Microsoft Entra 建议:从“每用户 MFA”切换为“条件访问 MFA”
Microsoft Entra 建议是一项功能,它提供个性化的见解和可操作的指导,使你的租户与推荐的最佳做法保持一致。
本文介绍了有关将每用户多重身份验证 (MFA) 帐户切换为条件访问 MFA 帐户的建议。 此建议在 Microsoft Graph 的建议 API 中称为 switchFromPerUserMFA
。
说明
作为管理员,你希望维护公司资源的安全性,但还希望你的员工能够根据需要轻松访问资源。 使用 MFA 可以改善租户的安全状况。
在租户中,你可以基于每个用户启用 MFA。 在此场景中,用户每次登录时都会执行 MFA。 存在一些例外情况,例如,当他们从受信任的 IP 地址登录时,或者打开了“记住受信任设备上的 MFA”功能时。 虽然启用 MFA 是一种很好的做法,但将每用户 MFA 切换为基于条件访问的 MFA 可以减少提示用户执行 MFA 的次数。
在以下情况下会显示此建议:
- 你至少为 5% 的用户配置了每用户 MFA。
- 条件访问策略对于超过 1% 的用户处于活跃状态(意味着他们已熟悉件访问策略)。
值
此建议以较少的 MFA 提示提高了用户的工作效率,并最大限度地减少了登录时间。 结合使用件访问和 MFA 有助于确保最敏感的资源可以受到最严格的控制,而最不敏感的资源可以更自由地访问。 有关条件访问中可用功能的概述,请参阅生成条件访问策略。
操作计划
确认存在具有 MFA 要求的现有条件访问策略。 确保涵盖要通过 MFA 保护的所有资源和用户。
- 查看你的条件访问策略。
使用条件访问策略来要求执行 MFA。
确保关闭每用户 MFA 配置。
将所有用户迁移到条件访问 MFA 帐户后,建议状态会在下次运行服务时自动更新。 继续查看你的条件访问策略。