Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Autentisering föredragen av systemet uppmanar användarna att logga in med den säkraste metoden de har registrerat. Det är en viktig säkerhetsförbättring för användare som autentiserar med hjälp av telefonbaserade metoder. Administratörer kan aktivera system föredragen autentisering för att förbättra inloggningssäkerheten och avråder från mindre säkra inloggningsmetoder som Sms (Short Message Service).
Om en användare till exempel har registrerat både SMS- och Microsoft Authenticator-push-meddelanden som metoder för MFA uppmanar system föredragen autentisering användaren att logga in med hjälp av den säkrare push-meddelandemetoden. Användaren kan fortfarande välja att logga in med hjälp av en annan metod, men de uppmanas först att prova den säkraste metoden som de registrerade.
Systemets föredragna autentisering är en Microsoft-hanterad inställning, vilket är en tretillståndsprincip:
- Aktiverad – Tillämpar system föredragen autentisering endast på den andra faktorn (MFA).
- Microsoft hanterad – I förhandsversionen styr en växlingsknapp för Tillämpa på både primär och multifaktorautentisering (förhandsversion) om funktionen även gäller för primär autentisering. När växlingsknappen är av (standard) gäller system föredragen autentisering endast för den andra faktorn. När växlingsknappen är på gäller den både den första och den andra faktorn.
- Inaktiverad – Inaktiverar system föredragen autentisering.
Om du inte vill aktivera system föredragen autentisering ändrar du tillståndet till Inaktiverad eller exkluderar användare och grupper från principen.
När system föredragen autentisering har aktiverats utför autentiseringssystemet allt arbete. Användarna behöver inte ange någon autentiseringsmetod som standard eftersom systemet alltid fastställer och presenterar den säkraste metoden som de registrerade.
Kända begränsningar
- När du ändrar principen för en målgrupp kanske ändringen inte börjar gälla för användarens nästa inloggning. Det gäller för alla efterföljande inloggningar efter det.
- Principen för villkorsstyrd åtkomst verifieras endast för MFA och gäller inte för förstafaktorautentisering.
Aktivera system föredragen autentisering i administrationscentret för Microsoft Entra
Följ dessa steg för att aktivera system föredragen autentisering:
Logga in på administrationscentret för Microsoft Entra som minst administratör för autentiseringsprinciper.
Bläddra tillInställningar för >>.
För System föredragen autentisering väljer du ett tillstånd (Microsoft hanterad eller Aktiverad) baserat på om du vill tillämpa system föredragen autentisering på båda faktorerna eller endast på den andra faktorn. Du kan också inkludera eller exkludera alla användare eller grupper. Exkluderade grupper har företräde framför inkluderade grupper.
När du anger tillståndet till Microsoft hanterad visas en växlingsknapp för Tillämpa på både primär och multifaktorautentisering (förhandsversion). Aktivera växlingsreglaget för att använda systemets föredragna autentisering på både primär och sekundär autentisering. När växlingsknappen är av (standard) gäller system föredragen autentisering endast för den andra faktorn.
Följande skärmbild visar till exempel hur du aktiverar system föredragen autentisering för endast gruppen Teknik.
När du har gjort ändringarna väljer du Spara.
Aktivera system föredragen autentisering med hjälp av Graph-API:er
Om du vill aktivera system föredragen autentisering i förväg måste du välja en enda målgrupp för schemakonfigurationen, som du ser i exemplet Förfrågning .
Egenskaper för funktionskonfiguration för autentiseringsmetod
Som standard hanteras system föredragen autentisering av Microsoft.
| Egenskap | Typ | Beskrivning |
|---|---|---|
| excludeTarget | featureTarget | En enda entitet som undantas från den här funktionen. Du kan bara exkludera en grupp från system föredragen autentisering, vilket kan vara en dynamisk eller kapslad grupp. |
| inkluderaMål | featureTarget | En enda entitet som ingår i den här funktionen. Du kan bara inkludera en grupp för system föredragen autentisering, som kan vara en dynamisk eller kapslad grupp. |
| Tillstånd | advancedConfigState | Möjliga värden är: aktiverad aktiverar uttryckligen funktionen för den valda gruppen. Gäller endast för den andra faktorn (MFA). inaktiveras inaktiveras uttryckligen funktionen för den valda gruppen. standard tillåter Microsoft Entra-ID att hantera om funktionen är aktiverad eller inte för den valda gruppen. |
Egenskaper för målinställning
System föredragen autentisering kan endast aktiveras för en enskild grupp, som kan vara en dynamisk eller kapslad grupp.
| Egenskap | Typ | Beskrivning |
|---|---|---|
| ID-nummer | Sträng | ID för den entitet som är mål. |
| målinriktad typ | måltyp för funktion | Den typ av entitet som är riktad, till exempel grupp, roll eller administrativ enhet. Möjliga värden är: "grupp", "administrativEnhet", "roll", "okändFramtidaVärde". |
Använd följande API-slutpunkt för att aktivera systemCredentialPreferences och inkludera eller exkludera grupper:
https://graph.microsoft.com/v1.0/policies/authenticationMethodsPolicy
Anteckning
I Graph Explorer måste du godkänna behörigheten Policy.ReadWrite.AuthenticationMethod .
Förfrågan
I följande exempel undantas en exempelmålgrupp och alla användare ingår. För mer information, se Uppdatera autentiseringsmetodpolicy.
PATCH https://graph.microsoft.com/v1.0/policies/authenticationMethodsPolicy
Content-Type: application/json
{
"systemCredentialPreferences": {
"state": "enabled",
"excludeTargets": [
{
"id": "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb",
"targetType": "group"
}
],
"includeTargets": [
{
"id": "all_users",
"targetType": "group"
}
]
}
}
Vanliga frågor
Hur avgör system föredragen autentisering den säkraste metoden?
När en användare loggar in kontrollerar autentiseringsprocessen vilka autentiseringsmetoder som är registrerade för användaren. Användaren uppmanas att logga in med den säkraste metoden enligt följande ordning. Ordningen på autentiseringsmetoderna är dynamisk och uppdateras när säkerhetslandskapet ändras och när bättre autentiseringsmetoder dyker upp. Användare kan alltid avbryta och välja en annan tillgänglig inloggningsmetod. Om din organisation har principer för villkorsstyrd åtkomst som kräver specifika autentiseringsmetoder fortsätter dessa principer att prioriteras framför den system föredragna autentiseringsordningen.
| Rangordning | Referensuppgifter | Kategori | Uppfyller kraven för |
|---|---|---|---|
| 1 | Tillfälligt åtkomstpass (TAP) | Recovery | 1FA (enkel autentisering) + MFA (flerfaktorsautentisering) |
| 2 | Passnyckel1 | Nätfiskeskyddad | 1FA (enkel autentisering) + MFA (flerfaktorsautentisering) |
| 3 | Certifikatbaserad autentisering (CBA) | Nätfiskeskyddad | 1FA eller 1FA + MFA |
| 4 | Microsoft Authenticator-meddelanden | Lösenordsfri | 1FA (enkel autentisering) + MFA (flerfaktorsautentisering) |
| 5 | Extern multifaktorautentisering (MFA) | — | Multifaktorautentisering (MFA) |
| 6 | Tidsbaserat engångslösenord (TOTP)2 | — | Multifaktorautentisering (MFA) |
| 7 | Telefoni3 | — | Multifaktorautentisering (MFA) |
| 8 | QR-kod | Medarbetare i frontlinjen | Enfaktorsautentisering (1FA) |
| 9 | Lösenord | — | Enfaktorsautentisering (1FA) |
1Innehåller säkerhetsnycklar, nycklar i Authenticator-appen, synkroniserade nycklar, Windows Hello för företag och macOS Platform SSO.
2Innehåller maskinvaru- eller programvaru-TOTP från Microsoft Authenticator, Authenticator Lite eller program från tredje part.
3Innehåller SMS och röstsamtal.
Viktigt!
Certifikatbaserad autentisering (CBA) placerades tidigare sist i system föredragen autentiseringsordning på grund av kända problem med CBA och system föredragen autentisering. Nu när dessa problem har lösts, från och med den 18 mars 2026, flyttas certifikatbaserad autentisering till den tredje positionen i autentiseringsordningen.
Hur påverkar system föredragen autentisering NPS-tillägget?
System föredragen autentisering påverkar inte användare som loggar in med hjälp av NPS-tillägget (Network Policy Server). Dessa användare ser ingen ändring i inloggningsupplevelsen.
Vad händer för användare som inte anges i principen Autentiseringsmetoder men som är aktiverade i den äldre MFA-principen för hela klientorganisationen?
Systemets föredragna autentisering gäller också användare aktiverade för MFA i den äldre MFA-principen.
Kan användarna fortfarande välja en annan inloggningsmetod?
Ja. Systemets föredragna autentiseringsmetod föreslår de säkraste registrerade autentiseringsuppgifterna för användare, men användarna kan fortfarande välja andra tillåtna metoder vid inloggning.