Jaké metody ověřování jsou k dispozici v Microsoft Entra ID?
Microsoft doporučuje metody ověřování bez hesla, jako jsou Windows Hello, Klíče (FIDO2) a aplikace Microsoft Authenticator, protože poskytují nejbezpečnější přihlašovací prostředí. I když se uživatel může přihlásit pomocí jiných běžných metod, jako je uživatelské jméno a heslo, hesla by se měla nahradit bezpečnějšími metodami ověřování.
Vícefaktorové ověřování Microsoftu přidává další vrstvu zabezpečení pouze pomocí hesla, když se uživatel přihlásí. Uživatel může být vyzván k zadání jiných forem ověřování, jako je odpověď na nabízené oznámení, zadání kódu ze softwarového nebo hardwarového tokenu nebo reakce na textovou zprávu nebo telefonní hovor.
Pokud chcete zjednodušit přihlašování uživatelů a zaregistrovat se pro vícefaktorové ověřování i samoobslužné resetování hesla (SSPR), doporučujeme povolit kombinovanou registraci bezpečnostních informací. Kvůli odolnosti doporučujeme vyžadovat, aby uživatelé zaregistrovali více metod ověřování. Pokud jedna metoda není pro uživatele dostupná během přihlašování nebo samoobslužného resetování hesla, může se rozhodnout ověřit pomocí jiné metody. Další informace naleznete v tématu Vytvoření odolné strategie řízení přístupu v Microsoft Entra ID.
Jak jednotlivé metody ověřování fungují
Některé metody ověřování se dají použít jako primární faktor při přihlášení k aplikaci nebo zařízení, jako je použití klíče zabezpečení FIDO2 nebo hesla. Jiné metody ověřování jsou k dispozici pouze jako sekundární faktor, pokud používáte vícefaktorové ověřování Microsoft Entra nebo SSPR.
Následující tabulka popisuje, kdy je možné použít metodu ověřování během události přihlášení:
| metoda | Primární ověření | Sekundární ověřování |
|---|---|---|
| Windows Hello pro firmy | Ano | MFA* |
| Nabízení oznámení microsoft Authenticatoru | No | MFA a SSPR |
| Bez hesla Microsoft Authenticatoru | Ano | Ne* |
| Klíč pro Microsoft Authenticator | Ano | MFA |
| Authenticator Lite | No | MFA |
| Klíč (FIDO2) | Ano | MFA |
| Ověřování pomocí certifikátů | Ano | MFA |
| Hardwarové tokeny OATH (Preview) | No | MFA a SSPR |
| Softwarové tokeny OATH | No | MFA a SSPR |
| Metody externího ověřování (Preview) | No | MFA |
| Dočasný přístupový pass (TAP) | Ano | MFA |
| Text | Ano | MFA a SSPR |
| Hlasový hovor | No | MFA a SSPR |
| Password | Yes | No |
* Windows Hello pro firmy sama o sobě neslouží jako podrobné přihlašovací údaje vícefaktorového ověřování. Například výzva MFA z frekvence přihlášení nebo požadavku SAML obsahující forceAuthn=true. Windows Hello pro firmy může sloužit jako krokování přihlašovacích údajů vícefaktorového ověřování pomocí ověřování FIDO2. To vyžaduje, aby uživatelé měli zaregistrované ověřování FIDO2, aby úspěšně fungovali.
* Přihlášení bez hesla se dá použít pro sekundární ověřování jenom v případě, že se pro primární ověřování používá ověřování založené na certifikátech (CBA). Další informace naleznete v tématu Technické podrobné informace o ověřování založeném na certifikátech společnosti Microsoft Entra.
Všechny tyto metody ověřování je možné nakonfigurovat v Centru pro správu Microsoft Entra a stále častěji používat rozhraní Microsoft Graph REST API.
Další informace o tom, jak jednotlivé metody ověřování fungují, najdete v následujících samostatných koncepčních článcích:
- Windows Hello pro firmy
- Aplikace Microsoft Authenticator
- Authenticator Lite
- Klíč (FIDO2)
- Ověřování pomocí certifikátů
- Hardwarové tokeny OATH (Preview)
- Softwarové tokeny OATH
- Metody externího ověřování (Preview)
- Dočasný přístupový pass (TAP)
- Přihlášení a ověření SMS
- Ověření hlasových hovorů
- Heslo
Poznámka:
V Microsoft Entra ID je heslo často jednou z primárních metod ověřování. Metodu ověřování heslem nemůžete zakázat. Pokud jako primární ověřovací faktor použijete heslo, zvyšte zabezpečení událostí přihlašování pomocí vícefaktorového ověřování Microsoft Entra.
Tyto další metody ověřování je možné použít v určitých scénářích:
- Hesla aplikací – používá se pro staré aplikace, které nepodporují moderní ověřování a dají se nakonfigurovat pro vícefaktorové ověřování Microsoft Entra pro jednotlivé uživatele.
- Bezpečnostní otázky – používá se jenom pro samoobslužné resetování hesla
- E-mailová adresa – používá se jenom pro samoobslužné resetování hesla
Použitelné a nepoužitelné metody
Správci můžou zobrazit metody ověřování uživatelů v Centru pro správu Microsoft Entra. Použitelné metody jsou uvedeny jako první, následované nepoužitelnými metodami.
Každá metoda ověřování se může stát nepoužitelnou z různých důvodů. Platnost dočasného přístupového passu může například vypršet nebo může selhat ověření identity pomocí klíče zabezpečení FIDO2. Portál se aktualizuje a poskytne důvod, proč metoda není použitelná.
Zde se zobrazí také metody ověřování, které už nejsou dostupné kvůli vyžadování opětovné registrace vícefaktorového ověřování .
Související obsah
Začněte tím, že si prohlédnete kurz samoobslužného resetování hesla (SSPR) a vícefaktorového ověřování Microsoft Entra.
Další informace o konceptech SSPR najdete v tématu Jak funguje samoobslužné resetování hesla Microsoft Entra.
Další informace o konceptech vícefaktorového ověřování MFA najdete v tématu Jak funguje vícefaktorové ověřování Microsoftu.
Přečtěte si další informace o konfiguraci metod ověřování pomocí rozhraní Microsoft Graph REST API.
Pokud chcete zkontrolovat, jaké metody ověřování se používají, projděte si analýzu metody vícefaktorového ověřování v Microsoft Entra pomocí PowerShellu.