Microsoft Entra 建議:從個別使用者 MFA 切換至條件式存取 MFA
Microsoft Entra 建議 是可以提供您個人化深入解析和可操作指導,以讓您租用戶符合建議最佳實務的功能。
本文涵蓋將個別使用者多重要素驗證 (MFA) 帳戶切換為條件式存取 MFA 帳戶的建議。 此建議會在 Microsoft Graph 的建議 API 中呼叫 switchFromPerUserMFA。
描述
身為系統管理員,您除了想要維護公司資源的安全性,也想要讓員工能夠視需要輕鬆存取資源。 MFA 可以讓您增強租用戶的安全性狀態。
在您的租用戶中,您可以為個別使用者啟用 MFA。 在此案例中,您的使用者每次登入時都會執行 MFA。 有一些例外狀況,例如,當他們從受信任的 IP 位址登入,或開啟 [記住受信任裝置上的 MFA] 功能時。 雖然啟用 MFA 是很好的做法,但將個別使用者 MFA 切換為以 條件式存取 為基礎的 MFA,可減少使用者收到 MFA 提示的次數。
如果發生下列情況,就會顯示此建議:
- 您已針對至少 5% 的使用者設定個別使用者 MFA。
- 超過 1% 的使用者已在使用條件式存取原則 (表示熟悉條件式存取原則)。
值
此建議可以改善使用者的生產力,並使用更少的 MFA 提示將登入時間最小化。 條件式存取與 MFA 搭配使用有助於確保最敏感的資源可以有最嚴格的控制,而最不最敏感的資源可以更自由地存取。 如需條件式存取中可用功能的概觀,請參閱 建置條件式存取原則。
行動方案:
確認具有 MFA 需求的現有條件式存取原則。 請確定您涵蓋想要使用 MFA 保護的所有資源和使用者。
- 檢閱您的條件式存取原則。
使用條件式存取原則要求使用 MFA。
確保已關閉個別使用者 MFA 設定。
當所有使用者都移轉到條件式存取 MFA 帳戶之後,建議狀態會在下次服務執行時自動更新。 繼續檢閱您的條件式存取原則。