系统首选的多重身份验证 - 身份验证方法策略

系统首选的多重身份验证 (MFA) 将提示用户使用其注册的最安全方法进行登录。 对于使用电信传输进行身份验证的用户，这是一项重要的安全增强功能。 管理员可以启用系统首选的 MFA 以提高登录安全性，并阻止不太安全的登录方法，如短信服务 (SMS)。

例如，如果用户将短信和 Microsoft Authenticator 推送通知注册为 MFA 方法，则系统首选的 MFA 会提示用户使用更安全的推送通知方法进行登录。 用户仍可以选择使用其他方法进行登录，但系统会首先提示他们尝试注册的最安全方法。

系统首选的 MFA 是 Microsoft 托管设置，这是 一种三态策略。 系统首选 MFA 的“Microsoft 托管”值为“已启用”。 如果不想启用系统首选的 MFA，请将状态从“Microsoft 托管”更改为“已禁用”，或从策略中排除用户和组。

启用系统首选的 MFA 后，身份验证系统将完成所有工作。 用户不需要将任何身份验证方法设置为默认方法，因为系统始终会确定并呈现他们注册的最安全方法。

在 Microsoft Entra 管理中心启用系统首选的 MFA

默认情况下，系统首选的 MFA 由 Microsoft 管理，并为所有用户启用。

1. 至少以身份验证策略管理员的身份登录到 Microsoft Entra 管理中心。

2. 浏览到 Entra ID>身份验证方法>设置。

3. 对于系统首选的多重身份验证，选择是显式启用还是禁用该功能，以及包含或排除任何用户。 排除组优先于包含组。

   例如，以下屏幕截图显示了如何仅为工程组显式启用系统首选 MFA。

   

4. 完成所有更改后，单击“保存”。

FAQ

系统首选的 MFA 如何确定最安全的方法？

当用户登录时，身份验证过程会检查为用户注册了哪些身份验证方法。 系统会按照以下顺序提示用户使用最安全的方法进行登录。 身份验证方法的顺序是动态的。 随着安全环境的变化以及更好的身份验证方法的出现，它会进行更新。 单击链接了解有关每种方法的更多信息。

1. 临时访问通道
2. Passkey （FIDO2）
3. 外部身份验证方法
4. Microsoft验证器通知
5. 电话²

²包括短信和语音通话。

系统首选的 MFA 对 NPS 扩展有何影响？

系统首选的 MFA 不会影响使用网络策略服务器 (NPS) 扩展进行登录的用户。 这些用户的登录体验不会发生任何改变。

对于未在身份验证方法策略中指定，但已在旧式 MFA 租户范围策略中启用的用户，会发生什么情况？

系统首选的 MFA 也适用于在旧式 MFA 策略中启用了 MFA 的用户。

后续步骤

• Microsoft Entra ID 中的身份验证方法
• 如何运行注册活动以设置 Microsoft Authenticator