Modern autentisering påverkas |
|---|---|---|---|---|
| Inaktiverad | Standardtillståndet för en användare som inte har registrerats i microsoft Entra-multifaktorautentisering per användare. | Nej | Nej | Nej |
| Aktiverat | Användaren är registrerad i microsoft entra-multifaktorautentisering per användare, men kan fortfarande använda sitt lösenord för äldre autentisering. Om användaren ännu inte har registrerat MFA-autentiseringsmetoder får de en uppmaning om att registrera sig nästa gång de loggar in med modern autentisering (till exempel via en webbläsare). | Nej. Äldre autentisering fortsätter att fungera tills registreringsprocessen har slutförts. | Ja. När sessionen har upphört att gälla krävs registrering av multifaktorautentisering i Microsoft Entra. | Ja. När åtkomsttoken har upphört att gälla krävs registrering av Multifaktorautentisering i Microsoft Entra. |
| Framtvingat | Användaren registreras per användare i Microsoft Entra multifaktorautentisering. Om användaren ännu inte har registrerat autentiseringsmetoder får användaren en uppmaning om att registrera sig nästa gång de loggar in med modern autentisering (till exempel via en webbläsare). Användare som slutför registreringen i tillståndet Aktiverad flyttas automatiskt till framtvingat tillstånd. | Ja. Appar kräver applösenord. | Ja. Microsoft Entra multifaktorautentisering krävs vid inloggning. | Ja. Microsoft Entra multifaktorautentisering krävs vid inloggning. |
Alla användare börjar inaktiverade. När du registrerar användare i Microsoft Entra-multifaktorautentisering per användare ändras deras tillstånd till Aktiverad. När aktiverade användare loggar in och slutför registreringsprocessen ändras deras tillstånd till Framtvingad. Administratörer kan flytta användare mellan tillstånd, inklusive från Framtvingad till Aktiverad eller Inaktiverad.
Kommentar
Om MFA per användare återaktiveras på en användare och användaren inte registreras igen övergår inte deras MFA-tillstånd från Aktiverat till Framtvingat i MFA-hanteringsgränssnittet . Administratören måste flytta användaren direkt till Framtvingad.
Visa status för en användare
Utför följande steg för att visa och hantera användartillstånd:
- Logga in på administrationscentret för Microsoft Entra som minst autentiseringsadministratör.
- Gå till Identitet>Användare>Alla användare.
- Välj MFA per användare.
- En ny sida öppnas som visar användartillståndet, som du ser i följande exempel.
Ändra status för en användare
Utför följande steg för att ändra autentiseringstillståndet för microsoft entra multifaktorautentisering per användare:
Använd föregående steg för att visa status för en användare för att komma till sidan Användare av Microsoft Entra-multifaktorautentisering.
Hitta den användare som du vill aktivera för multifaktorautentisering för Microsoft Entra per användare. Du kan behöva ändra vyn högst upp till användare.
Markera kryssrutan bredvid namnen på användaren eller användarna för att ändra tillståndet för.
Välj Aktivera eller Inaktivera under snabbsteg till höger. I följande exempel har användaren John Smith en kontroll bredvid sitt namn och aktiveras för användning:
Dricks
Aktiverade användare växlas automatiskt till Framtvingad när de registrerar sig för Microsoft Entra multifaktorautentisering. Ändra inte användartillståndet manuellt till Framtvingat om inte användaren redan är registrerad eller om det är acceptabelt för användaren att uppleva avbrott i anslutningar till äldre autentiseringsprotokoll.
Bekräfta ditt val i popup-fönstret som öppnas.
När du har aktiverat användare meddelar du dem via e-post. Berätta för användarna att en uppmaning visas för att be dem registrera sig nästa gång de loggar in. Om din organisation dessutom använder appar som inte har stöd för modern autentisering måste de skapa applösenord. Mer information finns i användarhandboken för Microsoft Entra-multifaktorautentisering för att hjälpa dem att komma igång.
Använda Microsoft Graph för att hantera MFA per användare
Du kan hantera MFA-inställningar per användare med hjälp av Microsoft Graph REST API Beta. Du kan använda autentiseringsresurstypen för att exponera autentiseringsmetodtillstånd för användare.
Om du vill hantera MFA per användare använder du egenskapen perUserMfaState inom användare/id/autentisering/krav. Mer information finns i strongAuthenticationRequirements resurstyp.
Visa MFA-tillstånd per användare
Så här hämtar du multifaktorautentiseringstillståndet per användare för en användare:
GET /users/{id | userPrincipalName}/authentication/requirements
Till exempel:
GET https://graph.microsoft.com/beta/users/071cc716-8147-4397-a5ba-b2105951cc0b/authentication/requirements
Om användaren är aktiverad för MFA per användare är svaret:
HTTP/1.1 200 OK
Content-Type: application/json
{
"perUserMfaState": "enforced"
}
Mer information finns i Hämta autentiseringsmetodtillstånd.
Ändra MFA-tillstånd för en användare
Om du vill ändra tillståndet för multifaktorautentisering för en användare använder du användarens strongAuthenticationRequirements. Till exempel:
PATCH https://graph.microsoft.com/beta/users/071cc716-8147-4397-a5ba-b2105951cc0b/authentication/requirements
Content-Type: application/json
{
"perUserMfaState": "disabled"
}
Om det lyckas är svaret:
HTTP/1.1 204 No Content
Mer information finns i Uppdatera autentiseringsmetodtillstånd.
Nästa steg
Information om hur du konfigurerar inställningarna för Microsoft Entra-multifaktorautentisering finns i Konfigurera autentiseringsinställningar för Microsoft Entra-multifaktorautentisering.
Information om hur du hanterar användarinställningar för Microsoft Entra-multifaktorautentisering finns i Hantera användarinställningar med Microsoft Entra multifaktorautentisering.
Information om varför en användare uppmanas eller inte uppmanas att utföra MFA finns i Microsoft Entra multifaktorautentiseringsrapporter.
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för