Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Die vom System bevorzugte Multi-Faktor-Authentifizierung (MFA) fordert Benutzer auf, sich mit der sichersten Methode anzumelden, die sie registriert haben. Dies ist eine wichtige Sicherheitsverbesserung für Benutzer, die sich mithilfe von Telekommunikationstransporten authentifizieren. Administratoren können die vom System bevorzugte MFA aktivieren, um die Anmeldesicherheit zu verbessern und weniger sichere Anmeldemethoden wie Short Message Service (SMS) zu unterbinden.
Wenn ein Benutzer beispielsweise sowohl SMS als auch Microsoft Authenticator-Pushbenachrichtigungen als Methoden für MFA registriert hat, fordert die vom System bevorzugte MFA den Benutzer auf, sich mit der sichereren Methode der Pushbenachrichtigungen anzumelden. Der Benutzer kann sich weiterhin mit einer anderen Methode anmelden, aber er wird zuerst aufgefordert, die sicherste Methode zu verwenden, die er registriert hat.
Die vom System bevorzugte MFA ist eine von Microsoft verwaltete Einstellung, bei der es sich um eine Richtlinie mit drei Zuständen handelt. Der Microsoft verwaltete Wert der systembevorzugten MFA ist aktiviert. Wenn Sie die vom System bevorzugte MFA nicht aktivieren möchten, ändern Sie den Status von Microsoft verwaltet auf Deaktiviert, oder schließen Sie Benutzer und Gruppen von der Richtlinie aus.
Nachdem die vom System bevorzugte MFA aktiviert wurde, übernimmt das Authentifizierungssystem die gesamte Arbeit. Benutzer müssen keine Authentifizierungsmethode als ihren Standard festlegen, da das System immer die sicherste von ihnen registrierte Methode ermittelt und bereitstellt.
Aktivieren der vom System bevorzugten MFA im Microsoft Entra Admin Center
Standardmäßig wird die vom System bevorzugte MFA von Microsoft verwaltet und für alle Benutzer aktiviert.
Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Authentifizierungsrichtlinienadministrator an.
Navigieren Sie zu Entra ID>Authentifizierungsmethoden>Einstellungen.
Wählen Sie für die vom System bevorzugte Multi-Faktor-Authentifizierung aus, ob Sie die Funktion explizit aktivieren oder deaktivieren und Benutzer ein- oder ausschließen möchten. Ausgeschlossene Gruppen haben Vorrang vor eingeschlossenen Gruppen.
Der folgende Screenshot zeigt beispielsweise, wie Sie die vom System bevorzugte MFA explizit nur für die Engineering-Gruppe aktivieren.
Nachdem Sie die Änderungen abgeschlossen haben, klicken Sie auf Speichern.
Aktivieren der vom System bevorzugten MFA mithilfe von Graph-APIs
Um die vom System bevorzugte MFA im Voraus zu aktivieren, müssen Sie eine einzelne Zielgruppe für die Schemakonfiguration auswählen, wie im Beispiel für die Anforderung gezeigt.
Konfigurationseigenschaften der Authentifizierungsmethode
Standardmäßig ist die vom System bevorzugte MFA Microsoft managed und enabled.
| Eigenschaft | Typ | Beschreibung |
|---|---|---|
| excludeTarget | featureTarget | Eine einzelne Entität, die aus diesem Feature ausgeschlossen ist. Sie können nur eine Gruppe von der vom System bevorzugten MFA ausschließen, bei der es sich um eine dynamische oder geschachtelte Gruppe handeln kann. |
| includeTarget | featureTarget | Eine einzelne Entität, die in diesem Feature enthalten ist. Sie können nur eine Gruppe für die vom System bevorzugte MFA einschließen, bei der es sich um eine dynamische oder geschachtelte Gruppe handeln kann. |
| Staat | advancedConfigState | Mögliche Werte: enabled explicitly enables die feature für die selected group. Deaktiviert explicitly disables die feature für die selected group. Standard ermöglicht Microsoft Entra ID die Verwaltung, ob die Funktion für die ausgewählte Gruppe aktiviert ist oder nicht. |
FeatureTarget-Eigenschaften
Die vom System bevorzugte MFA kann nur für eine einzelne Gruppe aktiviert werden, bei der es sich um eine dynamische oder geschachtelte Gruppe handeln kann.
| Eigenschaft | Typ | Beschreibung |
|---|---|---|
| ID | Schnur | Die ID der Zielentität. |
| Zieltyp | featureTargetType | Die Art der Zielentität, wie z. B. eine Gruppe, eine Rolle oder eine administrative Einheit. Die möglichen Werte sind „group“, „administrativeUnit', „role“, „unknownFutureValue“. |
Verwenden Sie den folgenden API-Endpunkt, um systemCredentialPreferences zu aktivieren und Gruppen einzuschließen oder auszuschließen:
https://graph.microsoft.com/v1.0/policies/authenticationMethodsPolicy
Hinweis
Im Graph-Tester müssen Sie der Berechtigungen Policy.ReadWrite.AuthenticationMethod zustimmen.
Anforderung
Das folgende Beispiel schließt eine Beispielzielgruppe aus und schließt alle Benutzer ein. Weitere Informationen finden Sie unter authenticationMethodsPolicy aktualisieren.
PATCH https://graph.microsoft.com/v1.0/policies/authenticationMethodsPolicy
Content-Type: application/json
{
"systemCredentialPreferences": {
"state": "enabled",
"excludeTargets": [
{
"id": "d1411007-6fcf-4b4c-8d70-1da1857ed33c",
"targetType": "group"
}
],
"includeTargets": [
{
"id": "all_users",
"targetType": "group"
}
]
}
}
Häufig gestellte Fragen
Wie bestimmt die vom System bevorzugte MFA die sicherste Methode?
Wenn sich ein Benutzer anmeldet, überprüft der Authentifizierungsprozess, welche Authentifizierungsmethoden für den Benutzer registriert sind. Der Benutzer wird aufgefordert, sich mit der sichersten Methode gemäß der folgenden Reihenfolge anzumelden. Die Reihenfolge der Authentifizierungsmethoden ist dynamisch. Sie wird aktualisiert, wenn sich die Sicherheitslandschaft ändert, und wenn bessere Authentifizierungsmethoden auftauchen. Aufgrund bekannter Probleme mit der zertifikatsbasierten Authentifizierung (CBA) und der systembevorzugten MFA haben wir CBA an das Ende der Liste verschoben. Klicken Sie auf den Link, um weitere Informationen zu den einzelnen Methoden zu erhalten.
- Temporärer Zugangspass
- Passkey (FIDO2)
- Methoden für die externe Authentifizierung
- Microsoft Authenticator-Benachrichtigungen
- Zeitbasiertes Einmalpasswort (TOTP)1
- Telefonie2
- Zertifikatsbasierte Authentifizierung
1Enthält Hardware oder Software TOTP von Microsoft Authenticator, Authenticator- Lite oder Anwendungen von Drittanbietern.
2Umfasst SMS und Sprachanrufe.
Wie wirkt sich die systemseitig bevorzugte MFA auf die NPS-Erweiterung aus?
Die systemseitig bevorzugte MFA wirkt sich nicht auf Benutzer aus, die sich mit der NPS-Erweiterung (Network Policy Server, Netzwerkrichtlinienserver) anmelden. Diese Benutzer sehen keine Änderungen an ihrer Anmeldeerfahrung.
Was geschieht bei Benutzern, die nicht in der Authentifizierungsmethodenrichtlinie angegeben sind, aber in der mandantenweiten Legacy-MFA-Richtlinie aktiviert sind?
Die vom System bevorzugte MFA gilt auch für Benutzer, die für MFA in der Legacy-MFA-Richtlinie aktiviert sind.
