Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Den här artikeln beskriver hur autentiseringsstyrkor i Villkorsstyrd åtkomst i Microsoft Entra kan begränsa vilka kombinationer av autentiseringsmetoder som kan användas för att logga in och få åtkomst till en resurs.
Hur autentiseringsstyrkor fungerar med principerna för autentiseringsmetoder
Två principer avgör vilka autentiseringsmetoder som kan användas för att komma åt resurser. En användare som är aktiverad för en autentiseringsmetod i någon av principerna kan logga in med den metoden.
Säkerhet>Autentiseringsmetoder>Principer är ett modernare sätt att hantera autentiseringsmetoder för specifika användare och grupper. Du kan ange användare och grupper för metoder. Du kan också konfigurera parametrar för att styra hur en metod kan användas.
Säkerhet>Multifaktorautentisering>Ytterligare molnbaserade inställningar för multifaktorautentisering är ett äldre sätt att styra MFA-metoder (multifaktorautentisering) för alla användare i en klientorganisation.
Användare kan registrera sig för autentiseringsmetoder som de är aktiverade för. En administratör kan också konfigurera en användares enhet med hjälp av en metod som certifikatbaserad autentisering.
Hur en princip för autentiseringsstyrka utvärderas under inloggningen
En princip för autentisering med villkorsstyrd åtkomst definierar vilka autentiseringsmetoder en användare kan använda. Microsoft Entra-ID kontrollerar principen under inloggningen för att fastställa användarens åtkomst till resursen.
En administratör konfigurerar till exempel en princip för villkorsstyrd åtkomst med en anpassad autentiseringsstyrka som kräver en nyckel (FIDO2-säkerhetsnyckel) eller en kombination av lösenord och sms. Användaren får åtkomst till en resurs som den här principen hjälper till att skydda.
Under inloggningen kontrollerar Microsoft Entra-ID alla inställningar för att avgöra vilka metoder som tillåts, vilka metoder som är registrerade och vilka metoder principen för villkorsstyrd åtkomst kräver. För en lyckad inloggning måste metoden tillåtas, registreras av användaren (antingen före eller som en del av åtkomstbegäran) och uppfylla autentiseringsstyrkan.
Hur flera principer för autentiseringsstyrka utvärderas
När flera principer för villkorsstyrd åtkomst gäller för en inloggning måste användaren i allmänhet uppfylla alla villkor från alla principer. På samma sätt, när flera principer för autentisering med villkorsstyrd åtkomst gäller för inloggningen, måste användaren uppfylla alla villkor för autentiseringsstyrkan.
Om två principer för autentiseringsstyrka till exempel båda kräver en nyckel (FIDO2) kan användaren använda en FIDO2-säkerhetsnyckel för att uppfylla båda principerna. Om de två autentiseringshållfasthetsprinciperna har olika uppsättningar metoder måste användaren använda flera metoder för att uppfylla båda principerna.
Hur flera principer för autentiseringsstyrka utvärderas för registrering av säkerhetsinformation
För avbrottsläge i registrering av säkerhetsinformation behandlas utvärderingen av autentisering på olika sätt. Autentiseringsstyrkor som riktar sig mot användaråtgärden registrering av säkerhetsinformation föredras framför andra principer för autentiseringsstyrka som riktar sig mot Alla resurser (tidigare Alla molnappar). Alla andra beviljandekontroller (till exempel Kräv att enheten markeras som kompatibel) från andra principer för villkorsstyrd åtkomst som omfattas av inloggningen tillämpas som vanligt.
Anta till exempel att en organisation vill kräva att användarna alltid loggar in med en MFA-metod och från en kompatibel enhet. Organisationen vill också tillåta nya anställda att registrera dessa MFA-metoder med hjälp av ett tillfälligt åtkomstpass (TAP). Användare kan inte använda en TAP på någon annan resurs. För att uppnå det här målet kan administratören vidta följande steg:
- Skapa en anpassad autentiseringsstyrka med namnet Bootstrap och återställning som inkluderar TAP-autentiseringskombinationen. Den kan också innehålla någon av MFA-metoderna.
- Skapa en anpassad autentiseringsstyrka med namnet MFA för inloggning som innehåller alla tillåtna MFA-metoder, utan TAP.
- Skapa en princip för villkorlig åtkomst som riktar sig till Alla resurser (tidigare Alla molnappar) och kräver både MFA för inloggningsautentiseringsstyrka och Kräv kompatibla enhetsbeviljande kontroller.
- Skapa en princip för villkorlig åtkomst som är inriktad på användaråtgärden Registrera säkerhetsinformation och kräver autentiseringsstyrkan för bootstrap och återställning.
Därför kan användare på en kompatibel enhet använda en TAP för att registrera valfri MFA-metod. De kan sedan använda den nyligen registrerade metoden för att autentisera till andra resurser som Outlook.
Anteckning
Om flera principer för villkorsstyrd åtkomst är inriktade på användaråtgärden Registrera säkerhetsinformation och var och en tillämpar en autentiseringsstyrka, måste användaren uppfylla alla sådana autentiseringsstyrkor för att logga in.
Vissa lösenordslösa och nätfiskeresistenta metoder kan inte registreras från avbrottsläge. Mer information finns i Registrering av lösenordslösa autentiseringsmetoder senare i den här artikeln.
Användarupplevelse
Följande faktorer avgör om användaren får åtkomst till resursen:
- Vilken autentiseringsmetod använde användaren tidigare?
- Vilka metoder är tillgängliga för autentiseringsstyrkan?
- Vilka metoder tillåts för användarinloggning i principen för autentiseringsmetoder?
- Är användaren registrerad för någon tillgänglig metod?
När en användare kommer åt en resurs som skyddas av en styrkeprincip för autentisering med villkorsstyrd åtkomst utvärderar Microsoft Entra-ID om de metoder som användaren tidigare använde uppfyller autentiseringsstyrkan. Om användaren använde en tillfredsställande metod beviljar Microsoft Entra-ID åtkomst till resursen.
Anta till exempel att en användare loggar in med hjälp av en kombination av lösenord och sms. Användaren får åtkomst till en resurs som skyddas av en MFA-autentiseringsstyrka. I det här fallet kan användaren komma åt resursen utan någon annan autentiseringsfråga.
Anta att samma användare kommer åt en resurs som skyddas av en phishing-resistent MFA-autentisering. I det här läget uppmanas användaren att tillhandahålla en nätfiskeresistent autentiseringsmetod, till exempel Windows Hello för företag.
Om användaren inte registrerade sig för några metoder som uppfyller autentiseringsstyrkan omdirigeras de till kombinerad registrering.
Användarna måste bara registrera en autentiseringsmetod som uppfyller kraven på autentiseringsstyrka. Om autentiseringsstyrkan inte innehåller en metod som användaren kan registrera och använda blockerar Microsoft Entra-ID användaren från att logga in på resursen.
Registrering av lösenordsfria autentiseringsmetoder
Följande autentiseringsmetoder kan inte registreras som en del av avbrottsläget i kombinerad registrering. Kontrollera att användarna är registrerade för dessa metoder innan du tillämpar en princip för villkorsstyrd åtkomst som kan kräva att de används för inloggning. En användare som inte är registrerad för dessa metoder kan inte komma åt resursen förrän den obligatoriska metoden har registrerats.
| Metod | Registreringskrav |
|---|---|
| Microsoft Authenticator (telefoninloggning) | Kan registreras från Authenticator-appen. |
| Säkerhetsnyckel (FIDO2) | Kan registreras via hanterat läge i kombinerad registrering och framtvingas av en autentiseringsstyrka via avbrottsläge i kombinerad registrering. |
| Certifikatbaserad autentisering | Kräver administratörskonfiguration. Användaren kan inte registrera den. |
| Windows Hello för företag | Kan registreras i Windows Out of Box Experience (OOBE) eller menyn Windows-inställningar . |
Federerad användarupplevelse
För federerade domäner kan en administratör framtvinga MFA med hjälp av villkorsstyrd åtkomst i Microsoft Entra eller genom att ange federatedIdpMfaBehavior för den lokala federationsprovidern. Om federatedIdpMfaBehavior är inställt enforceMfaByFederatedIdppå måste användaren autentisera på den federerade identitetsprovidern och kan endast uppfylla den federerade multifaktorkombinationen för kravet på autentiseringsstyrka. Mer information om federationsinställningarna finns i Migrera från federation till molnautentisering.
Om en användare från en federerad domän har MFA-inställningar inkluderade i förberedd stegvis distribution, kan användaren genomföra multifaktorautentisering i molnet och uppfylla någon av kombinationerna i federerad enfaktor plus något användaren har. Mer information om stegvis distribution finns i Aktivera stegvis distribution.