Vícefaktorové ověřování v externích tenantech
Platí pro: Tenanti pracovních sil – externí tenanti (další informace)
Vícefaktorové ověřování (MFA) přidává do vašich aplikací vrstvu zabezpečení tím, že vyžaduje, aby uživatelé zadali druhou metodu pro ověření identity během registrace nebo přihlašování. Externí tenanti podporují dvě metody ověřování jako druhý faktor:
- Jednorázové heslo e-mailu
- Ověřování na základě SMS, které je k dispozici jako doplněk (viz podrobnosti).
Vynucení vícefaktorového ověřování zvyšuje zabezpečení vaší organizace přidáním další vrstvy ověření, což ztěžuje neoprávněným uživatelům přístup.
Vytvoření zásady vícefaktorového ověřování
V externím tenantovi můžete pomocí podmíněného přístupu Microsoft Entra vytvořit zásadu, která uživatele vyzve k vícefaktorovém ověřování při registraci nebo přihlášení k aplikaci. Tuto zásadu vytvoříte v Centru pro správu Microsoft Entra v části Podmíněný přístup v části Ochrana. Můžete určit, na které uživatele a skupiny se zásady vztahují, včetně všech uživatelů a s výjimkou jakýchkoli účtů pro nouzový přístup nebo prolomení.
V zásadách definujete aplikace, které vyžadují vícefaktorové ověřování. Tuto zásadu můžete použít pro všechny cloudové aplikace nebo vybrat konkrétní aplikace a současně vyloučit všechny aplikace, které nevyžadují vícefaktorové ověřování. Pak zásadu nakonfigurujete tak, aby udělovat přístup pouze v případě, že uživatelé dokončili požadavek na vícefaktorové ověřování.
Podrobnosti najdete v tématu vytvoření zásady podmíněného přístupu v externím tenantovi.
Povolení metod MFA
Když v tocích uživatelů vyberete možnosti zprostředkovatele identity, definujete metody first-factor authentication pro registraci a přihlášení. Metody vícefaktorového ověřování pro vícefaktorové ověřování se konfigurují v samostatné části Centra pro správu Microsoft Entra v části Metody ověřování v části Ochrana .
V závislosti na tom, kterou možnost zvolíte jako první, jsou pro vícefaktorové ověřování (MFA) k dispozici různé metody ověřování druhého faktoru.
- e-mail s heslem a externími zprostředkovateli identity: U některé z těchto metod prvního faktoru můžete pro vícefaktorové ověřování povolit jednorázové heslo e-mailu, SMS nebo obojí.
- Jednorázové heslo e-mailu: Když je jako metoda ověřování prvním faktorem vybrán e-mail s jednorázovým heslem, nedá se použít k ověření druhého faktoru. Pro vícefaktorové ověřování je proto možné povolit pouze ověřování na základě SMS.
Podrobnosti najdete v tématu povolení metod vícefaktorového ověřování v externím tenantovi.
Jednorázové heslo e-mailu
Ověřování jednorázovým heslem e-mailu je k dispozici v externím tenantovi jako metoda ověřování typu první i druhý faktor. Aby bylo možné používat jednorázové heslo e-mailu pro vícefaktorové ověřování, musí být vaše metoda ověřování místního účtu nastavená na e-mail s heslem. Pokud zvolíte E-mail s jednorázovým heslem, zákazníci, kteří tuto metodu používají pro primární přihlášení, ho nemůžou použít pro sekundární ověřování MFA.
Pokud je pro vícefaktorové ověřování povolené jednorázové heslo e-mailu, uživatel se přihlásí pomocí primární metody přihlášení a oznámí, že se na e-mailovou adresu uživatele odešle kód. Uživatel se rozhodne kód odeslat, načte heslo ze své e-mailové doručené pošty a zadá ho do přihlašovacího okna. Uživatel musí tento proces ověření dokončit do 10 minut.
Ověřování na základě SMS
Sms je k dispozici za příplatek za ověření druhého faktoru v externích tenantech. V současné době není sms k dispozici pro ověřování first-factor authentication nebo samoobslužné resetování hesla v externích tenantech.
Pokud je pro vícefaktorové ověřování povolené sms, uživatelé se přihlásí pomocí primární metody a zobrazí se výzva k ověření identity pomocí kódu odeslaného textem. Zadají svoje telefonní číslo a dostanou SMS s ověřovacím kódem.
Externí ID zmírní podvodná přihlášení a přihlášení přes SMS vynucením následujících opatření:
- Omezení telefonního omezení pomáhají zabránit výpadkům a zpomalením. Viz Omezení a limity služeb.
- CAPTCHA pro SMS MFA pomáhá zabránit automatizovaným útokům tím, že odliší lidské uživatele od automatizovaných robotů. Pokud se zjistí rizikový uživatel, zablokujeme uživateli přihlášení nebo požádáme uživatele, aby před odesláním ověřovacího kódu SMS dokončil CAPTCHA.
Cenové úrovně SMS podle země/oblasti
Následující tabulka obsahuje podrobnosti o různých cenových úrovních ověřovacích služeb založených na SMS v různých zemích nebo oblastech. Podrobnosti o cenách najdete v Microsoft Entra Externí ID cenách.
SMS je doplňková funkce a vyžaduje propojené předplatné. Pokud platnost předplatného vyprší nebo se zruší, koncoví uživatelé už nebudou moct provádět ověřování pomocí sms, což jim může v závislosti na zásadách vícefaktorového ověřování zablokovat přihlášení.
Úroveň | Země/oblasti |
---|---|
Nízké náklady na ověření telefonu | Austrálie, Brazílie, Brunej, Kanada, Chile, Čína, Kolumbie, Kypr, Severní Makedonie, Polsko, Portugalsko, Jižní Korea, Thajsko, Turecko, USA |
Střední náklady na ověřování telefonem | Grónsko, Albánie, Americká Samoa, Rakousko, Bahamy, Tanzanie, Bosna a Hercegovina, Botswana, Kostarika, Česká republika, Dánsko, Estonsko, Faerské ostrovy, Finsko, Francie, Řecko, Hongkong, Maďarsko, Island, Irsko, Itálie, Japonsko, Lotyšsko, Litva, Lucembursko, Macao, Malta, Mexiko, Mikronésie, Moldavsko, Namibie, Nový Zéland, Nikaragua, Norsko, Rumunsko, São Tomé a Príncipe, Seychely, Singapur, Slovensko, Šalamounovy ostrovy, Španělsko, Švédsko, Švýcarsko, Švýcarsko, Taiwan, Velká Británie, USA Panenské ostrovy, Uruguay |
Střední náklady na ověřování telefonem | Andorry, Anguilla, Antarktida, Antigua a Barbuda, Argentina, Arménie, Aruba, Nanebevzetí, Belgie, Benin, Indonésie, Britská Panenská ostrovy, Bulharsko, Burkina Faso, Cameroon, Caymanovy ostrovy, Středoafrická republika, Cookovy ostrovy, Chorvatsko, Diego Garcia, Djibouti, Dominikánská republika, Dominikánská republika, Dominikánská republika, Dominikánská republika, Východní Timor, Ekvádor, El Salvador, Eritrea, Falklandské ostrovy, Fiji, Francouzská Guiana, Francouzská Polynésie, Gambie, Gruzie, Německo, Gibraltar, Německo Grenada, Guadeloupe, Guam, Guinea, Guyana, Tanzanie, Indie, Pobřeží slonoviny, Keňa, Kiribati, Laos, Liberia, Malajsie, Marshallovy ostrovy, Martinik, Mauricius, Monako, Černá Hora, Montserrat, Nizozemsko, Nizozemsko Antilles, New Caledonia, Niue, Oman, Palau, Panama, Paraguay, Peru, Portoriko, Portoriko, Réunion, Rwanda, Saint Helena, Saint Kitts & Nevis, Saint Lucia, Saint Pierre & Miquelon, Saint Vincent a Grenadines, Saipan, Samoa, San Marino, Saúdská Arábie, Sint Maarten, Slovinsko, Jihoafrická republika, Jižní Súdán, Suriname, Swaziland (Nový název je Království Eswatini), Tokelau, Tonga, Turks & Caicos, Tuvalu, Spojené arabské emiráty, Vanuatu, Venezuela, Vietnam, Wallis a Futuna |
Vysoké náklady na ověřování telefonu | Lichtenštejnsko, Bermuda, Kambodža, Kapverdy, Konžská demokratická republika, Dominica, Egypt, Rovníková Guinea, Ghana, Guatemala, Guinea-Bissau, Izrael, Jamajka, Jamajka, Kosovo, Lesotho, Maledivy, Mali, Mauritania, Maroko, Mozambique, Papua Nová Guinea, Filipíny, Katar, Sierra Leone, Trinidad a Tobago, Ukrajina, Zimbabwe, Afghánistán, Alžírsko, Ázerbájdžán, Bangladéš, Bělorusko, Belize, Bhutan, Haiti, Etiopie, Gabonská republika, Haiti, Indonésie, Irák, Jordánsko, Kuvajt, Kyrgyzstán, Libanon, Libye, Madagaskar, Malawi, Mongolsko, Myanmar, Nauru, Nepál, Nigérie, Pákistán, Palestinská národní autorita, Rusko, Sýrie, Srbsko, Somalie, Srí Lanka, Súdán, Tádžikistán, Tanzanie, Togolská republika, Tunisko, Turkmenistan, Ugandu, Pákistán, Jemen, Zambia |
Oblasti výslovného souhlasu pro SMS
Od ledna 2025 budou některé kódy zemí ve výchozím nastavení deaktivovány pro ověření SMS. Pokud chcete povolit provoz z deaktivovaných oblastí, musíte je pro svou aplikaci aktivovat pomocí zásad Microsoft Graphu onPhoneMethodLoadStartevent
. Viz Oblasti vyžadující výslovný souhlas s ověřením sms.