Vícefaktorové ověřování upřednostňované systémem – zásady metod ověřování
Systémově upřednostňované vícefaktorové ověřování (MFA) vyzve uživatele, aby se přihlásili pomocí nejbezpečnější metody, kterou zaregistrovali. Jedná se o důležité vylepšení zabezpečení pro uživatele, kteří se ověřují pomocí telekomunikačních přenosů. Správci můžou povolit vícefaktorové ověřování upřednostňované systémem, aby zlepšili zabezpečení přihlašování a nedoporučujeme méně bezpečné metody přihlašování, jako je Short Message Service (SMS).
Pokud si například uživatel zaregistroval jak nabízené oznámení SMS, tak i Microsoft Authenticator jako metody vícefaktorového ověřování, systémem preferované vícefaktorové ověřování vyzve uživatele, aby se přihlásil pomocí bezpečnější metody nabízených oznámení. Uživatel se stále může přihlásit pomocí jiné metody, ale nejdřív se zobrazí výzva k vyzkoušení nejbezpečnější metody, kterou zaregistroval.
Vícefaktorové ověřování upřednostňované systémem je nastavení spravované Microsoftem , což je zásada tristate. Hodnota spravované microsoftem pro vícefaktorové ověřování upřednostňovaná systémem je povolená. Pokud nechcete povolit vícefaktorové ověřování upřednostňované systémem, změňte stav ze spravovaného Microsoftu na Zakázáno nebo vylučte uživatele a skupiny ze zásad.
Po povolení vícefaktorového ověřování preferovaného systémem systém ověřování odvede veškerou práci. Uživatelé nemusí jako výchozí nastavit žádnou metodu ověřování, protože systém vždy určí a prezentuje nejbezpečnější metodu, kterou si zaregistrovali.
Povolení vícefaktorového ověřování upřednostňovaného systémem v Centru pro správu Microsoft Entra
Ve výchozím nastavení je vícefaktorové ověřování upřednostňované systémem spravované a zakázané pro všechny uživatele.
Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce zásad ověřování.
Přejděte na Nastavení metod>ověřování ochrany.>
U vícefaktorového ověřování upřednostňovaného systémem zvolte, jestli chcete tuto funkci explicitně povolit nebo zakázat, a zahrnout nebo vyloučit všechny uživatele. Vyloučené skupiny mají přednost před zahrnutím skupin.
Například následující snímek obrazovky ukazuje, jak explicitně povolit vícefaktorové ověřování upřednostňované systémem pouze pro skupinu inženýrů.
Po dokončení změn klikněte na Uložit.
Povolení vícefaktorového ověřování upřednostňovaného systémem pomocí rozhraní Graph API
Pokud chcete vícefaktorové ověřování upřednostňované systémem povolit předem, musíte pro konfiguraci schématu zvolit jednu cílovou skupinu, jak je znázorněno v příkladu požadavku .
Vlastnosti konfigurace funkce metody ověřování
Ve výchozím nastavení je vícefaktorové ověřování upřednostňované systémem spravované a povolené Microsoftem.
| Vlastnost | Type | Popis |
|---|---|---|
| excludeTarget | featureTarget | Jedna entita, která je vyloučena z této funkce. Z vícefaktorového ověřování upřednostňovaného systémem můžete vyloučit jenom jednu skupinu, což může být dynamická nebo vnořená skupina. |
| includeTarget | featureTarget | Jedna entita, která je součástí této funkce. Pro vícefaktorové ověřování upřednostňované systémem můžete zahrnout jenom jednu skupinu, což může být dynamická nebo vnořená skupina. |
| State | advancedConfigState | Možné hodnoty jsou: Povoleno explicitně povolí funkci pro vybranou skupinu. zakázáno explicitně zakáže funkci pro vybranou skupinu. Ve výchozím nastavení umožňuje ID Microsoft Entra spravovat, jestli je funkce povolená nebo ne pro vybranou skupinu. |
Vlastnosti cíle funkce
Vícefaktorové ověřování upřednostňované systémem je možné povolit jenom pro jednu skupinu, což může být dynamická nebo vnořená skupina.
| Vlastnost | Type | Popis |
|---|---|---|
| ID | String | ID cílové entity. |
| targetType | featureTargetType | Typ entity, na který cílí, například skupina, role nebo jednotka pro správu. Možné hodnoty jsou: group, administrativeUnit, role, unknownFutureValue. |
Pomocí následujícího koncového bodu rozhraní API povolte systemCredentialPreferences a zahrňte nebo vylučte skupiny:
https://graph.microsoft.com/v1.0/policies/authenticationMethodsPolicy
Poznámka:
V Graph Exploreru potřebujete souhlas s oprávněním Policy.ReadWrite.AuthenticationMethod .
Žádost
Následující příklad vylučuje ukázkovou cílovou skupinu a zahrnuje všechny uživatele. Další informace naleznete v tématu Update authenticationMethodsPolicy.
PATCH https://graph.microsoft.com/v1.0/policies/authenticationMethodsPolicy
Content-Type: application/json
{
"systemCredentialPreferences": {
"state": "enabled",
"excludeTargets": [
{
"id": "d1411007-6fcf-4b4c-8d70-1da1857ed33c",
"targetType": "group"
}
],
"includeTargets": [
{
"id": "all_users",
"targetType": "group"
}
]
}
}
Často kladené dotazy
Jak vícefaktorové ověřování preferované systémem určuje nejbezpečnější metodu?
Když se uživatel přihlásí, proces ověřování zkontroluje, které metody ověřování jsou pro uživatele zaregistrované. Uživateli se zobrazí výzva k přihlášení pomocí nejbezpečnější metody podle následujícího pořadí. Pořadí metod ověřování je dynamické. Aktualizuje se, jak se mění prostředí zabezpečení a jak se objevují lepší metody ověřování. Kvůli známým problémům s ověřováním na základě certifikátů (CBA) a systémem upřednostňovaným vícefaktorovým ověřováním jsme přesunuli CBA na konec seznamu. Kliknutím na odkaz zobrazíte další informace o jednotlivých metodách.
- Dočasný přístupový pass
- Klíč (FIDO2)
- Oznámení Microsoft Authenticatoru
- Jednorázové heslo založené na čase (TOTP)1
- Telefonie2
- Ověřování pomocí certifikátů
1Zahrnuje hardwarové nebo softwarové TOTP z aplikací Microsoft Authenticator, Authenticator Lite nebo aplikací třetích stran.
2Zahrnuje SMS a hlasové hovory.
Jaký vliv na rozšíření NPS má vícefaktorové ověřování upřednostňované systémem?
Vícefaktorové ověřování upřednostňované systémem nemá vliv na uživatele, kteří se přihlašují pomocí rozšíření NPS (Network Policy Server). Tito uživatelé nevidí žádnou změnu svého přihlašovacího prostředí.
Co se stane pro uživatele, kteří nejsou specifikovaní v zásadách metod ověřování, ale povolené ve starších zásadách tenanta MFA?
Vícefaktorové ověřování upřednostňované systémem platí také pro uživatele, kteří mají povolené vícefaktorové ověřování ve starších zásadách vícefaktorového ověřování.
