Microsoft Entra 建议是一项功能,它提供个性化的见解和可操作的指导,使你的租户与推荐的最佳做法保持一致。
本文介绍了尽量减少来自已知设备的多重身份验证提示的建议。 此建议在 Microsoft Graph 的建议 API 中称为 tenantMFA。
说明
作为管理员,你希望维护公司资源的安全性,但还希望你的员工能够根据需要轻松访问资源。 虽然启用 MFA 是一种很好的做法,但应尝试将用户必须经历的 MFA 提示数保持在最少。 为了实现这一目标,你的一个选择是允许用户在受信任的设备上记住多重身份验证。
当用户在登录时选择“X 天内不再询问”选项时,“记住受信任设备上的多重身份验证”功能将在浏览器上设置永久性 Cookie。 在 Cookie 过期之前,系统不会提示用户再次从该浏览器进行 MFA。 如果用户在同一设备上打开不同浏览器或清除其 Cookie,系统将提示他们重新进行验证。
有关详细信息,请参阅 配置Microsoft Entra 多重身份验证设置。
如果将“记住多重身份验证”功能的天数设置为少于 30 天,则会显示此建议。
值
此建议以较少的 MFA 提示提高了用户的工作效率,并最大限度地减少了登录时间。 请确保最敏感的资源可以具有最严格的控制,而最不敏感的资源可以更自由地访问。
操作计划
请参阅 “如何配置Microsoft Entra 多重身份验证设置 ”一文。
以至少身份验证策略管理员身份登录到 Microsoft Entra 管理中心。
浏览到 Entra ID>多重身份验证。
在“配置”标题下,选择其他基于云的多重身份验证设置链接。
选择“服务设置”选项卡。
在受信任设备的标题“记住多重身份验证”下方,选中该复选框,并将天数设置为90天。
