Upravit

Sdílet prostřednictvím

Správa metod ověřování uživatelů pro vícefaktorové ověřování Microsoft Entra

  • Postupy

Uživatelé v Microsoft Entra ID mají dvě odlišné sady kontaktních informací:

  • Kontaktní informace veřejného profilu, které se spravují v profilu uživatele a jsou viditelné členům vaší organizace. Pro uživatele synchronizované z místní Active Directory se tyto informace spravují v místních službách Windows Server Doména služby Active Directory Services.
  • Metody ověřování, které jsou vždy soukromé a používají se pouze pro ověřování, včetně vícefaktorového ověřování. Správci mohou tyto metody spravovat v okně metody ověřování uživatele a uživatelé mohou spravovat své metody na stránce Bezpečnostní informace myAccount.

Při správě vícefaktorových metod ověřování Microsoft Entra pro vaše uživatele můžou správci ověřování:

  • Přidejte metody ověřování pro konkrétního uživatele, včetně telefonních čísel používaných pro vícefaktorové ověřování.
  • Resetujte heslo uživatele.
  • Vyžadovat, aby se uživatel znovu zaregistroval pro vícefaktorové ověřování.
  • Odvolání existujících relací vícefaktorového ověřování
  • Odstranění stávajících hesel aplikací uživatele

Poznámka:

Snímky obrazovky v tomto tématu ukazují, jak spravovat metody ověřování uživatelů pomocí aktualizovaného prostředí v Centru pro správu Microsoft Entra. K dispozici je také starší prostředí a správci můžou mezi nimi přepínat pomocí banneru v Centru pro správu. Moderní prostředí má plnou paritu se starší verzí a spravuje moderní metody, jako je dočasný přístupový pass, klíč a další nastavení. Starší verze prostředí v Centru pro správu Microsoft Entra byla vyřazena 31. října 2024. Před vyřazením organizace nevyžadují žádnou akci.

Požadavky

Vícefaktorové ověřování Microsoft Entra, které je ve výchozím nastavení povolené.

Přidání nebo změna metod ověřování pro uživatele

Metody ověřování pro uživatele můžete přidat nebo změnit pomocí Centra pro správu Microsoft Entra nebo Microsoft Graph PowerShellu. V Centru pro správu Microsoft Entra byla metoda leagcy pro správu metod ověřování uživatelů vyřazena po 31. říjnu 2024.

Poznámka:

Z bezpečnostních důvodů by se pole kontaktních informací veřejného uživatele neměla používat k provádění vícefaktorového ověřování. Místo toho by uživatelé měli naplnit čísla metod ověřování, která se mají použít pro vícefaktorové ověřování.

Snímek obrazovky znázorňuje, jak přidat metody ověřování z Centra pro správu Microsoft Entra.

Přidání nebo změna metod ověřování pro uživatele v Centru pro správu Microsoft Entra:

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce ověřování.
  2. Přejděte do části Identita>Uživatelé>Všichni uživatelé.
  3. Vyberte uživatele, pro kterého chcete přidat nebo změnit metodu ověřování, a vyberte Metody ověřování.
  4. V horní části okna vyberte + Přidat metodu ověřování.
    • Vyberte metodu (telefonní číslo nebo e-mail). E-mail se může použít pro samoobslužné resetování hesla, ale ne pro ověřování. Při přidávání telefonního čísla vyberte typ telefonu a zadejte telefonní číslo s platným formátem (například +1 4255551234).
    • Vyberte Přidat.

Uživatelé můžou přidávat nebo upravovat vlastní metody ověřování v mých přihlášeních | Bezpečnostní údaje. Pokud chcete třeba změnit telefonní číslo, vyberte Telefonní číslo a klepněte na Změnit.

Správa metod pomocí PowerShellu

Pomocí následujících příkazů nainstalujte modul Microsoft.Graph.Identity.Signins PowerShell.

Install-module Microsoft.Graph.Identity.Signins
Connect-MgGraph -Scopes "User.Read.all","UserAuthenticationMethod.Read.All","UserAuthenticationMethod.ReadWrite.All"
Select-MgProfile -Name beta

List phone based authentication methods for a specific user.

Get-MgUserAuthenticationPhoneMethod -UserId balas@contoso.com

Create a mobile phone authentication method for a specific user.

New-MgUserAuthenticationPhoneMethod -UserId balas@contoso.com -phoneType "mobile" -phoneNumber "+1 7748933135"

Remove a specific phone method for a user

Remove-MgUserAuthenticationPhoneMethod -UserId balas@contoso.com -PhoneAuthenticationMethodId 00aa00aa-bb11-cc22-dd33-44ee44ee44ee

Authentication methods can also be managed using Microsoft Graph APIs. For more information, see Authentication and authorization basics.

Správa možností ověřování uživatelů

Tip

Postup v tomto článku se může mírně lišit v závislosti na portálu, od který začínáte.

Správci ověřování můžou vyžadovat, aby si ostatní uživatelé resetovali heslo, znovu zaregistrovali vícefaktorové ověřování nebo odvolali stávající relace vícefaktorového ověřování ze svého objektu uživatele. Uživatelé nemůžou aktualizovat vlastní objekt uživatele. Pokud chcete změnit nebo resetovat vlastní metody zabezpečení, můžou uživatelé přejít na Bezpečnostní údaje nebo přejít na samoobslužné resetování hesla a resetovat si heslo. Pokud chcete spravovat nastavení jiného uživatele, proveďte následující kroky:

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce ověřování.

  2. Přejděte do části Identita>Uživatelé>Všichni uživatelé.

  3. Vyberte uživatele, u kterého chcete provést akci, a vyberte Metody ověřování. V horní části okna vyberte jednu z následujících možností pro uživatele:

    • Resetuje heslo uživatele a přiřadí dočasné heslo, které se musí změnit při příštím přihlášení.
    • Vyžadovat opětovné registraci vícefaktorového ověřování deaktivuje hardwarové tokeny OATH uživatele a odstraní z tohoto uživatele následující metody ověřování: telefonní čísla, aplikace Microsoft Authenticator a softwarové tokeny OATH. V případě potřeby se uživateli při příštím přihlášení vyžádá nastavení nové metody ověřování vícefaktorového ověřování.
    • Odvolání relací vícefaktorového ověřování vymaže zapamatované relace vícefaktorového ověřování uživatele a vyžaduje, aby při příštím vyžadování zásadou na zařízení provedly vícefaktorové ověřování.

    Snímek obrazovky se správou metod ověřování v Centru pro správu Microsoft Entra

Odstranění stávajících hesel aplikací uživatelů

U uživatelů, kteří definovali hesla aplikací, se můžou správci rozhodnout také odstranit tato hesla, což způsobí selhání starší verze ověřování v těchto aplikacích. Tyto akce můžou být nezbytné, pokud potřebujete poskytnout pomoc uživateli nebo potřebujete resetovat metody ověřování. Aplikace bez prohlížeče přidružené k těmto heslovým aplikacím přestanou fungovat, dokud se nevytvořilo nové heslo aplikace.

Pokud chcete odstranit hesla aplikací uživatele, proveďte následující kroky:

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce ověřování.

  2. Přejděte do části Identita>Uživatelé>Všichni uživatelé.

  3. Vyberte Vícefaktorové ověřování. Možná se budete muset posunout doprava, aby se tato možnost nabídky zobrazila. Výběrem následujícího příkladu snímku obrazovky zobrazte celé okno a umístění nabídky: Snímek obrazovky s výběrem vícefaktorového ověřování v okně Uživatelé v ID Microsoft Entra

  4. Zaškrtněte políčko vedle uživatele nebo uživatelů, které chcete spravovat. Vpravo se zobrazí seznam možností rychlého kroku.

  5. Vyberte Spravovat uživatelská nastavení a zaškrtněte políčko Odstranit všechna existující hesla aplikací vygenerovaná vybranými uživateli, jak je znázorněno v následujícím příkladu: Snímek obrazovky s odstraněním všech existujících hesel aplikací

  6. Vyberte uložit a pak zavřete.

Související obsah