Microsoft Entra 建议:尽量减少来自已知设备的 MFA 提示
Microsoft Entra 建议是一项功能,它提供个性化的见解和可操作的指导,使你的租户与推荐的最佳做法保持一致。
本文介绍了尽量减少来自已知设备的多重身份验证提示的建议。 此建议在 Microsoft Graph 的建议 API 中称为 tenantMFA
。
说明
作为管理员,你希望维护公司资源的安全性,但还希望你的员工能够根据需要轻松访问资源。
使用 MFA 可以改善租户的安全状况。 虽然启用 MFA 是一种很好的做法,但应尝试将用户必须经历的 MFA 提示数保持在最少。 为了实现这一目标,你的一个选择是允许用户在受信任的设备上记住多重身份验证。
当用户在登录时选择“X 天内不再询问”选项时,“记住受信任设备上的多重身份验证”功能将在浏览器上设置持久性 Cookie。 在 Cookie 过期之前,系统不会提示用户再次从该浏览器进行 MFA。 如果用户在同一设备上打开不同浏览器或清除其 Cookie,系统将提示他们重新进行验证。
有关详细信息,请参阅配置 Microsoft Entra 多重身份验证设置。
如果将“记住多重身份验证”功能的天数设置为少于 30 天,则会显示此建议。
值
此建议以较少的 MFA 提示提高了用户的工作效率,并最大限度地减少了登录时间。 请确保最敏感的资源可以具有最严格的控制,而最不敏感的资源可以更自由地访问。
操作计划
至少以身份验证策略管理员的身份登录到 Microsoft Entra 管理中心。
浏览到“标识”>“保护”>“多重身份验证”>,选择“其他基于云的多重身份验证设置”链接。
将“记住受信任设备上的多重身份验证”部分中的天数调整为 90 天。