Microsoft Entra 建议是一项功能,它提供个性化的见解和可操作的指导,使你的租户与推荐的最佳做法保持一致。
本文介绍了有关将每用户多重身份验证 (MFA) 帐户切换为条件访问 MFA 帐户的建议。 此建议在 Microsoft Graph 的建议 API 中称为 switchFromPerUserMFA
。
说明
作为管理员,你希望维护公司资源的安全性,但还希望你的员工能够根据需要轻松访问资源。 使用 MFA 可以改善租户的安全状况。
在租户中,您可以为逐个用户启用多重身份验证(MFA)。 在此场景中,用户每次登录时都会执行 MFA。 存在一些例外情况,例如,当他们从受信任的 IP 地址登录时,或者打开了“记住受信任设备上的 MFA”功能时。 虽然启用 MFA 是一种很好的做法,但将每用户 MFA 切换为基于条件访问的 MFA 可以减少提示用户执行 MFA 的次数。
在以下情况下会显示此建议:
- 你为至少 5% 的用户配置了按用户分配的 MFA。
- 条件访问策略对超过 1% 的用户处于活跃状态,这表明用户已熟悉条件访问策略。
值
此建议以较少的 MFA 提示提高了用户的工作效率,并最大限度地减少了登录时间。 结合使用条件式访问和多因素认证(MFA)有助于确保最敏感的资源可以受到最严格的控制,而最不敏感的资源则可以更自由地访问。 有关条件访问中可用功能的概述,请参阅生成条件访问策略。
操作计划
要求使用条件访问策略执行 MFA。
- 使用条件访问实现 Microsoft Entra 多重身份验证。
- 确保涵盖要通过 MFA 保护的所有资源和用户。
确保已禁用每用户 MFA 配置。
- 以至少 身份验证策略管理员身份登录到 Microsoft Entra 管理中心。
- 浏览到“用户”>“所有用户”,然后选择“每用户 MFA”按钮。
- 为所有已启用此选项的用户选择禁用 MFA。
将所有用户迁移到条件访问 MFA 帐户后,建议状态会在下次运行服务时自动更新。 继续查看你的条件访问策略。