Konfigurace metod vícefaktorového ověřování

  • 6 min

Jak jsme zmínili dříve v tomto modulu, doporučujeme, aby uživatelé mohli vybrat více než jednu metodu ověřování v případě, že jejich primární metoda není dostupná.

Když se uživatel poprvé přihlásí ke službě, která vyžaduje vícefaktorové ověřování, zobrazí se výzva k registraci preferované metody vícefaktorového ověřování, jak je znázorněno na následujícím snímku obrazovky:

Snímek obrazovky znázorňující informace o registraci

Tip

Pokud jste postupovali podle předchozího cvičení a zapnuli vícefaktorové ověřování pro účet a aplikaci, můžete zkusit získat přístup k této aplikaci pomocí daného uživatelského účtu. Měl by se zobrazit předchozí tok.

Po registraci se při každém přihlášení uživatelů ke službě nebo aplikaci, která vyžaduje vícefaktorové ověřování, zobrazí přihlašovací proces Azure výzvu k zadání ověřovacích informací, jak je znázorněno na následujícím obrázku:

Snímek obrazovky znázorňující žádost o další ověřovací informace prostřednictvím jedné ze čtyř metod

Metody ověřování Azure

Jak jste viděli dříve, existuje několik možných metod ověřování, které může správce nastavit. Některé z nich také podporují samoobslužné resetování hesla (SSPR), které uživatelům umožňuje resetovat heslo zadáním sekundární formy ověřování. Tuto službu můžete spojit s vícefaktorovým ověřováním Microsoft Entra, abyste usnadnili zátěž pracovníkům IT.

V následující tabulce jsou uvedené metody ověřování a služby, které je mohou používat.

Metoda ověřování Služby
Heslo Vícefaktorové ověřování Microsoft Entra a SSPR
Bezpečnostní otázky SSPR
E-mailová adresa SSPR
Windows Hello pro firmy Vícefaktorové ověřování Microsoft Entra a SSPR
Klíč zabezpečení FIDO2 Vícefaktorové ověřování Microsoft Entra a SSPR
Aplikace Microsoft Authenticator Vícefaktorové ověřování Microsoft Entra a SSPR
Hardwarový token OATH Vícefaktorové ověřování Microsoft Entra a SSPR
Softwarový token OATH Vícefaktorové ověřování Microsoft Entra a SSPR
Textová zpráva Vícefaktorové ověřování Microsoft Entra a SSPR
Hlasový hovor Vícefaktorové ověřování Microsoft Entra a SSPR
Hesla aplikací Vícefaktorové ověřování Microsoft Entra v určitých případech

Heslo

Tato metoda je jediná, kterou nemůžete zakázat.

Bezpečnostní otázky

Tato metoda je k dispozici pouze pro účty bez oprávnění správce, které používají samoobslužné resetování hesla.

  • Azure ukládá bezpečnostní otázky soukromě a zabezpečeným způsobem do objektu uživatele v adresáři. Na otázky můžou odpovědět jenom uživatelé a pouze během registrace. Správce nemůže přečíst nebo změnit otázky nebo odpovědi uživatele.

  • Azure nabízí 35 předdefinovaných otázek. Všechny jsou přeložené a lokalizované na základě národního prostředí prohlížeče.

  • Otázky můžete přizpůsobit pomocí rozhraní pro správu. Azure je zobrazí v zadaném jazyce. Maximální délka je 200 znaků.

E-mailová adresa

Tato metoda je k dispozici pouze u samoobslužného resetování hesla (SSPR). Doporučujeme, abyste se vyhnuli použití e-mailového účtu, který nevyžaduje přístup k heslu Microsoft Entra uživatelům.

Windows Hello pro firmy

Windows Hello pro firmy poskytuje spolehlivé, plně integrované biometrické ověřování na základě rozpoznávání obličeje nebo párování otisků prstů. Windows Hello pro firmy, klíče zabezpečení FIDO2 a Microsoft Authenticator jsou řešení bez hesla.

Klíče zabezpečení FIDO2

Klíče zabezpečení FIDO2 jsou nešifrovatelné, založené na standardech a metodu ověřování bez hesla, která může přijít v jakémkoliv provedení. Fast Identity Online (FIDO) je otevřený standard pro ověřování bez hesla.

Uživatelé se můžou zaregistrovat a pak jako hlavní způsob ověřování vybrat klíč zabezpečení FIDO2 v přihlašovacím rozhraní. Tyto klíče zabezpečení FIDO2 jsou obvykle usb zařízení, ale můžou také používat Bluetooth nebo NFC.

Klíče zabezpečení FIDO2 se dají použít k přihlášení k jejich ID Microsoft Entra nebo k hybridním zařízením s Windows 10 připojeným k Microsoft Entra. Můžou získat jednotné přihlašování ke svým cloudovým a místním prostředkům. Uživatelé se také můžou přihlásit k podporovaným prohlížečům.

Aplikace Microsoft Authenticator

Tato metoda je k dispozici pro systémy Android a iOS. Uživatelé si tady můžou zaregistrovat svou mobilní aplikaci.

  • Aplikace Microsoft Authenticator pomáhá zabránit neoprávněnému přístupu k účtům. Nasdílí oznámení, které pomáhá zastavit podvodné transakce na váš smartphone nebo tablet. Uživatelé si zobrazí oznámení a potvrdí nebo zamítnou žádost.

  • Uživatelé mohou k vytvoření ověřovacího kódu OATH použít jako softwarový token aplikaci Microsoft Authenticator nebo aplikaci třetí strany. Jakmile uživatel zadá uživatelské jméno a heslo, uživatel zadá kód poskytnutý aplikací na přihlašovací obrazovce. Ověřovací kód poskytuje druhý způsob ověřování. Uživatelé můžou také nastavit aplikaci Microsoft Authenticator tak, aby doručili nabízené oznámení, že ho vyberou a schválí, aby se přihlásili.

Hardwarové tokeny OATH

OATH je otevřený standard, který určuje, jak se mají generovat jednorázová hesla. Microsoft Entra ID podporuje použití tokenů OATH-TOTP SHA-1 30sekundových nebo 60sekundových. Zákazníci mohou tyto tokeny získat od dodavatele dle svého výběru. Tajné klíče jsou omezené na 128 znaků, což nemusí být kompatibilní se všemi tokeny.

Softwarové tokeny OATH

Softwarové tokeny OAUTH jsou obvykle aplikace, jako jsou aplikace Microsoft Authenticator a další ověřovací aplikace. Microsoft Entra ID vygeneruje tajný kód, neboli seed, který se vloží do aplikace a použije k vygenerování jednorázového hesla.

Textová zpráva

Azure pošle ověřovací kód na mobilní telefon pomocí SMS. Aby bylo možné pokračovat, musí uživatel do prohlížeče v zadaném časovém období zadat tento kód.

Hlasový hovor

K volání tohoto čísla používá Azure automatizovaný hlasový systém. Vlastník použije k potvrzení ověření klávesnici. Tato možnost není dostupná pro bezplatnou nebo zkušební úroveň Microsoft Entra.

Heslo aplikace

Některé aplikace mimo prohlížeč nepodporují vícefaktorové ověřování Microsoft Entra. Pokud jsou uživatelé povoleni pro vícefaktorové ověřování Microsoft Entra a pokusí se používat nepovolené aplikace, nemůžou se ověřit. Heslo aplikace umožňuje uživatelům pokračovat k ověřování.

Adaptace Sledování

Id Microsoft Entra obsahuje zobrazení Využití a přehledy v části Monitorování , kde můžete monitorovat aktivitu metod ověřování. Tady si můžete prohlédnout využití MFA a SSPR:

Snímek obrazovky zobrazující zobrazení metrik pro vícefaktorové ověřování

Kromě celkových čísel o registracích tady můžete vidět úspěšné a neúspěšné registrace pro jednotlivé metody ověřování. Tato skutečnost vám umožňuje pochopit, které metody ověřování uživatelé nejčastěji zaregistrovali a které metody jsou pro ně snadné zaregistrovat. Tato data se počítají pomocí protokolů auditu z informací registrací kombinovaného zabezpečení a registrací samoobslužného resetování hesla za posledních 30 dnů.

Kliknutím na graf můžete přejít k podrobnostem a zobrazit nejnovější informace o auditu registrace pro každého uživatele.

Snímek obrazovky s podrobnostmi o registraci

Další informace o využití SSPR ve vaší organizaci najdete také na kartě Využití v hlavním zobrazení, jak je znázorněno na následujícím obrázku:

Snímek obrazovky znázorňující metriky využití SSPR

Kontrola znalostí

1.

Které z následujících metod ověřování nejsou k dispozici pro MFA?

2.

Která z následujících metod ověřování se nedá zakázat?

3.

Ano nebo ne Pro všechny uživatele v adresáři, ve které ho povolíte, musíte aktivovat vícefaktorové ověřování.