Microsoft Entra 建议:尽量减少来自已知设备的 MFA 提示

Microsoft Entra 建议是一项功能,它提供个性化的见解和可操作的指导,使你的租户与推荐的最佳做法保持一致。

本文介绍了尽量减少来自已知设备的多重身份验证提示的建议。 此建议在 Microsoft Graph 的建议 API 中称为 tenantMFA

说明

作为管理员,你希望维护公司资源的安全性,但还希望你的员工能够根据需要轻松访问资源。

使用 MFA 可以改善租户的安全状况。 虽然启用 MFA 是一种很好的做法,但应尝试将用户必须经历的 MFA 提示数保持在最少。 为了实现这一目标,你的一个选择是“允许用户在受信任的设备上记住多重身份验证”

当用户在登录时选择“X 天内不再询问”选项时,“记住受信任设备上的多重身份验证”功能将在浏览器上设置永久性 Cookie。 在 Cookie 过期之前,系统不会提示用户再次从该浏览器进行 MFA。 如果用户在同一设备上打开不同浏览器或清除其 Cookie,系统将提示他们重新进行验证。

有关更多信息,请参阅配置 Microsoft Entra 多重身份验证设置

如果将“记住多重身份验证”功能的天数设置为少于 30 天,则会显示此建议。

此建议以较少的 MFA 提示提高了用户的工作效率,并最大限度地减少了登录时间。 请确保最敏感的资源可以具有最严格的控制,而最不敏感的资源可以更自由地访问。