Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Microsoft Entra 建议是一项功能,它提供个性化的见解和可操作的指导,使你的租户与推荐的最佳做法保持一致。
本文介绍了尽量减少来自已知设备的多重身份验证提示的建议。 此建议在 Microsoft Graph 的建议 API 中称为 tenantMFA。
先决条件
查看或更新建议有不同的角色要求。 使用最低权限角色来实现所需的访问类型。 有关角色的完整列表,请参阅按任务列出的最低特权角色。
| Microsoft Entra 角色 | 访问类型 |
|---|---|
| 报告读取者 | 只读 |
| 安全阅读器 | 只读 |
| 全球阅读器 | 只读 |
| 身份验证策略管理员 | 更新和读取 |
| Exchange管理员 | 更新和读取 |
| 安全管理员 | 更新和读取 |
DirectoryRecommendations.Read.All |
在 Microsoft Graph 中只读 |
DirectoryRecommendations.ReadWrite.All |
在 Microsoft Graph 中更新和读取 |
某些建议可能需要 P2 或其他许可证。 有关详细信息,请参阅 “建议”概述表。
说明
作为管理员,你希望维护公司资源的安全性,但还希望你的员工能够根据需要轻松访问资源。 虽然启用 MFA 是一种很好的做法,但应尝试将用户必须经历的 MFA 提示数保持在最少。 为了实现这一目标,你的一个选择是“允许用户在受信任的设备上记住多重身份验证”。
当用户在登录时选择“X 天内不再询问”选项时,“记住受信任设备上的多重身份验证”功能将在浏览器上设置永久性 Cookie。 在 Cookie 过期之前,系统不会提示用户再次从该浏览器进行 MFA。 如果用户在同一设备上打开不同浏览器或清除其 Cookie,系统将提示他们重新进行验证。
有关更多信息,请参阅配置 Microsoft Entra 多重身份验证设置。
如果将“记住多重身份验证”功能的天数设置为少于 30 天,则会显示此建议。
值
此建议以较少的 MFA 提示提高了用户的工作效率,并最大限度地减少了登录时间。 请确保最敏感的资源可以具有最严格的控制,而最不敏感的资源可以更自由地访问。