Sdílet prostřednictvím

Metody ověřování v Microsoft Entra ID – aplikace Microsoft Authenticator

  • Článek

Microsoft Authenticator poskytuje další úroveň zabezpečení pro váš pracovní nebo školní účet Microsoft Entra nebo váš účet Microsoft. Je k dispozici pro Android a iOS. S aplikací Microsoft Authenticator se uživatelé můžou během přihlašování ověřovat bez hesla. Můžou ho také použít jako možnost ověřování při událostech samoobslužného resetování hesla (SSPR) nebo vícefaktorového ověřování (MFA).

Microsoft Authenticator podporuje heslo, přihlášení bez hesla a vícefaktorové ověřování pomocí oznámení a ověřovacích kódů.

  • Uživatelé se můžou přihlásit pomocí klíče v aplikaci Authenticator a dokončit ověřování odolné proti útokům phishing pomocí biometrického přihlašovacího kódu nebo PIN kódu zařízení.
  • Uživatelé můžou místo svého uživatelského jména a hesla nastavit oznámení Authenticatoru a přihlásit se pomocí ověřovacího programu.
  • Uživatelé můžou na svém mobilním zařízení obdržet žádost o vícefaktorové ověřování a schválit nebo zamítnout pokus o přihlášení ze svého telefonu.
  • Můžou také použít ověřovací kód OATH v aplikaci Authenticator a zadat ho do přihlašovacího rozhraní.

Další informace najdete v tématu Povolení přihlašování bez hesla pomocí aplikace Microsoft Authenticator.

Poznámka:

Uživatelé s Androidem s verzemi portálu společnosti nižšími než 2111 (5.0.5333.0) se nemůžou zaregistrovat, dokud neaktualizují aplikaci Portál společnosti na novější verzi.

Přihlášení pomocí přístupového klíče

Authenticator je bezplatné řešení pro klíč, které umožňuje uživatelům provádět ověřování odolná proti útokům phishing bez hesla ze svých vlastních telefonů. Některé klíčové výhody použití přístupových klíčů v aplikaci Authenticator:

  • Přístupové klíče je možné snadno nasadit ve velkém měřítku. Poté jsou přístupové klíče dostupné na telefonu uživatele pro správu mobilních zařízení (MDM) a také pro scénáře BYOD (přines si vlastní zařízení).
  • Přístupové klíče v Authenticatoru jsou bez dalších nákladů a cestují s uživatelem bez ohledu na to, kam jdou.
  • Klíče v authenticatoru jsou vázané na zařízení, což zajišťuje, že klíč neopustí zařízení, na kterém bylo vytvořeno.
  • Uživatelé zůstávají informováni o nejnovějších inovacích klíčových hesel, které jsou založeny na otevřených standardech WebAuthn.
  • Podniky mohou vrstvit další funkce na toky ověřování, jako je například soulad se standardem FIPS (Federal Information Processing Standards) 140.

Klíč vázaný na zařízení

Klíče v aplikaci Authenticator jsou vázané na zařízení, aby se zajistilo, že nikdy neopustí zařízení, na které byly vytvořené. Na zařízení s iOSem používá Authenticator k vytvoření přístupového klíče funkci Secure Enclave. V Androidu vytvoříme klíč v zabezpečeném elementu na zařízeních, která ho podporují, nebo se vrátíme do důvěryhodného spouštěcího prostředí (TEE).

Jak funguje ověřování pomocí klíče s authenticatorem

Pokud je v zásadách FIDO2 (Passkey) povolena attestace, pokusí se ID Microsoft Entra ověřit oprávněnost modelu klíče zabezpečení nebo poskytovatele passkey, ve kterém se klíč vytváří. Když uživatel zaregistruje klíč v Authenticatoru, ověření identity ověří, že legitimní aplikace Microsoft Authenticator vytvořila klíč pomocí služeb Apple a Google. Tady jsou podrobnosti o tom, jak funguje ověření identity pro každou platformu:

  • iOS: Ověření Authenticatoru používá službu iOS App Attest k zajištění legitimity aplikace Authenticator před registrací přístupového klíče.

  • Android:

    • Pro ověření Play Integrity používá ověření Authenticator rozhraní API Play Integrity k zajištění důvěryhodnosti aplikace Authenticator před registrací klíče.
    • V případě ověřování klíče používá ověřování autentizátorem ověření klíče systémem Android k ověření, že registrovaný přístupový klíč je podpořen hardwarově.

Poznámka:

Ověření identity pro iOS i Android spoléhá na služby Apple a Google k ověření pravosti aplikace Authenticator. Vysoké využití služby může způsobit selhání při registraci přístupového klíče a uživatelé možná budou muset to zkusit znovu. Pokud jsou služby Apple a Google mimo provoz, ověřování Authenticator blokuje registraci, která vyžaduje toto ověření, dokud nebudou služby obnoveny. Pokud chcete monitorovat stav služby Integrity Google Play, podívejte se na řídicí panel stavu Google Play. Pokud chcete monitorovat stav služby App Attest pro iOS, podívejte se na stav systému.

Další informace o tom, jak nakonfigurovat ověření identity, naleznete v tématu Jak povolit klíče v aplikaci Microsoft Authenticator pro Microsoft Entra ID.

Přihlášení bez hesla prostřednictvím oznámení

Místo zobrazení výzvy k zadání hesla po zadání uživatelského jména se uživatelům, kteří povolí přihlášení telefonem z aplikace Authenticator, zobrazí ve své aplikaci zprávu o zadání čísla. Po výběru správného čísla se proces přihlášení dokončí.

Příklad přihlášení v prohlížeči s žádostí o schválení přihlášení uživatelem

Tato metoda ověřování poskytuje vysokou úroveň zabezpečení a eliminuje potřebu, aby uživatel zadal heslo při přihlášení.

Pokud chcete začít s přihlašováním bez hesla, přečtěte si téma Povolení přihlašování bez hesla pomocí aplikace Microsoft Authenticator.

Vícefaktorové ověřování pomocí oznámení z mobilní aplikace

Aplikace Authenticator pomáhá zabránit neoprávněnému přístupu k účtům a zastavit podvodné transakce tím, že odešle oznámení na smartphone nebo tablet. Uživatelům se zobrazí oznámení a pokud je legitimní, vyberte Ověřit. Jinak můžou vybrat Odepřít.

Poznámka:

Od srpna 2023 nebudou neobvyklá přihlášení generovat oznámení, stejně jako přihlášení z neznámých umístění. Pokud chcete schválit neobvyklé přihlášení, můžou uživatelé otevřít Microsoft Authenticator nebo Authenticator Lite v relevantní doprovodné aplikaci, jako je Outlook. Pak si můžou buď stáhnout dolů k obnovení, nebo klepnout na Aktualizovat a žádost schválit.

Snímek obrazovky s příkladem výzvy v prohlížeči pro oznámení z aplikace Authenticator k dokončení procesu přihlášení.

V Číně nefunguje oznámení prostřednictvím metody mobilní aplikace na zařízeních s Androidem, protože v dané oblasti jsou zablokované služby Google Play (včetně nabízených oznámení). Oznámení iOSu ale fungují. U zařízení s Androidem by měly být pro tyto uživatele zpřístupněny alternativní metody ověřování.

Ověřovací kód z mobilní aplikace

Aplikaci Authenticator je možné použít jako softwarový token k vygenerování ověřovacího kódu OATH. Po zadání uživatelského jména a hesla zadáte kód poskytnutý aplikací Authenticator do přihlašovacího rozhraní. Ověřovací kód poskytuje druhý způsob ověřování.

Poznámka:

Ověřovací kódy OATH vygenerované službou Authenticator nejsou podporované pro ověřování založené na certifikátech.

Uživatelé můžou mít kombinaci až pěti hardwarových tokenů OATH nebo ověřovacích aplikací, jako je aplikace Authenticator, nakonfigurovaných pro použití kdykoli.

Kompatibilní se standardem FIPS 140 pro ověřování Microsoft Entra

V souladu s pokyny popsanými v Speciální publikaci NIST (National Institute of Standards and Technologies) 800-63Bmusí americké vládní agentury používat ověřovací nástroje, které využívají ověřenou kryptografii FIPS 140. Tento návod pomáhá vládním agenturám USA splňovat požadavky výkonného řádu (EO) 14028. Kromě toho tento návod pomáhá ostatním regulovaným odvětvím, jako jsou zdravotnické organizace pracující s elektronickými předpisy pro řízené látky (EPCS), splňovat své zákonné požadavky.

FIPS 140 je standard státní správy USA, který definuje minimální požadavky na zabezpečení kryptografických modulů v produktech a systémech informačních technologií. Ověřovací program kryptografického modulu (CMVP) udržuje testování na standardu FIPS 140.

Microsoft Authenticator pro iOS

Počínaje verzí 6.6.8 používá Microsoft Authenticator pro iOS nativní modul Apple CoreCrypto pro kryptografii ověřenou fiPS na zařízeních kompatibilních se standardem Apple iOS FIPS 140. Všechna ověřování Microsoft Entra využívající phishing-odolné přístupové klíče vázané na zařízení, push vícefaktorová ověřování (MFA), přihlašování bez hesla na telefonu (PSI) a časově založená jednorázová hesla (TOTP) používají kryptografii FIPS.

Další informace o ověřených kryptografických modulech FIPS 140 používaných a vyhovujících zařízeních s iOSem najdete v tématu certifikace zabezpečení Apple iOS.

Microsoft Authenticator pro Android

Počínaje verzí 6.2409.6094 v microsoft Authenticatoru pro Android se všechna ověřování v ID Microsoft Entra, včetně klíčů, považují za kompatibilní se standardem FIPS. Authenticator používá kryptografický modul wolfSSL Inc. k dosažení dodržování předpisů úrovně zabezpečení FIPS 140 na zařízeních s Androidem. Další informace o certifikaci naleznete v tématu ověřovací program kryptografického modulu.

Určení typu registrace aplikace Microsoft Authenticator v bezpečnostních údajích

Uživatelé můžou získat přístup k bezpečnostním údajům (viz adresy URL v další části) nebo výběrem bezpečnostních údajů z účtu MyAccount pro správu a přidání dalších registrací microsoft Authenticatoru. Konkrétní ikony se používají k rozlišení, jestli je registrace microsoft Authenticatoru bez hesla přihlášení k telefonu nebo vícefaktorové ověřování.

Typ registrace authenticatoru Ikona
Microsoft Authenticator: Přihlášení telefonem bez hesla Microsoft Authenticator s funkcí přihlášení bez hesla
Microsoft Authenticator: (oznámení/kód) Microsoft Authenticator MFA s podporou
Oblak Adresa URL bezpečnostních údajů
Komerční prostředí Azure (včetně komunitního cloudu pro státní správu (GCC)) https://aka.ms/MySecurityInfo
Azure pro státní správu USA (včetně GCC High a DoD) https://aka.ms/MySecurityInfo-us

Aktualizace authenticatoru

Microsoft průběžně aktualizuje Authenticator, aby zachoval vysokou úroveň zabezpečení. Pokud chcete zajistit, aby vaši uživatelé získali co nejlepší možnosti, doporučujeme, aby si aplikaci Authenticator průběžně aktualizovali. V případě důležitých aktualizací zabezpečení nemusí fungovat verze aplikací, které nejsou aktuální, a můžou uživatelům zablokovat dokončení ověřování. Pokud uživatel používá verzi aplikace, která není podporovaná, zobrazí se mu výzva k upgradu na nejnovější verzi, než se přihlásí.

Microsoft také pravidelně vyřadí starší verze aplikace Authenticator, aby se zachoval vysoký bezpečnostní pruh pro vaši organizaci. Pokud zařízení uživatele nepodporuje moderní verze Microsoft Authenticatoru, nemůžou se přihlásit pomocí aplikace. K dokončení vícefaktorového ověřování doporučujeme, aby se přihlásili pomocí ověřovacího kódu OATH v Microsoft Authenticatoru.

Další kroky