Sistem tarafından tercih edilen çok faktörlü kimlik doğrulaması - Kimlik doğrulama yöntemleri ilkesi
Sistem tarafından tercih edilen çok faktörlü kimlik doğrulaması (MFA), kullanıcılardan kaydettikleri en güvenli yöntemi kullanarak oturum açmalarını ister. Bu, telekom aktarımlarını kullanarak kimlik doğrulaması yapan kullanıcılar için önemli bir güvenlik geliştirmesidir. Yöneticiler, oturum açma güvenliğini geliştirmek ve Kısa İleti Hizmeti (SMS) gibi daha az güvenli oturum açma yöntemlerinin önerilmez hale getirmek için sistem tarafından tercih edilen MFA'yı etkinleştirebilir.
Örneğin, bir kullanıcı hem SMS hem de Microsoft Authenticator anında iletme bildirimlerini MFA için yöntem olarak kaydettiyse, sistem tarafından tercih edilen MFA kullanıcıdan daha güvenli anında iletme bildirimi yöntemini kullanarak oturum açmasını ister. Kullanıcı yine de başka bir yöntem kullanarak oturum açmayı seçebilir, ancak önce kaydettiği en güvenli yöntemi denemesi istenir.
Sistem tarafından tercih edilen MFA, microsoft tarafından yönetilen bir ayardır ve bu bir üç durum ilkesidir. Sistem tarafından tercih edilen MFA'nın Microsoft tarafından yönetilen değeri Etkin'dir. Sistem tarafından tercih edilen MFA'yı etkinleştirmek istemiyorsanız, Microsoft tarafından yönetilen durumunu Devre Dışı olarak değiştirin veya kullanıcıları ve grupları ilkenin dışında tutun.
Sistem tarafından tercih edilen MFA etkinleştirildikten sonra, tüm işleri kimlik doğrulama sistemi yapar. Sistem her zaman kaydettikleri en güvenli yöntemi belirleyip sunduğundan, kullanıcıların varsayılan olarak herhangi bir kimlik doğrulama yöntemi ayarlaması gerekmez.
Microsoft Entra yönetim merkezinde sistem tarafından tercih edilen MFA'yı etkinleştirme
Varsayılan olarak, sistem tarafından tercih edilen MFA Tüm kullanıcılar için Microsoft tarafından yönetilir ve devre dışı bırakılır.
Microsoft Entra yönetim merkezinde en azından Kimlik Doğrulama İlkesi Yöneticisi olarak oturum açın.
Koruma>Kimlik Doğrulaması yöntemleri Ayarları'na> göz atın.
Sistem tarafından tercih edilen çok faktörlü kimlik doğrulaması için özelliğin açıkça etkinleştirilip etkinleştirilmeyeceğini veya devre dışı bırakılıp bırakılmayacağını seçin ve kullanıcıları dahil edin veya hariç tutun. Dışlanan gruplar, dahil edilen gruplara göre önceliklidir.
Örneğin, aşağıdaki ekran görüntüsünde sistem tarafından tercih edilen MFA'nın yalnızca Mühendislik grubu için açıkça nasıl etkinleştirildiği gösterilmektedir.
Herhangi bir değişiklik yapmayı bitirdikten sonra Kaydet'e tıklayın.
Graph API'lerini kullanarak sistem tarafından tercih edilen MFA'yı etkinleştirme
Sistem tarafından tercih edilen MFA'yı önceden etkinleştirmek için, İstek örneğinde gösterildiği gibi şema yapılandırması için tek bir hedef grubu seçmeniz gerekir.
Kimlik doğrulama yöntemi özellik yapılandırma özellikleri
Varsayılan olarak, sistem tarafından tercih edilen MFA Microsoft tarafından yönetilir ve etkinleştirilir.
| Mülk | Tür | Açıklama |
|---|---|---|
| excludeTarget | featureTarget | Bu özelliğin dışında tutulan tek bir varlık. Sistem tarafından tercih edilen MFA'nın yalnızca bir grubunu dışlayabilirsiniz; bu, dinamik veya iç içe yerleştirilmiş bir grup olabilir. |
| includeTarget | featureTarget | Bu özelliğe dahil olan tek bir varlık. Sistem tarafından tercih edilen MFA için dinamik veya iç içe grup olabilecek yalnızca bir grup ekleyebilirsiniz. |
| Devlet | advancedConfigState | Olası değerler şunlardır: etkinleştirildiğinde , seçili grup için özellik açıkça etkinleştirilir. devre dışı bırak seçeneği, seçili grup için özelliği açıkça devre dışı bırakır. varsayılan ayarı , Microsoft Entra Id'nin özelliğin seçili grup için etkinleştirilip etkinleştirilmediğini yönetmesine izin verir. |
Özellik hedef özellikleri
Sistem tarafından tercih edilen MFA yalnızca tek bir grup için etkinleştirilebilir ve bu da dinamik veya iç içe grup olabilir.
| Mülk | Tür | Açıklama |
|---|---|---|
| KİMLİĞİ | Dizgi | Hedeflenen varlığın kimliği. |
| targetType | featureTargetType | Grup, rol veya yönetim birimi gibi hedeflenen varlık türü. Olası değerler şunlardır: 'group', 'administrativeUnit', 'role', 'unknownFutureValue'. |
systemCredentialPreferences'ı etkinleştirmek ve grupları dahil etmek veya dışlamak için aşağıdaki API uç noktasını kullanın:
https://graph.microsoft.com/v1.0/policies/authenticationMethodsPolicy
Not
Graph Explorer'da Policy.ReadWrite.AuthenticationMethod iznini onaylamanız gerekir.
İstek
Aşağıdaki örnek örnek bir hedef grubu dışlar ve tüm kullanıcıları içerir. Daha fazla bilgi için bkz . AuthenticationMethodsPolicy'yi güncelleştirme.
PATCH https://graph.microsoft.com/v1.0/policies/authenticationMethodsPolicy
Content-Type: application/json
{
"systemCredentialPreferences": {
"state": "enabled",
"excludeTargets": [
{
"id": "d1411007-6fcf-4b4c-8d70-1da1857ed33c",
"targetType": "group"
}
],
"includeTargets": [
{
"id": "all_users",
"targetType": "group"
}
]
}
}
SSS
Sistem tarafından tercih edilen MFA en güvenli yöntemi nasıl belirler?
Bir kullanıcı oturum açtığında, kimlik doğrulama işlemi kullanıcı için hangi kimlik doğrulama yöntemlerinin kaydedildiği denetler. Kullanıcıdan aşağıdaki sıraya göre en güvenli yöntemle oturum açması istenir. Kimlik doğrulama yöntemlerinin sırası dinamiktir. Güvenlik ortamı değiştikçe ve daha iyi kimlik doğrulama yöntemleri ortaya çıktıkçe güncelleştirilir. Sertifika tabanlı kimlik doğrulaması (CBA) ve sistem tarafından tercih edilen MFA ile ilgili bilinen sorunlar nedeniyle CBA'yı listenin en altına taşıdık. Her yöntem hakkında daha fazla bilgi için bağlantıya tıklayın.
- Geçici Erişim Geçişi
- FIDO2 güvenlik anahtarı
- Microsoft Authenticator bildirimleri
- Zamana dayalı tek seferlik parola (TOTP)1
- Telefon2
- Sertifika tabanlı kimlik doğrulaması
1Microsoft Authenticator, Authenticator Lite veya üçüncü taraf uygulamalarından TOTP donanım veya yazılım içerir.
2SMS ve sesli aramaları içerir.
Sistem tarafından tercih edilen MFA NPS uzantısını nasıl etkiler?
Sistem tarafından tercih edilen MFA, Ağ İlkesi Sunucusu (NPS) uzantısını kullanarak oturum açan kullanıcıları etkilemez. Bu kullanıcılar oturum açma deneyimlerinde herhangi bir değişiklik görmez.
Kimlik doğrulama yöntemleri ilkesinde belirtilmeyen ancak kiracı genelindeki eski MFA ilkesinde etkinleştirilen kullanıcılar için ne olur?
Sistem tarafından tercih edilen MFA, eski MFA ilkesinde MFA için etkinleştirilen kullanıcılar için de geçerlidir.
