Sdílet prostřednictvím

Kombinovaná registrace informací o zabezpečení pro Microsoft Entra – přehled

  • Článek

Před kombinovanou registrací uživatelé zaregistrovali metody ověřování pro vícefaktorové ověřování Microsoft Entra a samoobslužné resetování hesla (SSPR) samostatně. Lidé byli zmateni, že podobné metody se používaly pro vícefaktorové ověřování a samoobslužné resetování hesla, ale museli se zaregistrovat pro obě funkce. Teď se uživatelé s kombinovanou registrací můžou zaregistrovat jednou a získat výhody vícefaktorového ověřování i samoobslužného resetování hesla. Toto video doporučujeme, jak povolit a nakonfigurovat samoobslužné resetování hesla v Microsoft Entra ID.

Můj účet zobrazující zaregistrované bezpečnostní údaje pro uživatele

Než povolíte nové prostředí, projděte si tuto dokumentaci zaměřenou na správce a dokumentaci zaměřenou na uživatele a ujistěte se, že rozumíte funkcím a účinkům této funkce. Založte školení na dokumentaci uživatelů, abyste připravili uživatele na nové prostředí a pomohli zajistit úspěšné zavedení.

Kombinovaná registrace se zavedla pro všechny zákazníky v Azure a Azure pro státní správu USA. Ovládací prvek portálu, který umožňuje přepnout ze starší verze na kombinované prostředí registrace, se po migraci tenanta na kombinovanou registraci odebere.

Stránky Můj účet jsou lokalizovány na základě jazykového nastavení počítače, který ke stránce přistupuje. Microsoft ukládá nejnovější jazyk používaný v mezipaměti prohlížeče, takže následné pokusy o přístup ke stránkám se budou dál vykreslovat v posledním použitém jazyce. Pokud mezipaměť vymažete, stránky se znovu vykreslují.

Pokud chcete vynutit konkrétní jazyk, můžete na konec adresy URL přidat ?lng=<language> kód jazyka, <language> který chcete vykreslit.

Nastavení SSPR nebo jiných metod ověřování zabezpečení

Dostupné metody v kombinované registraci

Kombinovaná registrace podporuje metody ověřování a akce v následující tabulce.

metoda Registrovat Změnit Odstranění
Microsoft Authenticator Ano (maximálně 5) No Ano
Jiná ověřovací aplikace Ano (maximálně 5) No Ano
Hardwarový token No No Ano
telefonní Ano (maximálně 2) Ano Ano
Alternativní telefon Ano Ano Ano
Telefon do kanceláře* Ano Ano Ano
E-mail Ano Ano Ano
Bezpečnostní otázky Ano No Ano
Passwords No Ano No
Hesla aplikací* Ano No Ano
Klíč (FIDO2)* Ano (maximálně 10) No Ano

Poznámka:

Pokud v zásadách metod ověřování povolíte microsoft Authenticator pro režim ověřování bez hesla, uživatelé musí také povolit přihlášení bez hesla v aplikaci Authenticator.

Alternativní telefon je možné zaregistrovat jenom v režimu správy na bezpečnostních údajích a vyžaduje, aby v zásadách metod ověřování byla povolena hlasová volání.

Telefon do kanceláře se dá zaregistrovat jenom v režimu přerušení, pokud je vlastnost firemního telefonu nastavená. Telefon do kanceláře můžou uživatelé přidávat v režimu Správa z bezpečnostních údajů bez tohoto požadavku.

Hesla aplikací jsou dostupná jenom uživatelům, kteří se vynucovali pro vícefaktorové ověřování pro jednotlivé uživatele. Hesla aplikací nejsou dostupná uživatelům, kteří mají povolené vícefaktorové ověřování Microsoft Entra pomocí zásad podmíněného přístupu.

Přístupové klíče (FIDO2) je možné zřídit také pomocí vlastního klienta nebo partnerské integrace s Microsoft Graphem. Další informace najdete v našich rozhraních API.

Jako výchozí metodu vícefaktorového ověřování můžou uživatelé nastavit jednu z následujících možností.

  • Microsoft Authenticator – nabízené oznámení nebo bez hesla
  • Ověřovací aplikace nebo hardwarový token – kód
  • Telefonní hovor
  • Textová zpráva

Poznámka:

Virtuální telefonní čísla nejsou podporována pro hlasové hovory ani sms zprávy.

Ověřovací aplikace třetích stran neposkytují nabízená oznámení. Jak budeme do ID Microsoft Entra nadále přidávat další metody ověřování, budou tyto metody k dispozici v kombinované registraci.

Kombinované režimy registrace

Existují dva režimy kombinované registrace:

  • Režim přerušení je prostředí podobné průvodci, které se uživatelům zobrazí při registraci nebo aktualizaci bezpečnostních údajů při přihlášení.
  • Režim správy je součástí profilu uživatele a umožňuje uživatelům spravovat bezpečnostní údaje.

V obou režimech musí uživatelé, kteří dříve zaregistrovali metodu, která se dá použít pro vícefaktorové ověřování Microsoft Entra, před přístupem ke svým bezpečnostním údajům provádět vícefaktorové ověřování. Uživatelé musí před pokračováním v používání dříve registrovaných metod potvrdit své informace.

Režim přerušení

Kombinovaná registrace dodržuje zásady vícefaktorového ověřování i SSPR, pokud jsou pro vašeho tenanta povolené obě možnosti. Tyto zásady určují, jestli se uživatel během přihlašování přeruší pro registraci a jaké metody jsou k dispozici pro registraci. Pokud je povolená jenom zásada samoobslužného resetování hesla, uživatelé budou moct přerušení registrace (neomezeně dlouho) přeskočit a dokončit ji později.

Tady jsou ukázkové scénáře, ve kterých se uživatelům může zobrazit výzva k registraci nebo aktualizaci bezpečnostních údajů:

  • vícefaktorová registrace ověřování vynucená prostřednictvím služby Microsoft Entra ID Protection: Uživatelé se při přihlašování zobrazí výzva k registraci. Zaregistrují vícefaktorové metody ověřování a metody SSPR (pokud je uživatel povolený pro SSPR).
  • registrace vícefaktorového ověřování vynucená prostřednictvím vícefaktorového ověřování pro jednotlivé uživatele: Uživatelé se při přihlašování zobrazí výzva k registraci. Zaregistrují vícefaktorové metody ověřování a metody SSPR (pokud je uživatel povolený pro SSPR).
  • registrace vícefaktorového ověřování vynucená prostřednictvím podmíněného přístupu nebo jiných zásad: Uživatelé se zobrazí výzva k registraci, když používají prostředek, který vyžaduje vícefaktorové ověřování. Zaregistrují vícefaktorové metody ověřování a metody SSPR (pokud je uživatel povolený pro SSPR).
  • Vynucená registrace SSPR: Uživatelé se při přihlašování zobrazí výzva k registraci. Registrují pouze metody SSPR.
  • Vynucená aktualizace SSPR: Uživatelé musí zkontrolovat bezpečnostní údaje v intervalu nastaveném správcem. Uživatelům se zobrazují jejich informace a můžou potvrdit aktuální informace nebo v případě potřeby provést změny.

Při vynucení registrace se uživatelům zobrazí minimální počet metod potřebných k zajištění souladu s vícefaktorovým ověřováním i zásadami samoobslužného resetování hesla , od většiny po nejméně bezpečné. Uživatelé procházející kombinovanou registrací, ve které se vynucuje registrace MFA i SSPR, a zásady samoobslužného resetování hesla vyžadují nejprve dvě metody, které nejprve zaregistrují metodu MFA jako první metodu a můžou jako druhou registrovanou metodu vybrat jinou metodu MFA nebo SSPR (například e-mail, bezpečnostní otázky atd.).

Zvažte následující ukázkový scénář:

  • Uživatel je povolený pro samoobslužné resetování hesla. Zásady samoobslužného resetování hesla vyžadují dvě metody resetování a povolily aplikaci Microsoft Authenticator, e-mail a telefon.
  • Když se uživatel rozhodne zaregistrovat, vyžadují se dvě metody:
    • Ve výchozím nastavení se uživateli zobrazí aplikace Microsoft Authenticator a telefon.
    • Uživatel může místo aplikace Authenticator nebo telefonu zaregistrovat e-mail.

Když nastaví Aplikaci Microsoft Authenticator, uživatel může kliknout na možnost Nastavit jinou metodu pro registraci jiných metod ověřování. Seznam dostupných metod je určen zásadami metod ověřování pro tenanta. 

Snímek obrazovky s postupem, jak při nastavování aplikace Microsoft Authenticator zvolit jinou metodu

Následující vývojový diagram popisuje, které metody se uživateli zobrazují při přerušení registrace při přihlašování:

Kombinovaný vývojový diagram bezpečnostních údajů

Pokud máte povolené vícefaktorové ověřování i SSPR, doporučujeme vynutit registraci vícefaktorového ověřování.

Pokud zásady samoobslužného resetování hesla vyžadují, aby uživatelé v pravidelných intervalech zkontrolovali své bezpečnostní údaje, během přihlašování se přeruší a zobrazí se všechny jejich registrované metody. Aktuální informace můžou potvrdit, pokud jsou aktuální, nebo můžou v případě potřeby provádět změny. Uživatelé musí pro přístup k této stránce provádět vícefaktorové ověřování.

Režim správy

Uživatelé můžou přejít na Bezpečnostní údaje nebo můžou vybrat bezpečnostní údaje z mého účtu. Odsud mohou uživatelé přidávat metody, odstraňovat nebo měnit existující metody, měnit výchozí metodu a další.

Řízení relací pro kombinovanou registraci

Kombinovaná registrace ve výchozím nastavení vynucuje, aby se všichni uživatelé s podporou vícefaktorového ověřování před registrací nebo správou bezpečnostních údajů důrazně ověřili. Pokud je uživatel aktuálně přihlášený a dříve dokončil vícefaktorové ověřování jako součást platné relace, nebude ve výchozím nastavení vyžadováno žádné další vícefaktorové ověřování, pokud se uživatel nepokoušel přidat nebo upravit metodu klíče (FIDO2). Přidání nebo úprava metody klíče (FIDO2) vyžaduje, aby se uživatelé během posledních 5 minut důrazně ověřili. Pokud se vícefaktorové ověřování v posledních 5 minutách nedokončilo, zobrazí se uživateli výzva k přihlášení a dokončení nového vícefaktorového ověřování. Organizace mohou upravit požadavky na ověřování definováním zásad podmíněného přístupu pro zabezpečení registrace bezpečnostních údajů.

Kombinované registrační relace jsou platné jenom 15 minut. Pokud registrace uživatelů nebo akce správy trvá déle, než je toto časové období, platnost relace vyprší a uživateli se zobrazí výzva, aby se znovu přihlásil, aby pokračoval.

Klíčové scénáře použití

Změna hesla v MySignIns

Uživatel přejde na bezpečnostní údaje. Po přihlášení může uživatel změnit heslo. Pokud se uživatel ověří pomocí hesla a metody vícefaktorového ověřování, bude moct pomocí vylepšeného uživatelského prostředí změnit heslo bez zadání stávajícího hesla. Po dokončení se uživatel na stránce Bezpečnostní údaje aktualizuje nové heslo. Metody ověřování, jako je dočasné přístupové heslo (TAP), se pro změnu hesla nepodporují, pokud uživatel nezná své stávající heslo.

Poznámka:

Pokud máte odkazy, které odkazují na starší verzi prostředí pro změnu hesla, aktualizujte je na následující odkaz pro přesměrování uživatelů na nové prostředí Pro změnu hesla přihlášení: https://go.microsoft.com/fwlink/?linkid=2224198.

Ochrana registrace bezpečnostních údajů pomocí podmíněného přístupu

Pokud chcete zabezpečit, kdy a jak se uživatelé registrují pro vícefaktorové ověřování Microsoft Entra a samoobslužné resetování hesla, můžete použít akce uživatelů v zásadách podmíněného přístupu. Tato funkce může být povolena v organizacích, které chtějí, aby se uživatelé zaregistrovali pro vícefaktorové ověřování Microsoft Entra a samoobslužné resetování hesla z centrálního umístění, jako je například důvěryhodné síťové umístění během onboardingu hr. Přečtěte si další informace o tom, jak nakonfigurovat běžné zásady podmíněného přístupu pro zabezpečení registrace bezpečnostních údajů.

Nastavení bezpečnostních údajů během přihlašování

Správce vynutil registraci.

Uživatel nenastavil všechny požadované bezpečnostní údaje a přejde do Centra pro správu Microsoft Entra. Po zadání uživatelského jména a hesla se uživateli zobrazí výzva k nastavení bezpečnostních údajů. Uživatel pak provede kroky uvedené v průvodci a nastaví požadované bezpečnostní údaje. Pokud to vaše nastavení povolí, uživatel se může rozhodnout nastavit jiné metody než ty, které se zobrazují ve výchozím nastavení. Po dokončení průvodce zkontrolují metody, které nastaví, a jejich výchozí metodu pro vícefaktorové ověřování. K dokončení procesu nastavení uživatel potvrdí informace a pokračuje v Centru pro správu Microsoft Entra.

Nastavení bezpečnostních údajů z mého účtu

Správce nevynutil registraci.

Uživatel, který ještě nenastavil všechny požadované bezpečnostní údaje, přejde na https://myaccount.microsoft.comadresu . Uživatel vybere v levém podokně bezpečnostní údaje . Odsud se uživatel rozhodne přidat metodu, vybere některou z dostupných metod a provede kroky pro nastavení této metody. Po dokončení se uživateli zobrazí metoda, která byla nastavena na stránce Bezpečnostní údaje.

Nastavení dalších metod po částečné registraci

Pokud uživatel částečně splnil registraci vícefaktorového ověřování nebo samoobslužného resetování hesla z důvodu stávajících registrací metod ověřování provedených uživatelem nebo správcem, zobrazí se uživatelům výzva k registraci dalších informací povolených nastavením zásad metod ověřování, pokud je vyžadována registrace. Pokud je pro uživatele k dispozici více než jedna jiná metoda ověřování, která si může vybrat a zaregistrovat, zobrazí se možnost prostředí pro registraci s názvem Chci nastavit jinou metodu a umožní uživateli nastavit požadovanou metodu ověřování.

Snímek obrazovky s postupem nastavení jiné metody

Odstranění bezpečnostních údajů z mého účtu

Uživatel, který dříve nastavil aspoň jednu metodu, přejde na bezpečnostní údaje. Uživatel se rozhodne odstranit jednu z dříve registrovaných metod. Po dokončení uživatel už na stránce Bezpečnostní údaje neuvidí danou metodu.

Změna výchozí metody z mého účtu

Uživatel, který dříve nastavil alespoň jednu metodu, kterou lze použít pro vícefaktorové ověřování, přejde na bezpečnostní údaje. Uživatel změní aktuální výchozí metodu na jinou výchozí metodu. Po dokončení se uživateli na stránce Bezpečnostní údaje zobrazí nová výchozí metoda.

Přepnout adresář

Externí identita, jako je uživatel B2B, může být potřeba přepnout adresář, aby se změnily informace o registraci zabezpečení pro tenanta třetí strany. Uživatelé, kteří přistupují k tenantovi prostředků, můžou být navíc zmatení, když změní nastavení ve svém domovském tenantovi, ale změny se v tenantovi prostředku neprojeví.

Uživatel například nastaví nabízené oznámení aplikace Microsoft Authenticator jako primární ověřování pro přihlášení k domovskému tenantovi a má také SMS/Text jako jinou možnost. Tento uživatel je také nakonfigurovaný s možností SMS/Text v tenantovi prostředku. Pokud tento uživatel odebere SMS/Text jako jednu z možností ověřování ve svém domovském tenantovi, při přístupu k tenantovi prostředku se mu zobrazí dotaz, aby odpověděl na sms/textovou zprávu.

Pokud chcete přepnout adresář v Centru pro správu Microsoft Entra, klikněte v pravém horním rohu na název uživatelského účtu a klikněte na Přepnout adresář.

Externí uživatelé můžou přepnout adresář.

Nebo můžete tenanta zadat podle adresy URL pro přístup k informacím o zabezpečení.

https://mysignins.microsoft.com/security-info?tenant=<Tenant Name>

https://mysignins.microsoft.com/security-info/?tenantId=<Tenant ID>

Poznámka:

Zákazníci, kteří se pokoušejí zaregistrovat nebo spravovat bezpečnostní údaje prostřednictvím kombinované registrace nebo stránky Moje přihlášení, by měli používat moderní prohlížeč, jako je Microsoft Edge.

IE11 není oficiálně podporován pro vytváření webového zobrazení nebo prohlížeče v aplikacích, protože nebude fungovat podle očekávání ve všech scénářích.

Aplikace, které nebyly aktualizovány a stále používají knihovnu Azure AD Authentication Library (ADAL), které spoléhají na starší webové zobrazení, se můžou vrátit ke starším verzím Internet Exploreru. V těchto scénářích se uživatelům při přesměrování na stránku Moje přihlášení zobrazí prázdná stránka. Pokud chcete tento problém vyřešit, přepněte do moderního prohlížeče.

Další kroky

Začněte tím, že si prohlédnete kurzy k povolení samoobslužného resetování hesla a povolení vícefaktorového ověřování Microsoft Entra.

Zjistěte, jak povolit kombinovanou registraci ve vašem tenantovi nebo vynutit uživatele, aby znovu zaregistrovali metody ověřování.

Můžete si také projít dostupné metody vícefaktorového ověřování a samoobslužného resetování hesla Microsoft Entra.