Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Системная проверка подлинности предлагает пользователям войти с помощью наиболее безопасного метода, который они зарегистрировали. Это важное улучшение безопасности для пользователей, прошедших проверку подлинности с помощью телефонных методов. Администраторы могут включить системную проверку подлинности для повышения безопасности входа и запретить менее безопасные методы входа, такие как short Message Service (SMS).
Например, если пользователь зарегистрировал SMS и push-уведомления Microsoft Authenticator в качестве методов MFA, система с предпочтительным способом аутентификации предложит пользователю войти, используя более безопасный метод push-уведомлений. Пользователь по-прежнему может выполнить вход с помощью другого метода, но сначала будет предложено попробовать самый безопасный метод, который он зарегистрировал.
Системная проверка подлинности — это управляемый корпорацией Майкрософт параметр, который является политикой тристата:
- Включено . Применяет системную проверку подлинности только ко второму фактору (MFA).
- Управляемый Microsoft — в предварительной версии переключатель для применения как к первичной, так и к многофакторной аутентификации (предварительная версия) определяет, применяется ли функция также к первичной аутентификации. Когда переключатель отключен (по умолчанию), предпочтительный метод аутентификации системы применяется только ко второму фактору. Если переключатель включен, он применяется как к первому, так и к второму фактору.
- Отключено — отключает системную предпочтительную проверку подлинности.
Если вы не хотите включить системную проверку подлинности, измените состояние на "Отключено" или исключите пользователей и группы из политики.
После включения системной проверки подлинности система проверки подлинности выполняет всю работу. Пользователям не нужно настраивать какой-то метод аутентификации по умолчанию, поскольку система всегда определяет и предлагает наиболее надежный метод, который они зарегистрировали.
Известные ограничения
- При изменении политики для целевой группы изменение может не входить в силу при следующем входе пользователя. Он применяется ко всем последующим авторизациям после этого.
- Политика условного доступа проверяется только для MFA и не применяется к проверке подлинности первого фактора.
Включение системной предпочтительной проверки подлинности в Центре администрирования Microsoft Entra
Чтобы включить системную проверку подлинности, выполните следующие действия.
Войдите в Центр администрирования Microsoft Entra как минимум администратор политики проверки подлинности.
Перейдите к идентификатору Microsoft Entra>методам аутентификации>параметрам.
Для проверки подлинности, предпочитаемой системой, выберите состояние (управляемое майкрософт или включено) на основе того, следует ли применять системную проверку подлинности к обоим факторам или только второму фактору. Вы также можете включить или исключить всех пользователей или групп. Исключенные группы имеют приоритет над включенными группами.
При переводе состояния в управление корпорацией Майкрософт появляется тумблер для применения как к первичной, так и к многофакторной проверке подлинности (предварительная версия). Включите переключатель, чтобы применить системную проверку подлинности как к первичной, так и к вторичной проверке подлинности. Если переключатель отключен (по умолчанию), предпочтительная система аутентификации применяется только ко второму фактору.
Например, на следующем снимка экрана показано, как включить системную проверку подлинности только для группы инженеров.
После завершения внесения изменений нажмите кнопку "Сохранить".
Включите предпочитаемый системой метод аутентификации с помощью API Graph
Чтобы заранее включить системную проверку подлинности, необходимо выбрать одну целевую группу для конфигурации схемы, как показано в примере запроса .
Свойства конфигурации функции способа аутентификации
По умолчанию системная проверка подлинности управляется корпорацией Майкрософт.
| Свойство | тип | Описание |
|---|---|---|
| исключить цель | Целевая особенность | Одна сущность, исключенная из этой возможности. Вы можете исключить только одну группу из предпочтительной системы проверки подлинности, которая может быть динамической или вложенной группой. |
| включитьЦель | Целевая особенность | Одна сущность, которая входит в эту функцию. Вы можете включить только одну группу для проверки подлинности, предпочитаемой системой, которая может быть динамической или вложенной группой. |
| Штат | advancedConfigState | Возможны следующие значения: включено явно включает функцию для выбранной группы. Применяется только ко второму фактору (MFA). отключен явным образом отключает функцию для выбранной группы. значение по умолчанию позволяет идентификатору Microsoft Entra управлять включенной функцией или нет для выбранной группы. |
Свойства целевых функций
Проверка подлинности, предпочитаемая системой, может быть включена только для одной группы, которая может быть динамической или вложенной группой.
| Свойство | тип | Описание |
|---|---|---|
| Идентификатор | Строка | Идентификатор нацеленной сущности. |
| тип цели | тип целевого объекта функции | Тип целевой сущности, такой как группа, роль или административная единица. Возможные значения: "группа", "административная единица", "роль", "неизвестное будущее значение". |
Используйте следующую конечную точку API, чтобы включить systemCredentialPreferences и включить или исключить группы:
https://graph.microsoft.com/v1.0/policies/authenticationMethodsPolicy
Примечание.
В обозревателе Graph нужно дать согласие на разрешение Policy.ReadWrite.AuthenticationMethod.
Запрос
Следующий пример исключает пример целевой группы и включает всех пользователей. Дополнительные сведения см. в разделе Update authenticationMethodsPolicy.
PATCH https://graph.microsoft.com/v1.0/policies/authenticationMethodsPolicy
Content-Type: application/json
{
"systemCredentialPreferences": {
"state": "enabled",
"excludeTargets": [
{
"id": "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb",
"targetType": "group"
}
],
"includeTargets": [
{
"id": "all_users",
"targetType": "group"
}
]
}
}
Вопросы и ответы
Как система, определяющая предпочтительные методы аутентификации, устанавливает наиболее безопасный метод?
При входе пользователя процесс проверки подлинности проверяет, какие методы проверки подлинности зарегистрированы для пользователя. Пользователю предлагается выполнить вход с помощью наиболее безопасного метода в соответствии со следующим порядком. Порядок методов проверки подлинности является динамическим и обновляется по мере изменения ландшафта безопасности и по мере появления лучших методов проверки подлинности. Пользователи всегда могут отменить и выбрать другой доступный метод входа. Если у вашей организации есть политики условного доступа, требующие определенных методов проверки подлинности, эти политики продолжают принимать приоритет над порядком проверки подлинности, предпочитаемым системой.
| Ранг | Удостоверение | Категория | Соответствует требованиям для |
|---|---|---|---|
| 1 | Временный код доступа (TAP) | Восстановление | Однофакторная аутентификация (1FA) + многофакторная аутентификация (MFA) |
| 2 | Секретный ключ1 | Фишинго-устойчивый | Однофакторная аутентификация (1FA) + многофакторная аутентификация (MFA) |
| 3 | Проверка подлинности на основе сертификатов (CBA) | Фишинго-устойчивый | 1FA или 1FA + MFA |
| 4 | Уведомления Microsoft Authenticator | Без пароля | Однофакторная аутентификация (1FA) + многофакторная аутентификация (MFA) |
| 5 | Внешняя многофакторная проверка подлинности (MFA) | — | МФА |
| 6 | Одноразовый пароль на основе времени (TOTP)2 | — | МФА |
| 7 | Телефония3 | — | МФА |
| 8 | QR-код | Работник передней линии | 1FA |
| 9 | Пароль | — | 1FA |
1Включает ключи безопасности, ключи доступа в приложении Authenticator, синхронизированные ключи доступа, Windows Hello для бизнеса и систему единого входа macOS.
2Включает оборудование или программное обеспечение TOTP из Microsoft Authenticator, Authenticator Lite или сторонних приложений.
3Включает SMS и голосовые звонки.
Это важно
Аутентификация на основе сертификатов (CBA) ранее находилась на последнем месте в порядке аутентификации, предпочитаемом системой, из-за известных проблем с CBA и аутентификацией, предпочитаемой системой. Теперь, когда эти проблемы устранены, начиная с 18 марта 2026 г., проверка подлинности на основе сертификатов перемещена на третью позицию в порядке проверки подлинности.
Как предпочитаемая системой проверка подлинности влияет на расширение NPS?
Предпочтительная система проверки подлинности не влияет на пользователей, которые входят с помощью расширения NPS (Network Policy Server). Эти пользователи не видят никаких изменений в интерфейсе входа.
Что происходит для пользователей, которые не указаны в политике методов проверки подлинности, но включены в устаревшей политике MFA на уровне клиента?
Предпочитаемая системой аутентификация также применяется для пользователей, для которых включена многократная аутентификация (MFA) в устаревшей политике MFA.
Могут ли пользователи выбрать другой метод входа?
Да. Система аутентификации предлагает пользователям наиболее безопасный зарегистрированный способ аутентификации, но пользователи по-прежнему могут выбирать другие разрешенные способы при входе в систему.
Следующие шаги
- Методы аутентификации в Microsoft Entra ID
- Как запустить кампанию регистрации для настройки Microsoft Authenticator