系统首选身份验证会提示用户使用他们注册的最安全方法登录。 对于使用不太安全的方法(如密码或短信)进行身份验证的用户,这是一项重要的安全增强功能。
系统首选身份验证是一项由 Microsoft 管理的设置,它是一个三态策略(已启用、已禁用或由 Microsoft 管理)。 如果不想启用系统首选身份验证,请将状态从 Microsoft managed 更改为 Disabled,或从策略中排除用户和组。
启用系统首选身份验证后,身份验证系统将执行所有工作。 用户不需要将任何身份验证方法设置为默认方法,因为系统始终会确定并呈现他们注册的最安全方法。
系统首选身份验证如何应用于登录
系统首选身份验证有三种模式:
- 已禁用 - 对登录逻辑没有更改。
- 已启用 - 系统首选身份验证仅适用于第二因素。 现有的登录行为继续适用于第一因素身份验证。
- Microsoft 管理 - 系统首选的身份验证适用于第一重和第二重身份验证。 系统将评估为用户注册哪些凭据,并为每个身份验证步骤选择排名最高的方法。
Enabled 和 Microsoft 托管模式都允许管理员包括或排除特定用户或组。
Tip
如果不希望系统首选身份验证应用于第一因素身份验证,请从 Microsoft managed 切换到 Enabled。 “启用”状态仅将系统首选逻辑应用于第二因素。
注释
系统首选身份验证的范围限定于用户,而不是设备。 管理员包括或排除用户或组,但无法将该功能分配给特定设备或设备组。
已知的限制
- 更改目标组的策略时,更改可能不会对用户的下一次登录生效。 它适用于之后的所有后续登录。
- 条件访问策略仅针对第二因素身份验证进行验证,不适用于第一因素身份验证。 首先进行身份验证,然后条件访问评估授权。 系统首选身份验证不会替代条件访问策略或身份验证强度要求。
在 Microsoft Entra 管理中心中启用系统首选身份验证
默认情况下,所有用户的系统首选身份验证均由 Microsoft 管理。
- 至少以身份验证策略管理员的身份登录到Microsoft Entra 管理中心。
- 浏览到 Microsoft Entra ID>身份验证方法>设置。
- 对于 系统首选身份验证,请选择 由 Microsoft 管理、已启用或已禁用,并选择包括或排除哪些用户。 排除组优先于包含组。
- 完成任何更改后,选择“ 保存”。
使用 Graph API 启用系统首选身份验证
若要提前启用系统首选身份验证,请选择架构配置的单个目标组,如 请求 示例中所示。
身份验证方法功能配置属性
默认情况下,系统首选身份验证由Microsoft 管理。
| 财产 | 类型 | Description |
|---|---|---|
| excludeTarget | featureTarget | 从此功能中排除的单个实体。 只能从系统首选身份验证中排除一个组,可以是动态组或嵌套组。 |
| includeTarget | featureTarget | 此功能中包含的单个实体。 只能包含一个组用于系统首选身份验证,可以是动态组或嵌套组。 |
| State | advancedConfigState | 可能的值为: enabled 显式启用所选组的功能。 已禁用 显式禁用所选组的功能。 默认值允许 Microsoft Entra ID 管理是否为所选组启用该功能。 |
功能目标属性
只能为单个组(可以是动态组或嵌套组)启用系统首选身份验证。
| 财产 | 类型 | Description |
|---|---|---|
| ID | 字符串 | 目标实体的 ID。 |
| 目标类型 | featureTargetType | 目标实体的种类,例如组、角色或管理单元。 可能的值为:“group”、“administrativeUnit”、“role”、“unknownFutureValue”。 |
使用以下 API 终结点启用 systemCredentialPreferences ,并包括或排除组:
https://microsoftgraph.chinacloudapi.cn/v1.0/policies/authenticationMethodsPolicy
请求
以下示例排除了示例目标组,并包括所有用户。 有关更多信息,请参阅Update authenticationMethodsPolicy。
PATCH https://microsoftgraph.chinacloudapi.cn/v1.0/policies/authenticationMethodsPolicy
Content-Type: application/json
{
"systemCredentialPreferences": {
"state": "enabled",
"excludeTargets": [
{
"id": "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb",
"targetType": "group"
}
],
"includeTargets": [
{
"id": "all_users",
"targetType": "group"
}
]
}
}
FAQ
系统首选身份验证如何确定最安全的方法?
当用户登录时,身份验证过程会检查注册的方法。 根据以下顺序,系统会提示用户使用最安全的方法登录。 方法顺序是动态的,随着安全环境的变化而更新。 用户始终可以取消并选择其他可用的登录方法。 如果组织具有需要特定身份验证方法的条件访问策略,这些策略将继续优先于系统首选的身份验证顺序。
当处于 Microsoft 托管状态时,系统将评估可用的凭据,并选择排名最高的方法进行第一因素和第二因素身份验证。
| Rank | Credential | 类别 | 满足以下要求 |
|---|---|---|---|
| 1 | 临时访问密码 (TAP) | 恢复 | 1FA(单因素认证)+ MFA(多因素认证) |
| 2 | Microsoft验证器通知 | 无密码 | 1FA(单因素认证)+ MFA(多因素认证) |
| 3 | 外部多重身份验证 (MFA) | — | MFA |
| 4 | 基于时间的一次性密码 (TOTP)2 | — | MFA |
| 5 | 电话3 | — | MFA |
| 6 | 密码 | — | 1FA |
2包括来自 Microsoft Authenticator、Authenticator Lite 或第三方应用程序的软件 TOTP。
3包括短信和语音呼叫。
系统首选身份验证如何影响 NPS 扩展?
系统首选身份验证不会影响使用网络策略服务器 (NPS) 扩展登录的用户。 这些用户的登录体验不会发生任何改变。
系统首选身份验证如何影响第一因素登录?
当设置为 Microsoft 管理 时,系统会将凭据排序同时应用于第一因素身份验证和第二因素身份验证。
设置为 “已启用”时,凭据排名仅适用于第二重身份验证。 第一因素登录行为保持不变。
用户是否仍可以选择其他登录方法?
是的。 系统首选身份验证会提示具有排名最高的凭据的用户,但在登录期间,用户仍然可以选择其他允许的方法。