系统首选身份验证会提示用户使用他们注册的最安全方法登录。 对于使用基于电话的方法进行身份验证的用户,这是一项重要的安全增强功能。 管理员可以启用系统首选身份验证,以提高登录安全性,并阻止使用不太安全的登录方法(如短消息服务(SMS)。
例如,如果用户同时注册了 SMS 和 Microsoft Authenticator 推送通知作为 MFA 的方法,则系统首选身份验证会提示用户使用更安全的推送通知方法登录。 用户仍可以选择使用其他方法进行登录,但系统会首先提示他们尝试注册的最安全方法。
系统首选身份验证是 Microsoft 托管设置,这是 一种三态策略:
- 已启用 - 仅将系统首选身份验证应用于第二个因素(MFA)。
- 由 Microsoft 管理 - 在预览版中,应用于主要身份验证和多因素身份验证(预览版)的切换开关控制该功能是否也适用于主要身份验证。 切换关闭(默认值)时,系统首选身份验证仅适用于第二个因素。 切换开关打开时,它同时适用于第一要素和第二要素。
- 已禁用 - 关闭系统首选身份验证。
如果不想启用系统首选身份验证,请将状态更改为 “已禁用”,或从策略中排除用户和组。
启用系统首选身份验证后,身份验证系统将执行所有工作。 用户不需要将任何身份验证方法设置为默认方法,因为系统始终会确定并呈现他们注册的最安全方法。
已知的限制
- 更改目标组的策略时,更改可能不会对用户的下一次登录生效。 它适用于之后的所有后续登录。
- 条件访问策略仅针对 MFA 进行验证,不适用于第一因素身份验证。
在 Microsoft Entra 管理中心中启用系统首选身份验证
若要启用系统首选身份验证,请执行以下步骤:
以至少 身份验证策略管理员 身份登录到 Microsoft Entra 管理中心。
浏览到 Microsoft Entra ID>身份验证方法>设置。
对于 系统首选身份验证,请根据是要将系统首选身份验证应用于这两个因素还是仅将系统首选身份验证应用于第二个因素,选择状态(Microsoft托管 或 启用)。 还可以包括或排除任何用户或组。 排除的组优先于包含的组。
将状态设置为 Microsoft managed 时,将显示 Apply 切换到主身份验证和多重身份验证(预览版)。 打开开关,将系统首选身份验证应用于主要身份验证和辅助身份验证。 切换关闭(默认值)时,系统首选身份验证仅适用于第二个因素。
例如,以下屏幕截图显示了如何仅为工程组启用系统首选身份验证。
完成任何更改后,选择“ 保存”。
FAQ
系统首选身份验证如何确定最安全的方法?
当用户登录时,身份验证过程会检查为用户注册了哪些身份验证方法。 根据以下顺序,系统会提示用户使用最安全的方法登录。 身份验证方法的顺序是动态的,随着安全环境的变化和更好的身份验证方法的出现而更新。 用户始终可以取消并选择其他可用的登录方法。 如果组织具有需要特定身份验证方法的条件访问策略,这些策略将继续优先于系统首选的身份验证顺序。
| 等级 | 认证凭据 | 类别 | 满足以下要求 |
|---|---|---|---|
| 1 | 临时访问密码 (TAP) | 恢复 | 1FA(单因素认证)+ MFA(多因素认证) |
| 2 | 密码1 | 防钓鱼 | 1FA(单因素认证)+ MFA(多因素认证) |
| 3 | Microsoft Authenticator通知 | 无密码 | 1FA(单因素认证)+ MFA(多因素认证) |
| 4 | 外部多重身份验证 (MFA) | — | MFA |
| 5 | 基于时间的一次性密码 (TOTP)2 | — | MFA |
| 6 | 电话3 | — | MFA |
| 7 | QR 码 | 一线员工 | 1FA |
| 8 | 密码 | — | 1FA |
1包括安全密钥、Windows Hello 企业版 和 macOS 平台 SSO。
2包括来自 Microsoft Authenticator、Authenticator Lite 或第三方应用程序的硬件或软件 TOTP。
3包括短信和语音呼叫。
系统首选身份验证如何影响 NPS 扩展?
系统首选身份验证不会影响使用网络策略服务器 (NPS) 扩展登录的用户。 这些用户的登录体验不会发生任何改变。
对于未在身份验证方法策略中指定,但已在旧式 MFA 租户范围策略中启用的用户,会发生什么情况?
系统首选身份验证也适用于在旧版 MFA 策略中为 MFA 启用的用户。
用户是否仍可以选择其他登录方法?
是的。 系统首选身份验证会提示用户使用最安全的注册凭据,但在登录期间,用户仍然可以选择其他允许的方法。
后续步骤
- Microsoft Entra ID 中的身份验证方法
- 如何运行注册活动以设置 Microsoft Authenticator