Sdílet prostřednictvím


Síla ověřování podmíněného přístupu

Síla ověřování je řízení podmíněného přístupu, které určuje, které kombinace metod ověřování je možné použít pro přístup k prostředku. Uživatelé můžou splňovat požadavky na sílu tím, že se ověřují s jakoukoli z povolených kombinací.

Síla ověřování může například vyžadovat, aby se pro přístup k citlivému prostředku používaly pouze metody ověřování odolné vůči útokům phishing. Pro přístup k nesmyslným prostředkům můžou správci vytvořit další sílu ověřování, která umožňuje méně bezpečné kombinace vícefaktorového ověřování (MFA), jako je heslo a textová zpráva.

Síla ověřování je založená na zásadách metod ověřování, kde správci můžou určit rozsah metod ověřování pro konkrétní uživatele a skupiny, které se mají používat napříč federovanými aplikacemi Microsoft Entra ID. Síla ověřování umožňuje další kontrolu nad používáním těchto metod na základě konkrétních scénářů, jako je přístup k citlivým prostředkům, riziko uživatelů, umístění a další.

Scénáře pro silné stránky ověřování

Úrovně síly autentizace můžou zákazníkům pomoct zvládnout tyto scénáře:

  • Vyžadovat pro přístup k citlivému prostředku konkrétní metody ověřování.
  • Vyžadovat konkrétní metodu ověřování, když uživatel provede citlivou akci v rámci aplikace (v kombinaci s kontextem ověřování podmíněného přístupu).
  • Vyžadovat, aby uživatelé používali konkrétní metodu ověřování, když přistupují k citlivým aplikacím mimo podnikovou síť.
  • Vyžadovat bezpečnější metody ověřování pro uživatele s vysokým rizikem.
  • Vyžadovat konkrétní metody ověřování od hostujících uživatelů, kteří přistupují na tenant prostředku (v kombinaci s nastavením mezi tenanty).

Silné stránky ověřování

Správci můžou určit sílu ověřování pro přístup k prostředku vytvořením zásad podmíněného přístupu pomocí ovládacího prvku Vyžadovat sílu ověřování. Můžou si vybrat ze tří předdefinovaných silných stránek ověřování: síla vícefaktorového ověřování, síla MFA bez hesla a síla vícefaktorového ověřování odolná proti útokům phishing. Můžou také vytvořit vlastní sílu ověřování na základě kombinací metod ověřování, které chtějí povolit.

Snímek obrazovky se zásadami podmíněného přístupu s nakonfigurovanou úrovní síly ověření v možnostech udělení přístupu

Předdefinované síly ověřování

Předdefinované síly ověřování jsou kombinace metod ověřování, které předdefinuje Microsoft. Předdefinované síly ověřování jsou vždy dostupné a není možné je upravovat. Microsoft aktualizuje předdefinované síly ověřování, jakmile budou k dispozici nové metody.

Například integrovaná síla MFA odolná proti útokům phishing umožňuje následující kombinace:

  • Windows Hello pro firmy

    Nebo

  • Klíč zabezpečení FIDO2

    Nebo

  • Vícefaktorové ověřování založené na certifikátech microsoftu Entra

Snímek obrazovky znázorňující definici síly vícefaktorového ověřování odolného proti útokům phishing

Kombinace metod ověřování pro každou integrovanou sílu ověřování jsou uvedeny v následující tabulce. Mezi tyto kombinace patří metody, které musí uživatelé zaregistrovat a povolit v zásadách metod ověřování nebo starších zásadách nastavení vícefaktorového ověřování.

  • Síla vícefaktorového ověřování – stejná sada kombinací, které lze použít k splnění nastavení Vyžadovat vícefaktorové ověřování .
  • Síla vícefaktorového ověřování bez hesla – zahrnuje metody ověřování, které vyhovují vícefaktorovým ověřováním, ale nevyžadují heslo.
  • Síla MFA odolná proti útokům phishing – zahrnuje metody, které vyžadují interakci mezi metodou ověřování a přihlašovací plochou.
Kombinace metody ověřování Síla vícefaktorového ověřování Síla vícefaktorového ověřování bez hesla Síla vícefaktorového ověřování odolná proti útokům phishing
Klíč zabezpečení FIDO2
Windows Hello pro firmy
Ověřování na základě certifikátů (Multi-Factor)
Microsoft Authenticator (přihlášení pro telefon)
Dočasný přístupový průkaz (jednorázové použití a více použití)
Heslo + něco, co máte1
Federovaný jednofaktorový faktor + něco, co máte1
Federovaný vícefaktorový
Ověřování na základě certifikátů (jednofaktorové)
Přihlášení k SMS
Heslo
Federovaný jednofaktorový systém

1 Něco, co máte, se odkazuje na jednu z následujících metod: textová zpráva, hlas, push oznámení, softwarový token OATH nebo hardwarový token OATH.

Následující volání rozhraní API se dá použít k výpisu definic všech předdefinovaných silných stránek ověřování:

GET https://graph.microsoft.com/beta/identity/conditionalAccess/authenticationStrength/policies?$filter=policyType eq 'builtIn'

Správci podmíněného přístupu můžou také vytvářet vlastní síly ověřování tak, aby přesně vyhovovaly požadavkům na přístup. Další informace naleznete v tématu Vlastní úrovně zabezpečení pro ověřování podmíněného přístupu.

Omezení

  • Zásady podmíněného přístupu se vyhodnocují jenom po počátečním ověření – v důsledku toho síla ověřování neomezí počáteční ověřování uživatele. Předpokládejme, že používáte integrovanou sílu MFA odolnou proti útokům phishing. Uživatel může dál zadávat heslo, ale musí se přihlásit pomocí metody odolné proti útokům phishing, jako je bezpečnostní klíč FIDO2, než bude moct pokračovat.

  • Vyžadovat vícefaktorové ověřování a Vyžadovat sílu ověřování nelze použít společně ve stejné zásadě podmíněného přístupu – Tyto dva ovládací prvky podmíněného přístupu nelze použít společně, protože integrovaná síla ověřování vícefaktorového ověřování je ekvivalentní nástroji Vyžadovat vícefaktorové ověřování.

  • Metody ověřování, které aktuálně nejsou podporovány silou ověřování – Jednorázové heslo e-mailem (Host) není součástí dostupných kombinací.

  • Windows Hello pro firmy – Pokud se uživatel přihlásil pomocí Windows Hello pro firmy jako primární metoda ověřování, může být použit k splnění požadavku na sílu ověřování, který zahrnuje Windows Hello pro firmy. Pokud se ale uživatel přihlásil pomocí jiné metody, jako je heslo jako primární metoda ověřování a síla ověřování vyžaduje Windows Hello pro firmy, nezobrazí se výzva k přihlášení pomocí Windows Hello pro firmy. Uživatel musí relaci restartovat, zvolit možnosti přihlášení a vybrat metodu požadovanou silou ověřování.

Známé problémy

  • Síla ověřování a frekvence přihlašování – Pokud prostředek vyžaduje sílu ověřování a frekvenci přihlašování, můžou uživatelé splnit obě požadavky ve dvou různých časech.

    Například, řekněme, že prostředek vyžaduje pro úroveň zabezpečení ověření přístupový klíč (FIDO2) a frekvenci přihlášení každou hodinu. Před 24 hodinami se uživatel přihlásil pomocí klíče (FIDO2) pro přístup k prostředku.

    Když uživatel odemkne své zařízení s Windows pomocí Windows Hello pro firmy, bude mít k prostředku přístup znovu. Včerejší přihlášení splňuje požadavek na sílu ověřování a dnešní odemknutí zařízení splňuje požadavek na frekvenci přihlašování.

  • Panel pro dvojitou reprezentaci síly ověřování – Přihlašovací údaje platformy, jako jsou Windows Hello pro firmy a Přihlašovací údaje platformy pro macOS, jsou reprezentovány v síle ověřování v rámci Windows Hello pro firmy. Pokud chcete nakonfigurovat vlastní sílu ověřování, která umožňuje použití přihlašovacích údajů platformy pro macOS, použijte Windows Hello pro firmy.

Často kladené dotazy

Mám použít sílu ověřování nebo zásady pro metody ověřování?

Síla ověřování je založená na zásadách metod ověřování. Zásady metod ověřování pomáhají určit rozsah a nakonfigurovat metody ověřování, které se mají používat napříč ID Microsoft Entra konkrétními uživateli a skupinami. Síla ověřování umožňuje další omezení metod pro konkrétní scénáře, jako je přístup k citlivým prostředkům, riziko uživatelů, umístění a další.

Správce společnosti Contoso chce například umožnit uživatelům používat Microsoft Authenticator s nabízenými oznámeními nebo režimem ověřování bez hesla. Správce přejde do nastavení Microsoft Authenticatoru v zásadách metod ověřování, nastaví zásady pro příslušné uživatele a nastaví režim ověřování na libovolnou.

Poté chce správce u nejcitlivějšího prostředku Contoso omezit přístup jenom na bezheslové metody ověřování. Správce vytvoří novou zásadu podmíněného přístupu s využitím integrované síly vícefaktorového ověřování bez hesla.

V důsledku toho můžou uživatelé ve společnosti Contoso přistupovat k většině prostředků v tenantovi pomocí hesla a tlačených oznámení z Microsoft Authenticatoru nebo jenom pomocí Microsoft Authenticatoru (přihlášení přes telefon). Pokud ale uživatelé v tenantovi přistupují k citlivé aplikaci, musí používat Microsoft Authenticator (přihlášení přes telefon).

Požadavky

  • Microsoft Entra ID P1 – Váš tenant musí mít licenci Microsoft Entra ID P1 pro použití podmíněného přístupu. V případě potřeby můžete povolit bezplatnou zkušební verzi.

Další kroky