Microsoft Entra 建議:從每個使用者 MFA 切換至條件式存取 MFA
Microsoft Entra 建議 是一項功能,提供個人化深入解析和可採取動作的指引,讓您的租使用者符合建議的最佳做法。
本文涵蓋將個別使用者多重要素驗證 (MFA) 帳戶切換至條件式存取 MFA 帳戶的建議。 Microsoft Graph 中的建議 API 中會呼叫 switchFromPerUserMFA 這項建議。
描述
身為系統管理員,您想要維護公司資源的安全性,但您也希望員工能夠視需要輕鬆存取資源。 MFA 可讓您增強租用戶的安全性狀態。
在您的租使用者中,您可以根據每個用戶啟用 MFA。 在此案例中,您的使用者每次登入時都會執行 MFA。 有一些例外狀況,例如,當他們從受信任的IP位址登入,或開啟 [記住受信任裝置上的 MFA] 功能時。 雖然啟用 MFA 是很好的作法,但根據 條件式存取 將每位使用者 MFA 切換至 MFA 可減少提示用戶進行 MFA 的次數。
如果:
- 您已針對至少 5% 的使用者設定每個使用者 MFA。
- 超過 1% 的使用者使用條件式存取原則(表示熟悉條件式存取原則)。
值
此建議可改善使用者的生產力,並透過較少的 MFA 提示將登入時間降到最低。 條件式存取和 MFA 一起使用有助於確保最敏感的資源可以擁有最嚴格的控件,而最不敏感的資源可以更容易自由存取。 如需條件式存取中可用功能的概觀,請參閱 建置條件式存取原則。
行動方案:
確認具有 MFA 需求的現有條件式存取原則。 請確定您涵蓋您想要使用 MFA 保護的所有資源和使用者。
- 檢閱您的條件式存取原則。
需要使用條件式存取原則的 MFA。
- 使用 Microsoft Entra 多重要素驗證保護使用者登入事件。
確定已關閉每個使用者的 MFA 組態。
所有使用者移轉至條件式存取 MFA 帳戶之後,建議狀態會在下次服務執行時自動更新。 繼續檢閱條件式存取原則,以改善租用戶的整體健康情況。