Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Siła uwierzytelniania to kontrola dostępu warunkowego firmy Microsoft Entra określająca kombinacje metod uwierzytelniania, których użytkownicy mogą używać do uzyskiwania dostępu do zasobu. Użytkownicy mogą spełnić wymagania dotyczące siły, uwierzytelniając się przy użyciu dowolnej z dozwolonych kombinacji.
Na przykład siła uwierzytelniania może wymagać od użytkowników używania tylko metod uwierzytelniania odpornego na wyłudzanie informacji w celu uzyskania dostępu do poufnego zasobu. Aby uzyskać dostęp do niewrażliwego zasobu, administratorzy mogą utworzyć kolejną siłę uwierzytelniania, która umożliwia mniej bezpieczne kombinacje uwierzytelniania wieloskładnikowego (MFA), takie jak hasło i wiadomość SMS.
Siła uwierzytelniania jest oparta na zasadach metod uwierzytelniania. Oznacza to, że administratorzy mogą określać zakres metod uwierzytelniania dla określonych użytkowników i grup, które mają być używane w aplikacjach federacyjnych microsoft Entra ID. Siła uwierzytelniania umożliwia dalszą kontrolę nad użyciem tych metod na podstawie określonych scenariuszy, takich jak poufny dostęp do zasobów, ryzyko użytkownika i lokalizacja.
Wymagania wstępne
- Aby korzystać z dostępu warunkowego, dzierżawca musi mieć licencję na Microsoft Entra ID P1. Jeśli nie masz tej licencji, możesz rozpocząć korzystanie z bezpłatnej wersji próbnej.
Scenariusze dotyczące mocnych stron uwierzytelniania
Mocne uwierzytelnianie może pomóc klientom w rozwiązywaniu tych scenariuszy:
- Wymagaj określonych metod uwierzytelniania w celu uzyskania dostępu do poufnego zasobu.
- Wymagaj określonej metody uwierzytelniania, gdy użytkownik podejmuje wrażliwą akcję w aplikacji (w połączeniu z kontekstem uwierzytelniania dostępu warunkowego).
- Wymagaj od użytkowników użycia określonej metody uwierzytelniania w przypadku uzyskiwania dostępu do poufnych aplikacji poza siecią firmową.
- Wymagaj bezpieczniejszych metod uwierzytelniania dla użytkowników wysokiego ryzyka.
- Wymagaj specyficznych metod uwierzytelniania od użytkowników-gości, którzy uzyskują dostęp do dzierżawcy zasobów (w połączeniu z ustawieniami międzydzierżawcowymi).
Wbudowane i niestandardowe poziomy bezpieczeństwa uwierzytelniania
Administratorzy mogą określić siłę uwierzytelniania, aby uzyskać dostęp do zasobu, tworząc zasady dostępu warunkowego za pomocą kontrolki Wymagaj siły uwierzytelniania. Mogą wybrać jedną z trzech wbudowanych sił uwierzytelniania: siłę uwierzytelniania wieloskładnikowego, siłę uwierzytelniania wieloskładnikowego bez hasła i siłę uwierzytelniania wieloskładnikowego odpornego na wyłudzanie informacji. Mogą również utworzyć niestandardowy poziom siły uwierzytelniania na podstawie kombinacji metod uwierzytelniania, które chcą dopuścić.
Wbudowane siły uwierzytelniania
Wbudowane mocne strony uwierzytelniania to kombinacje metod uwierzytelniania wstępnie zdefiniowanych przez firmę Microsoft. Wbudowane mechanizmy uwierzytelniania są zawsze dostępne i nie można ich modyfikować. Firma Microsoft aktualizuje wbudowane mocne strony uwierzytelniania, gdy nowe metody staną się dostępne.
Na przykład wbudowana siła MFA odpornego na phishing umożliwia stosowanie kombinacji:
- Windows Hello for Business lub poświadczenia platformy
- Klucz zabezpieczeń FIDO2
- Uwierzytelnianie oparte na certyfikatach firmy Microsoft (wieloskładnikowe)
W poniższej tabeli wymieniono kombinacje metod uwierzytelniania dla każdej wbudowanej siły uwierzytelniania. Te zestawienia obejmują metody, które użytkownicy muszą zarejestrować oraz które administratorzy muszą włączyć w zasadach metod uwierzytelniania lub w zasadach dla ustawień starszego MFA:
- Siła uwierzytelniania wieloskładnikowego: ten sam zestaw kombinacji, których można użyć do spełnienia ustawienia Wymagaj uwierzytelniania wieloskładnikowego .
- Siła uwierzytelniania wieloskładnikowego bez hasła: obejmuje metody uwierzytelniania spełniające wymagania uwierzytelniania wieloskładnikowego, ale nie wymagają hasła.
- Siła uwierzytelniania wieloskładnikowego odpornego na wyłudzanie informacji: obejmuje metody wymagające interakcji między metodą uwierzytelniania a powierzchnią logowania.
| Kombinacja metody uwierzytelniania | Siła uwierzytelniania MFA | Siła uwierzytelniania MFA bez hasła | Siła uwierzytelniania wieloskładnikowego odpornego na phishing |
|---|---|---|---|
| Klucz zabezpieczeń FIDO2 | ✅ | ✅ | ✅ |
| Windows Hello for Business lub poświadczenia platformy | ✅ | ✅ | ✅ |
| Uwierzytelnianie oparte na certyfikatach (wieloskładnikowe) | ✅ | ✅ | ✅ |
| Microsoft Authenticator (logowanie telefoniczne) | ✅ | ✅ | |
| Dostęp tymczasowy (jednorazowe użycie i wielokrotne użycie) | ✅ | ||
| Hasło plus coś, co użytkownik ma1 | ✅ | ||
| Federacyjny pojedynczy czynnik plus coś, co użytkownik ma1 | ✅ | ||
| Wieloskładnikowy federacyjny | ✅ | ||
| Uwierzytelnianie oparte na certyfikatach (jednoskładnikowe) | |||
| Logowanie sms | |||
| Hasło | |||
| Federacyjny pojedynczy czynnik |
1Coś, co użytkownik posiada odnosi się do jednej z następujących metod: wiadomości SMS, głosu, powiadomień push, tokenu OATH w oprogramowaniu lub tokenu sprzętowego OATH.
Możesz użyć następującego wywołania interfejsu API, aby wyświetlić definicje wszystkich wbudowanych sposobów uwierzytelniania.
GET https://graph.microsoft.com/beta/identity/conditionalAccess/authenticationStrength/policies?$filter=policyType eq 'builtIn'
Niestandardowe siły uwierzytelniania
Administratorzy dostępu warunkowego mogą również tworzyć niestandardowe siły uwierzytelniania, aby dokładnie odpowiadały wymaganiom dostępu. Aby uzyskać więcej informacji, zobacz Tworzenie niestandardowych sił uwierzytelniania dostępu warunkowego i zarządzanie nimi.
Ograniczenia
Wpływ siły uwierzytelniania na uwierzytelnianie: zasady dostępu warunkowego są oceniane dopiero po początkowym uwierzytelnieniu. W związku z tym siła uwierzytelniania nie ogranicza początkowego uwierzytelniania użytkownika.
Załóżmy, że używasz wbudowanej siły uwierzytelniania odpornej na wyłudzanie informacji MFA. Użytkownik może nadal wprowadzać hasło, ale musi się zalogować przy użyciu metody odpornej na wyłudzanie informacji, takiej jak klucz zabezpieczeń FIDO2, zanim będzie mógł kontynuować.
Nieobsługiwana kombinacja kontrolek udzielania: nie można używać kontrolek Wymagaj uwierzytelniania wieloskładnikowego i Wymagaj siły uwierzytelniania razem w tej samej zasadzie dostępu warunkowego. Przyczyną jest to, że wbudowana siła uwierzytelniania wieloskładnikowego jest równoważna kontrolce Wymagaj udzielania uwierzytelniania wieloskładnikowego .
Nieobsługiwana metoda uwierzytelniania: Metoda uwierzytelniania jednorazowe hasło przez e-mail (Gość) nie jest obecnie obsługiwana w dostępnych kombinacjach.
Windows Hello dla firm: jeśli użytkownik loguje się za pomocą usługi Windows Hello dla firm jako podstawowej metody uwierzytelniania, może służyć do spełnienia wymagania dotyczącego siły uwierzytelniania, który obejmuje funkcję Windows Hello dla firm. Jeśli jednak użytkownik zaloguje się przy użyciu innej metody (takiej jak hasło) jako podstawowej metody uwierzytelniania, a siła uwierzytelniania wymaga usługi Windows Hello dla firm, użytkownik nie jest monitowany o zalogowanie się przy użyciu usługi Windows Hello dla firm. Użytkownik musi ponownie uruchomić sesję, wybrać opcje logowania i wybrać metodę wymaganą przez siłę uwierzytelniania.
Znane problemy
Siła uwierzytelniania i częstotliwość logowania: jeśli zasób wymaga siły uwierzytelniania i częstotliwości logowania, użytkownicy mogą spełnić oba wymagania dwa razy.
Załóżmy na przykład, że zasób wymaga klucza dostępu (FIDO2) dla siły uwierzytelniania wraz z częstotliwością logowania 1-godzinnego. Użytkownik zalogował się przy użyciu klucza dostępu (FIDO2), aby uzyskać dostęp do zasobu 24 godziny temu.
Gdy użytkownik odblokuje swoje urządzenie z systemem Windows przy użyciu usługi Windows Hello dla firm, będzie mógł ponownie uzyskać dostęp do zasobu. Wczorajsze logowanie spełnia wymagania dotyczące siły uwierzytelniania, a dzisiejsze odblokowanie urządzenia spełnia wymagania dotyczące częstotliwości logowania.
Często zadawane pytania
Czy należy używać siły uwierzytelniania lub zasad dla metod uwierzytelniania?
Siła uwierzytelniania jest oparta na zasadach metod uwierzytelniania . Zasady metod uwierzytelniania ułatwiają określanie zakresu i konfigurowanie metod uwierzytelniania, których użytkownicy i grupy mogą używać w ramach identyfikatora Entra firmy Microsoft. Siła uwierzytelniania umożliwia inne ograniczenie metod dla określonych scenariuszy, takich jak poufny dostęp do zasobów, ryzyko użytkownika i lokalizacja.
Załóżmy na przykład, że administrator organizacji o nazwie Contoso chce zezwolić użytkownikom na używanie aplikacji Microsoft Authenticator z powiadomieniami wypychanymi lub trybem uwierzytelniania bez hasła. Administrator przechodzi do ustawień Authenticatora w zasadach metod uwierzytelniania, określa zasady dla odpowiednich użytkowników i ustawia tryb uwierzytelniania na Dowolny.
W przypadku najbardziej poufnego zasobu firmy Contoso administrator chce ograniczyć dostęp tylko do metod uwierzytelniania bez hasła. Administrator tworzy nową politykę dostępu warunkowego przy użyciu wbudowanej siły uwierzytelniania bez hasła MFA.
W związku z tym użytkownicy w firmie Contoso mogą uzyskiwać dostęp do większości zasobów w ramach dzierżawy, korzystając z hasła i powiadomienia push z aplikacji Authenticator lub tylko z aplikacji Authenticator (logowanie telefoniczne). Jednak gdy użytkownicy w dzierżawie uzyskują dostęp do poufnej aplikacji, muszą używać aplikacji Authenticator (logowanie za pomocą telefonu).