Megosztás a következőn keresztül:

Felhasználónkénti Microsoft Entra többtényezős hitelesítés engedélyezése a bejelentkezési események védelméhez

  • Cikk

A felhasználói bejelentkezési események a Microsoft Entra-azonosítóban való védelméhez többtényezős Microsoft Entra-hitelesítést (MFA) igényelhet. A felhasználók Microsoft Entra MFA-val történő védelmének legjobb módja egy feltételes hozzáférési szabályzat létrehozása. A feltételes hozzáférés egy P1 vagy P2 Microsoft Entra-azonosítójú funkció, amely lehetővé teszi az MFA igény szerinti alkalmazásának szabályait bizonyos helyzetekben. A feltételes hozzáférés használatának megkezdéséhez tekintse meg a Microsoft Entra többtényezős hitelesítéssel rendelkező felhasználói bejelentkezési események biztonságossá tételét ismertető oktatóanyagot.

Feltételes hozzáféréssel nem rendelkező Microsoft Entra Ingyenes bérlők esetén a biztonsági alapértékek használatával védheti a felhasználókat. A rendszer szükség szerint MFA-t kér a felhasználóktól, de a viselkedés szabályozásához nem definiálhat saját szabályokat.

Ha szükséges, akkor engedélyezheti az egyes fiókokhoz a felhasználónkénti Microsoft Entra MFA-t. Ha egyenként engedélyezi a felhasználókat, minden bejelentkezéskor MFA-t hajtanak végre. Engedélyezheti a kivételeket, például ha megbízható IP-címekről jelentkeznek be, vagy ha be van kapcsolva a megbízható eszközök MFA-jának megjegyzése.

A felhasználói állapotok módosítása csak akkor javasolt, ha a Microsoft Entra ID-licencei nem tartalmazzák a feltételes hozzáférést, és nem szeretné használni a biztonsági alapértelmezett beállításokat. Az MFA engedélyezésének különböző módjairól további információt a Microsoft Entra többtényezős hitelesítés funkciói és licencei című témakörben talál.

Fontos

Ez a cikk bemutatja, hogyan tekintheti meg és módosíthatja a felhasználónkénti Microsoft Entra többtényezős hitelesítés állapotát. Ha feltételes hozzáférést vagy biztonsági beállításokat használ, az alábbi lépésekkel nem tekintheti át és nem engedélyezheti a felhasználói fiókokat.

A Microsoft Entra többtényezős hitelesítés feltételes hozzáférési szabályzaton keresztüli engedélyezése nem változtatja meg a felhasználó állapotát. Ne aggódjon, ha a felhasználók letiltva jelennek meg. A feltételes hozzáférés nem módosítja az állapotot.

Ha feltételes hozzáférési szabályzatokat használ, ne engedélyezze vagy kényszerítse ki a felhasználónkénti Microsoft Entra többtényezős hitelesítést.

A Microsoft Entra többtényezős hitelesítés felhasználói állapotai

A felhasználó állapota azt tükrözi, hogy egy hitelesítési rendszergazda regisztrálta-e őket felhasználónkénti Microsoft Entra többtényezős hitelesítésben. A Microsoft Entra többtényezős hitelesítés felhasználói fiókjai a következő három különböző állapottal rendelkeznek:

Állapot Leírás Az örökölt hitelesítés érintve van Érintett böngészőalkalmazások A modern hitelesítést érintő probléma
Letiltva A felhasználónkénti Microsoft Entra többtényezős hitelesítésben nem regisztrált felhasználók alapértelmezett állapota. Nem Nem Nem
Engedélyezve A felhasználó felhasználónkénti Microsoft Entra többtényezős hitelesítésben van regisztrálva, de továbbra is használhatja a jelszavát az örökölt hitelesítéshez. Ha a felhasználó nem rendelkezik regisztrált MFA hitelesítési módszerekkel, a rendszer kérni fogja, hogy regisztrálja a következő alkalommal, amikor modern hitelesítéssel jelentkezik be (például amikor bejelentkezik egy webböngészőbe). sz. Az örökölt hitelesítés a regisztrációs folyamat befejezéséig továbbra is működik. Igen. A munkamenet lejárta után a Microsoft Entra többtényezős hitelesítés regisztrációja szükséges. Igen. A hozzáférési jogkivonat lejárata után a Microsoft Entra többtényezős hitelesítés regisztrációja szükséges.
Kényszerítve A felhasználó felhasználónként regisztrálva van a Microsoft Entra többtényezős hitelesítésben. Ha a felhasználó nem rendelkezik regisztrált hitelesítési módszerekkel, a rendszer kérni fogja, hogy regisztrálja a következő alkalommal, amikor modern hitelesítéssel jelentkezik be (például amikor bejelentkezik egy webböngészőbe). Azok a felhasználók, akik engedélyezve vannak, automatikusan át lesznek helyezve a kényszerített állapotba. Igen. Az alkalmazásokhoz alkalmazásjelszavak szükségesek. Igen. A bejelentkezéshez többtényezős Microsoft Entra-hitelesítés szükséges. Igen. A bejelentkezéshez többtényezős Microsoft Entra-hitelesítés szükséges.

Minden felhasználó kezdetben Letiltva van. Ha a felhasználókat felhasználónkénti Microsoft Entra többtényezős hitelesítésre iratja fel, az állapotuk Engedélyezve-re változik. Amikor az engedélyezett felhasználók bejelentkeznek és befejezik a regisztrációs folyamatot, állapotuk Kikényszerítettre változik. A rendszergazdák áthelyezhetik a felhasználókat az állapotok között, beleértve a Kényszerített állapotból az Engedélyezett vagy a Letiltott állapotba.

Feljegyzés

Ha a felhasználónkénti MFA újra engedélyezve van egy felhasználón, és a felhasználó nem regisztrál újra, az MFA állapota nem vált át az Engedélyezettről a Kényszerítve állapotra az MFA felügyeleti felhasználói felületén. A rendszergazdának közvetlenül a Kényszerített állapotra kell áthelyeznie a felhasználót.

Felhasználó állapotának megtekintése

A Microsoft Entra felügyeleti központban a felhasználónkénti MFA felügyeleti felület nemrég javult. A felhasználói állapotok megtekintéséhez és kezeléséhez hajtsa végre a következő lépéseket:

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább hitelesítési házirend-rendszergazdaként.

  2. Navigáljon ide: Identitás>Felhasználók>Minden felhasználó.

  3. Válasszon ki egy felhasználói fiókot, és válassza Felhasználói MFA-beállítások.

  4. A módosítások végrehajtása után válassza a Mentéslehetőséget.

    A felhasználó MFA-beállításainak példáját bemutató képernyőkép.

    Ha több ezer felhasználót próbál rendezni, az eredmény lehet, hogy egyszerűen nincsenek megjelenítendő felhasználók üzenetet ad vissza. Próbáljon meg pontosabb keresési feltételeket megadni a keresés szűkítéséhez, vagy adott állapot - vagy nézetszűrők alkalmazásához.

    Képernyőkép, amely egy példa arra, hogyan lehet egy nagy volumenű felhasználói rendezést szűrni.

Felhasználó állapotának módosítása

A felhasználónkénti Microsoft Entra többtényezős hitelesítési állapot módosításához hajtsa végre a következő lépéseket:

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább hitelesítési házirend-rendszergazdaként.

  2. Keresse meg az Identitás>Felhasználók>Minden felhasználó elemet.

  3. Válasszon ki egy felhasználói fiókot, és válassza a MFA bekapcsolásalehetőséget. Képernyőkép arról, hogyan engedélyezheti a felhasználókat a Microsoft Entra többtényezős hitelesítéséhez.

    Tipp.

    Az engedélyezett felhasználók automatikusan kikényszerítve lesznek, amikor regisztrálnak a Microsoft Entra többtényezős hitelesítésre. Ne módosítsa manuálisan a felhasználó állapotát kényszerítve állapotra, kivéve, ha a felhasználó már regisztrálva van, vagy, ha a felhasználó számára elfogadható a kapcsolat megszakadása az örökölt hitelesítési protokollokkal.

  4. Erősítse meg a kijelölést a megnyíló előugró ablakban.

Miután engedélyezte a felhasználókat, értesítse őket e-mailben. Tájékoztassa a felhasználókat, hogy megjelenik egy üzenet, amely arra kéri őket, hogy regisztráljanak a következő bejelentkezéskor. Ha a szervezet olyan alkalmazásokat használ, amelyek nem böngészőben futnak, vagy támogatják a modern hitelesítést, alkalmazásjelszavakat hozhat létre. További információ: Microsoft Entra többtényezős hitelesítés kényszerítése régi alkalmazásokkal alkalmazásjelszavakkal.

Felhasználónkénti MFA kezelése a Microsoft Graph használatával

A felhasználónkénti MFA-beállítások a Microsoft Graph REST API bétaverziójának használatával kezelhetők. A hitelesítési erőforrástípussal elérhetővé teheti a hitelesítési módszerek állapotát a felhasználók számára.

Felhasználónkénti MFA kezeléséhez használja a perUserMfaState tulajdonságot a felhasználókon/azonosítón/hitelesítésen/követelményeken belül. További információért lásd a strongAuthenticationRequirements erőforrástípust.

Felhasználónkénti MFA-állapot megtekintése

Felhasználónkénti többtényezős hitelesítési állapot lekérése felhasználónként:

GET /users/{id | userPrincipalName}/authentication/requirements

Példa:

GET https://graph.microsoft.com/beta/users/071cc716-8147-4397-a5ba-b2105951cc0b/authentication/requirements

Ha a felhasználó felhasználónkénti MFA-ra van engedélyezve, a válasz a következő:

HTTP/1.1 200 OK
Content-Type: application/json

{
  "perUserMfaState": "enforced"
}

További információ: Get authentication method states.

Felhasználó MFA-állapotának módosítása

A felhasználó többtényezős hitelesítési állapotának módosításához használja a felhasználó strongAuthenticationRequirements értékét. Példa:

PATCH https://graph.microsoft.com/beta/users/071cc716-8147-4397-a5ba-b2105951cc0b/authentication/requirements
Content-Type: application/json

{
  "perUserMfaState": "disabled"
}

Ha sikeres, a válasz a következő:

HTTP/1.1 204 No Content

További információ: A hitelesítési módszer állapotának frissítése.

Következő lépések

A Microsoft Entra többtényezős hitelesítési beállításainak konfigurálásához tekintse meg a Microsoft Entra többtényezős hitelesítési beállításainak konfigurálását.

A Microsoft Entra többtényezős hitelesítés felhasználói beállításainak kezeléséhez lásd: Felhasználói beállítások kezelése a Microsoft Entra többtényezős hitelesítéssel.

Annak megértéséhez, hogy a rendszer miért kéri vagy nem kéri a felhasználótól az MFA elvégzését, tekintse meg a Microsoft Entra többtényezős hitelesítési jelentéseit.