System föredragen multifaktorautentisering – Princip för autentiseringsmetoder
Systemförvald multifaktorautentisering (MFA) uppmanar användarna att logga in med den säkraste metoden de registrerade. Administratörer kan aktivera system föredragen MFA för att förbättra inloggningssäkerheten och avskräcka från mindre säkra inloggningsmetoder som SMS.
Till exempel, om en användare har registrerat både SMS och Microsoft Authenticator-pushmeddelanden som metoder för MFA, föredrar systemets MFA att användaren uppmanas att logga in med den säkrare pushmeddelandemetoden. Användaren kan fortfarande välja att logga in med hjälp av en annan metod, men de uppmanas först att prova den säkraste metoden som de registrerade.
System föredragen MFA är en Microsoft-hanterad inställning, vilket är en tristate-princip. För förhandsversion är standardtillståndet inaktiverat. Om du vill aktivera den för alla användare eller en grupp användare under förhandsversionen måste du uttryckligen ändra Microsofts hanterade tillstånd till Aktiverad. Någon gång efter allmän tillgänglighet ändras Microsofts hanterade tillstånd för system föredragen MFA till Aktiverad.
När system föredragen MFA har aktiverats utför autentiseringssystemet allt arbete. Användarna behöver inte ange någon autentiseringsmetod som standard eftersom systemet alltid fastställer och presenterar den säkraste metoden som de registrerade.
Kommentar
System föredragen MFA är en viktig säkerhetsförbättring för användare som autentiserar med hjälp av telekommunikationstransporter. Från och med den 7 juli 2023 ändras Microsofts hanterade värde för systemförvalt MFA från Inaktiverad till Aktiverad. Om du inte vill aktivera system föredragen MFA ändrar du tillståndet från Standard till Inaktiverad eller exkluderar användare och grupper från principen.
Aktivera system föredragen MFA i administrationscentret för Microsoft Entra
Som standard är system föredragen MFA Microsoft-hanterad och inaktiverad för alla användare.
Logga in på administrationscentret för Microsoft Entra som minst administratör för autentiseringsprinciper.
Bläddra till Metoder> för skyddsautentisering>Inställningar.
För system föredragen multifaktorautentisering väljer du om du uttryckligen vill aktivera eller inaktivera funktionen och inkludera eller exkludera alla användare. Exkluderade grupper har företräde framför inkluderingsgrupper.
Följande skärmbild visar till exempel hur du gör system föredragen MFA explicit aktiverad för endast gruppen Teknik.
När du har gjort ändringarna klickar du på Spara.
Aktivera system föredragen MFA med graph-API:er
Om du vill aktivera systemförvalt MFA i förväg måste du välja en enda målgrupp för schemakonfigurationen, som du ser i exemplet Begäran .
Egenskaper för funktionskonfiguration för autentiseringsmetod
Som standard är system föredragen MFA Microsoft-hanterad och inaktiverad under förhandsversionen. Efter allmän tillgänglighet ändras standardvärdet för Microsofts hanterade tillstånd för att aktivera systemförvalt MFA.
| Property | Type | Beskrivning |
|---|---|---|
| excludeTarget | featureTarget | En enda entitet som undantas från den här funktionen. Du kan bara exkludera en grupp från system föredragen MFA, som kan vara en dynamisk eller kapslad grupp. |
| includeTarget | featureTarget | En enda entitet som ingår i den här funktionen. Du kan bara inkludera en grupp för system föredragen MFA, som kan vara en dynamisk eller kapslad grupp. |
| Tillstånd | advancedConfigState | Möjliga värden är: aktiverad aktiverar uttryckligen funktionen för den valda gruppen. inaktiveras inaktiveras uttryckligen funktionen för den valda gruppen. standard tillåter Microsoft Entra-ID att hantera om funktionen är aktiverad eller inte för den valda gruppen. |
Egenskaper för funktionsmål
System föredragen MFA kan endast aktiveras för en enskild grupp, som kan vara en dynamisk eller kapslad grupp.
| Property | Type | Beskrivning |
|---|---|---|
| ID | String | ID för den entitet som är mål. |
| targetType | featureTargetType | Den typ av entitet som är riktad, till exempel grupp, roll eller administrativ enhet. Möjliga värden är: "group", "administrativeUnit", "role", "unknownFutureValue". |
Använd följande API-slutpunkt för att aktivera systemCredentialPreferences och inkludera eller exkludera grupper:
https://graph.microsoft.com/beta/policies/authenticationMethodsPolicy
Kommentar
I Graph Explorer måste du godkänna behörigheten Policy.ReadWrite.AuthenticationMethod .
Förfrågan
I följande exempel undantas en exempelmålgrupp och alla användare ingår. Mer information finns i Uppdatera autentiseringMethodsPolicy.
PATCH https://graph.microsoft.com/beta/policies/authenticationMethodsPolicy
Content-Type: application/json
{
"systemCredentialPreferences": {
"state": "enabled",
"excludeTargets": [
{
"id": "d1411007-6fcf-4b4c-8d70-1da1857ed33c",
"targetType": "group"
}
],
"includeTargets": [
{
"id": "all_users",
"targetType": "group"
}
]
}
}
Vanliga frågor
Hur avgör system föredragen MFA den säkraste metoden?
När en användare loggar in kontrollerar autentiseringsprocessen vilka autentiseringsmetoder som är registrerade för användaren. Användaren uppmanas att logga in med den säkraste metoden enligt följande ordning. Autentiseringsmetodernas ordning är dynamisk. Det uppdateras när säkerhetslandskapet ändras och när bättre autentiseringsmetoder dyker upp. På grund av kända problem med certifikatbaserad autentisering och system föredragen MFA har vi flyttat CBA till botten av listan. Klicka på länken för information om varje metod.
- Tillfälligt åtkomstpass
- FIDO2-säkerhetsnyckel
- Microsoft Authenticator-meddelanden
- Tidsbaserat engångslösenord (TOTP)1
- Telefoni2
- Certifikatbaserad autentisering
1 Innehåller maskin- eller programvaru-TOTP från Microsoft Authenticator, Authenticator Lite eller program från tredje part.
2 Inkluderar SMS och röstsamtal.
Hur påverkar system föredragen MFA NPS-tillägget?
System föredragen MFA påverkar inte användare som loggar in med hjälp av NPS-tillägget (Network Policy Server). Dessa användare ser ingen ändring i inloggningsupplevelsen.
Vad händer för användare som inte anges i principen Autentiseringsmetoder men som är aktiverade i den äldre MFA-principen för hela klientorganisationen?
System föredragen MFA gäller även för användare som är aktiverade för MFA i den äldre MFA-principen.
Nästa steg
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för