Microsoft Entra 建议:从每用户 MFA 切换到条件访问 MFA

Microsoft Entra 建议是一项功能,它提供个性化的见解和可操作的指导,使你的租户与推荐的最佳做法保持一致。

本文介绍了有关将每用户多重身份验证 (MFA) 帐户切换为条件访问 MFA 帐户的建议。 此建议在 Microsoft Graph 的建议 API 中称为 switchFromPerUserMFA

说明

作为管理员,你希望维护公司资源的安全性,但还希望你的员工能够根据需要轻松访问资源。 使用 MFA 可以改善租户的安全状况。

在租户中,您可以为逐个用户启用多重身份验证(MFA)。 在此场景中,用户每次登录时都会执行 MFA。 存在一些例外情况,例如,当他们从受信任的 IP 地址登录时,或者打开了“记住受信任设备上的 MFA”功能时。 虽然启用 MFA 是一种很好的做法,但将每用户 MFA 切换为基于条件访问的 MFA 可以减少提示用户执行 MFA 的次数。

在以下情况下会显示此建议:

  • 你为至少 5% 的用户配置了按用户分配的 MFA。
  • 条件访问策略对超过 1% 的用户处于活跃状态,这表明用户已熟悉条件访问策略。

此建议以较少的 MFA 提示提高了用户的工作效率,并最大限度地减少了登录时间。 结合使用条件式访问和多因素认证(MFA)有助于确保最敏感的资源可以受到最严格的控制,而最不敏感的资源则可以更自由地访问。 有关条件访问中可用功能的概述,请参阅生成条件访问策略

操作计划

  1. 要求使用条件访问策略执行 MFA。

  2. 确保已禁用每用户 MFA 配置。

    1. 以至少 身份验证策略管理员身份登录到 Microsoft Entra 管理中心
    2. 浏览到“用户”>“所有用户”,然后选择“每用户 MFA”按钮

    Microsoft Entra 管理中心内的每用户 MFA 按钮的屏幕截图。

    1. 为所有已启用此选项的用户选择禁用 MFA

    管理中心内的每用户 MFA 设置的屏幕截图。

将所有用户迁移到条件访问 MFA 帐户后,建议状态会在下次运行服务时自动更新。 继续查看你的条件访问策略。