Microsoft Entra 建议:从“每用户 MFA”切换为“条件访问 MFA”

Microsoft Entra 建议是一项功能,它提供个性化的见解和可操作的指导,使你的租户与推荐的最佳做法保持一致。

本文介绍了有关将每用户多重身份验证 (MFA) 帐户切换为条件访问 MFA 帐户的建议。 此建议在 Microsoft Graph 的建议 API 中称为 switchFromPerUserMFA

说明

作为管理员,你希望维护公司资源的安全性,但还希望你的员工能够根据需要轻松访问资源。 使用 MFA 可以改善租户的安全状况。

在租户中,你可以基于每个用户启用 MFA。 在此场景中,用户每次登录时都会执行 MFA。 存在一些例外情况,例如,当他们从受信任的 IP 地址登录时,或者打开了“记住受信任设备上的 MFA”功能时。 虽然启用 MFA 是一种很好的做法,但将每用户 MFA 切换为基于条件访问的 MFA 可以减少提示用户执行 MFA 的次数。

在以下情况下会显示此建议:

  • 你至少为 5% 的用户配置了每用户 MFA。
  • 条件访问策略对于超过 1% 的用户处于活跃状态(意味着他们已熟悉件访问策略)。

此建议以较少的 MFA 提示提高了用户的工作效率,并最大限度地减少了登录时间。 结合使用件访问和 MFA 有助于确保最敏感的资源可以受到最严格的控制,而最不敏感的资源可以更自由地访问。 有关条件访问中可用功能的概述,请参阅生成条件访问策略

操作计划

  1. 确认存在具有 MFA 要求的现有条件访问策略。 确保涵盖要通过 MFA 保护的所有资源和用户。

    • 查看你的条件访问策略。
  2. 使用条件访问策略来要求执行 MFA。

  3. 确保关闭每用户 MFA 配置。

将所有用户迁移到条件访问 MFA 帐户后,建议状态会在下次运行服务时自动更新。 继续查看你的条件访问策略。