Správa metod ověřování pro Microsoft Entra ID
Microsoft Entra ID umožňuje použití řady metod ověřování pro podporu široké škály scénářů přihlašování. Správci můžou konkrétně nakonfigurovat každou metodu tak, aby splňovala cíle uživatelského prostředí a zabezpečení. Toto téma vysvětluje, jak spravovat metody ověřování pro ID Microsoft Entra a jak možnosti konfigurace ovlivňují scénáře přihlašování uživatelů a resetování hesla.
Zásady metod ověřování
Zásady metod ověřování se doporučují ke správě metod ověřování, včetně moderních metod, jako je ověřování bez hesla. Správci zásad ověřování mohou tuto zásadu upravit, aby povolili metody ověřování pro všechny uživatele nebo konkrétní skupiny.
Metody povolené v zásadách metod ověřování se obvykle dají použít kdekoli v MICROSOFT Entra ID pro scénáře ověřování i resetování hesla. Výjimkou je, že některé metody jsou ze své podstaty omezené na použití při ověřování, jako je FIDO2 a Windows Hello pro firmy, a jiné jsou omezené na použití při resetování hesla, jako jsou bezpečnostní otázky. Pokud chcete mít větší kontrolu nad metodami použitelnými v daném scénáři ověřování, zvažte použití funkce Síla ověřování.
Většina metod má také konfigurační parametry pro přesnější řízení způsobu použití této metody. Pokud například povolíte hlasové hovory, můžete také určit, jestli se dá kromě mobilního telefonu použít i telefon do kanceláře.
Nebo řekněme, že chcete povolit ověřování bez hesla pomocí Microsoft Authenticatoru. Můžete nastavit další parametry, například zobrazení přihlašovacího umístění uživatele nebo názvu aplikace, ke které se přihlašujete. Tyto možnosti poskytují uživatelům další kontext při přihlašování a pomáhají zabránit náhodným schválením vícefaktorového ověřování.
Pokud chcete spravovat zásady metod ověřování, přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce zásad ověřování a přejděte na .
O zásadách metod ověřování vědí pouze konvergované prostředí registrace. Uživatelé v oboru zásad metod ověřování, ale ne konvergované prostředí registrace neuvidí správné metody registrace.
Starší zásady vícefaktorového ověřování a samoobslužného resetování hesla
Dvě další zásady umístěné v nastavení vícefaktorového ověřování a nastavení resetování hesla poskytují starší způsob správy některých metod ověřování pro všechny uživatele v tenantovi. Nemůžete řídit, kdo používá povolenou metodu ověřování nebo jak se tato metoda dá použít.
Důležité
V březnu 2023 jsme oznámili vyřazení metod ověřování ve starších zásadách vícefaktorového ověřování a samoobslužného resetování hesla (SSPR). Od 30. září 2025 nejde v těchto starších zásadách MFA a SSPR spravovat metody ověřování. Zákazníkům doporučujeme použít řízení ruční migrace k migraci na zásady metod ověřování podle data vyřazení.
Pokud chcete spravovat starší zásady vícefaktorového ověřování, přejděte na Protection>Vícefaktorové ověřování>Další cloudová nastavení vícefaktorového ověřování.
Pokud chcete spravovat metody ověřování pro samoobslužné resetování hesla (SSPR), přejděte na Protection>Password reset>metody ověřování. Možnost Mobilní telefon v této zásadě umožňuje posílání hlasových hovorů nebo textových zpráv na mobilní telefon. Možnost Telefon v Office umožňuje jenom hlasové hovory.
Jak zásady spolupracují
Nastavení se mezi zásadami nesynchronizovat, což správcům umožňuje nezávisle spravovat jednotlivé zásady. Microsoft Entra ID respektuje nastavení ve všech zásadách, takže uživatel, který má povolenou metodu ověřování v jakékoli zásadě, může tuto metodu zaregistrovat a používat. Aby uživatelé nemohli používat metodu, musí být ve všech zásadách zakázaná.
Pojďme si projít příklad, ve kterém chce uživatel, který patří do účetní skupiny, zaregistrovat Microsoft Authenticator. Proces registrace nejprve zkontroluje zásady metod ověřování. Pokud je pro Microsoft Authenticator povolená skupina Accounting, může ji uživatel zaregistrovat.
Pokud ne, proces registrace zkontroluje starší zásady vícefaktorového ověřování. V této zásadě může každý uživatel zaregistrovat Aplikaci Microsoft Authenticator, pokud je pro vícefaktorové ověřování povoleno jedno z těchto nastavení:
- Oznámení prostřednictvím mobilní aplikace
- Ověřovací kód z mobilní aplikace nebo hardwarového tokenu
Pokud uživatel nemůže zaregistrovat Microsoft Authenticator na základě některé z těchto zásad, proces registrace zkontroluje starší zásady samoobslužného resetování hesla. V těchto zásadách může uživatel zaregistrovat Aplikaci Microsoft Authenticator, pokud je uživatel povolený pro samoobslužné resetování hesla a je povolená některá z těchto nastavení:
- Oznámení mobilní aplikace
- Kód mobilní aplikace
Pro uživatele, kteří mají povolené mobilní telefon pro SSPR, může nezávislé řízení mezi zásadami ovlivnit chování přihlašování. Pokud ostatní zásady mají samostatné možnosti pro textové zprávy a hlasové hovory, mobilní telefon pro SSPR umožňuje obě možnosti. V důsledku toho může každý, kdo používá mobilní telefon pro SSPR, používat také hlasové hovory pro resetování hesla, i když ostatní zásady nepovolují hlasové hovory.
Podobně předpokládejme, že pro skupinu povolíte hlasové hovory . Po povolení zjistíte, že i uživatelé, kteří nejsou členy skupiny, se můžou přihlásit pomocí hlasového hovoru. V tomto případě je pravděpodobné, že tito uživatelé budou mít ve starších zásadách samoobslužného resetování hesla povolenou funkci Mobilní telefon nebo volat na telefon ve starších zásadách MFA.
Migrace mezi zásadami
Zásady metod ověřování poskytují průvodce migrací, který pomáhá sjednotit správu všech metod ověřování. Všechny požadované metody je možné povolit v zásadách metod ověřování, pokud zásady cílí na zamýšlené skupiny uživatelů nebo všechny uživatele. Průvodce migrací metod ověřování automatizuje kroky auditu aktuálního nastavení zásad pro MFA a SSPR a konsoliduje je v zásadách metod ověřování. K průvodci se dostanete z Centra pro správu Microsoft Entra tak, že přejdete na >
Nastavení zásad můžete migrovat také ručně. Migrace má tři nastavení, která vám umožní pohybovat se vlastním tempem a vyhnout se problémům s přihlášením nebo SSPR během přechodu.
Po dokončení migrace je možné zakázat metody ve starších zásadách vícefaktorového ověřování a SSPR. Můžete centralizovat kontrolu nad metodami ověřování pro přihlášení i samoobslužné resetování hesla na jednom místě a starší zásady MFA a SSPR budou zakázané.
Poznámka:
Bezpečnostní otázky je možné dnes povolit jenom pomocí starších zásad samoobslužného resetování hesla. Pokud používáte bezpečnostní otázky a nechcete je zakázat, ujistěte se, že jsou povolené ve starších zásadách samoobslužného resetování hesla, dokud nebude k dispozici ovládací prvek migrace. Zbývající metody ověřování můžete migrovat a dál spravovat bezpečnostní otázky ve starších zásadách samoobslužného resetování hesla.
Pokud chcete zobrazit možnosti migrace, otevřete zásady metod ověřování a klikněte na Spravovat migraci.
Jednotlivé možnosti jsou popsány v následující tabulce.
| Možnost | Popis |
|---|---|
| Před migrací | Zásady metod ověřování se používají jenom pro ověřování. Respektují se starší nastavení zásad. |
| Probíhá migrace. | Zásady metod ověřování se používají pro ověřování a SSPR. Respektují se starší nastavení zásad. |
| Migrace dokončena | Pro ověřování a SSPR se používají pouze zásady metod ověřování. Starší nastavení zásad se ignorují. |
Tenanti jsou ve výchozím nastavení nastaveni na předmigrační nebo probíhající migraci v závislosti na aktuálním stavu tenanta. Pokud začnete s předběžnou migrací, můžete kdykoli přejít do libovolného stavu. Pokud jste začali s probíhající migrací, můžete se kdykoli přesunout mezi probíhající migrací a aplikací Microsoft Complete, ale nebude možné přejít na před migrací. Pokud přejdete na dokončení migrace a pak se rozhodnete vrátit zpět do dřívějšího stavu, zeptáme se, proč můžeme vyhodnotit výkon produktu.
Poznámka:
Po úplné migraci všech metod ověřování zůstanou aktivní následující prvky starších zásad samoobslužného resetování hesla:
- Počet metod potřebných k resetování řízení: správci můžou dál měnit počet metod ověřování, než může uživatel provést samoobslužné resetování hesla.
- Zásady správce SSPR: Správci můžou dál registrovat a používat všechny metody uvedené ve starších zásadách správce SSPR nebo metodách, které mají povolené v zásadách metod ověřování.
V budoucnu budou obě tyto funkce integrovány se zásadami metod ověřování.
Známé problémy a omezení
V nedávných aktualizacích jsme odebrali možnost cílit na jednotlivé uživatele. Dříve cílení uživatelé zůstanou v zásadách, ale doporučujeme je přesunout do cílové skupiny.
Registrace metody ověřování může selhat, pokud je mnoho skupin součástí zásad ověřování nebo registrační kampaně. Pro každou metodu ověřování doporučujeme konsolidovat více skupin do jedné skupiny. Pokud chcete zachovat registraci uživatelů během konsolidace, přidejte novou skupinu a odeberte aktuální skupiny ve stejné operaci.
Poznámka:
Aktualizace zásad ověřování možná nebudete moct uložit, pokud cílí na mnoho skupin a velikost zásad překračuje 20 kB. Zatímco pracujeme na zvýšení limitu velikosti politiky, konsolidujte cílové skupiny co nejvíce.