Sdílet prostřednictvím

Přidání vícefaktorového ověřování (MFA) do aplikace

  • Článek

Platí pro: Bílý kruh se šedým symbolem X. Tenanti pracovních sil – externí tenanti Zelený kruh s bílým symbolem zaškrtnutí (další informace)

Vícefaktorové ověřování (MFA) přidává do vašich aplikací vrstvu zabezpečení tím, že vyžaduje, aby uživatelé zadali druhou metodu pro ověření identity během registrace nebo přihlašování. Externí tenanti podporují dvě metody ověřování jako druhý faktor:

  • Jednorázové heslo e-mailu: Když se uživatel přihlásí pomocí svého e-mailu a hesla, zobrazí se mu výzva k zadání hesla, které se odešle do e-mailu. Pokud chcete povolit použití jednorázových hesel e-mailu pro vícefaktorové ověřování, nastavte metodu ověřování místního účtu na e-mail s heslem. Pokud zvolíte Možnost E-mail s jednorázovým heslem, zákazníci, kteří tuto metodu používají pro primární přihlášení, ji nebudou moct používat pro sekundární ověřování MFA.
  • Ověřování na základě SMS: I když sms není možnost pro první factor authentication, je k dispozici jako druhý faktor vícefaktorového ověřování. Uživatelům, kteří se přihlašují pomocí e-mailu a hesla, e-mailu a jednorázového hesla nebo sociálních identit, jako je Google, Facebook nebo Apple, se zobrazí výzva k druhému ověření pomocí SMS. Naše SMS MFA zahrnuje automatické kontroly podvodů. Pokud máme podezření na podvod, požádáme uživatele, aby dokončil CAPTCHA, aby před odesláním kódu SMS k ověření potvrdil, že není robotem. Poskytuje také ochranu před telefonními podvody. SMS je doplňková funkce. Váš tenant musí být propojený s aktivním platným předplatným. Další informace

Tento článek popisuje, jak vynutit vícefaktorové ověřování pro zákazníky vytvořením zásad podmíněného přístupu Microsoft Entra a přidáním vícefaktorového ověřování do toku uživatelů pro registraci a přihlášení.

Tip

Vyzkoušet

Pokud si chcete tuto funkci vyzkoušet, přejděte na ukázku potravin Woodgrove a spusťte případ použití vícefaktorového ověřování.

Požadavky

  • Externí tenant Microsoft Entra.
  • Tok uživatele pro registraci a přihlášení
  • Aplikace zaregistrovaná ve vašem externím tenantovi a přidaná do toku registrace a přihlašování
  • Účet s alespoň rolí Správce zabezpečení pro konfiguraci zásad podmíněného přístupu a vícefaktorového ověřování.
  • SMS je doplňková funkce a vyžaduje propojené předplatné. Pokud platnost vašeho předplatného vyprší nebo je zrušená, koncoví uživatelé už nebudou moct ověřovat pomocí sms, což jim může v závislosti na zásadách MFA zablokovat přihlášení.

Vytvořte zásady podmíněného přístupu

Vytvořte ve svém externím tenantovi zásadu podmíněného přístupu, která uživatele vyzve k vícefaktorové ověřování při registraci nebo přihlášení k aplikaci. (Další informace najdete v tématu Běžné zásady podmíněného přístupu: Vyžadovat vícefaktorové ověřování pro všechny uživatele

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce zabezpečení.

  2. Pokud máte přístup k více tenantům, pomocí ikony Nastavení v horní nabídce přepněte do externího tenanta z nabídky Adresáře a předplatná.

  3. Přejděte na Zásady podmíněného přístupu>a pak vyberte Nové zásady.

    Snímek obrazovky s tlačítkem nové zásady

  4. Pojmenujte zásadu. Doporučujeme, aby organizace vytvořily smysluplný standard pro názvy zásad.

  5. V části Přiřazení vyberte odkaz v části Uživatelé.

    a. Na kartě Zahrnout vyberte Všichni uživatelé.

    b. Na kartě Vyloučit vyberte Uživatelé a skupiny a zvolte účty tísňového volání nebo účty pro tísňové volání vaší organizace. Poté zvolte Vybrat.

    Snímek obrazovky s přiřazením uživatelů k nové zásadě

  6. Vyberte odkaz v části Cílové prostředky.

    a. Na kartě Zahrnout zvolte jednu z následujících možností:

    • Zvolte Všechny prostředky (dříve Všechny cloudové aplikace).

    • Zvolte Vybrat prostředky a vyberte odkaz v části Vybrat. Najděte aplikaci, vyberte ji a pak zvolte Vybrat.

    b. Na kartě Vyloučit vyberte všechny aplikace, které nevyžadují vícefaktorové ověřování.

    Snímek obrazovky s přiřazením aplikací k nové zásadě

  7. V části Řízení přístupu vyberte odkaz v části Udělení. Vyberte Udělit přístup, vyberte Vyžadovat vícefaktorové ověřování a pak zvolte Vybrat.

    Snímek obrazovky s vyžadováním vícefaktorového ověřování

  8. Potvrďte nastavení a nastavte Povolit zásadu na Zapnuto.

  9. Pokud chcete zásadu povolit, vyberte Vytvořit .

Povolení jednorázového hesla e-mailu jako metody MFA

Povolte metodu ověřování jednorázovým heslem e-mailu ve vašem externím tenantovi pro všechny uživatele.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce zabezpečení.

  2. Přejděte k metodám ověřování ochrany>.

  3. V seznamu Metod vyberte E-mailové jednorázové heslo.

    Snímek obrazovky s možností jednorázového hesla e-mailu

  4. V části Povolit a Cíl zapněte přepínač Povolit .

  5. V části Zahrnout vedle cíle vyberte Všechny uživatele.

    Snímek obrazovky s povolením jednorázového hesla e-mailu

  6. Zvolte Uložit.

Povolení sms jako metody MFA

Povolte metodu ověřování SMS ve vašem externím tenantovi pro všechny uživatele.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce zabezpečení.

  2. Přejděte k metodám ověřování ochrany>.

  3. V seznamu Metod vyberte SMS.

    Snímek obrazovky s možností SMS

  4. V části Povolit a Cíl zapněte přepínač Povolit .

  5. V části Zahrnout vedle cíle vyberte Všechny uživatele.

    Snímek obrazovky s povolením serveru SMS

  6. Zvolte Uložit.

Aktivace telecomu pro oblasti s výslovným souhlasem

Od ledna 2025 budou některé kódy zemí ve výchozím nastavení deaktivovány pro ověření SMS. Pokud chcete povolit provoz z deaktivovaných oblastí, musíte je pro svou aplikaci aktivovat pomocí zásad Microsoft Graphu onPhoneMethodLoadStartevent . Viz Oblasti vyžadující výslovný souhlas s ověřením sms.

Otestování přihlášení

V privátním prohlížeči otevřete aplikaci a vyberte Přihlásit se. Měli byste být vyzváni k zadání jiné metody ověřování.