Udostępnij za pośrednictwem


Jak to działa: uwierzytelnianie wieloskładnikowe firmy Microsoft

Uwierzytelnianie wieloskładnikowe to proces, w którym użytkownicy są monitowani podczas procesu logowania w celu uzyskania dodatkowej formy identyfikacji, takiej jak kod na telefonie komórkowym lub skanowanie odcisku palca.

Jeśli używasz tylko hasła do uwierzytelniania użytkownika, pozostawia on niezabezpieczony wektor do ataku. Jeśli hasło jest słabe lub zostało ujawnione w innym miejscu, osoba atakująca może użyć go do uzyskania dostępu. Jeśli potrzebujesz drugiej formy uwierzytelniania, bezpieczeństwo jest zwiększane, ponieważ ten dodatkowy czynnik nie jest łatwy dla osoby atakującej w celu uzyskania lub zduplikowania.

Obraz koncepcyjny przedstawiający różne formy uwierzytelniania wieloskładnikowego.

Uwierzytelnianie wieloskładnikowe firmy Microsoft działa, wymagając co najmniej dwóch następujących metod uwierzytelniania:

  • Coś, co wiesz, zazwyczaj hasło.
  • Coś, co masz, takie jak zaufane urządzenie, które nie jest łatwo zduplikowane, jak telefon lub klucz sprzętowy.
  • Coś, co jesteś - biometryczne, takie jak odcisk palca lub skanowanie twarzy.

Uwierzytelnianie wieloskładnikowe firmy Microsoft może również dodatkowo zabezpieczyć resetowanie haseł. Gdy użytkownicy rejestrują się na potrzeby uwierzytelniania wieloskładnikowego firmy Microsoft, mogą również zarejestrować się w celu samoobsługowego resetowania hasła w jednym kroku. Administratorzy mogą wybierać formy uwierzytelniania pomocniczego i konfigurować wyzwania dla uwierzytelniania wieloskładnikowego w oparciu o decyzje dotyczące konfiguracji.

Nie musisz zmieniać aplikacji i usług w celu korzystania z uwierzytelniania wieloskładnikowego firmy Microsoft. Monity weryfikacji są częścią logowania firmy Microsoft Entra, który automatycznie żąda i przetwarza wyzwanie uwierzytelniania wieloskładnikowego w razie potrzeby.

Uwaga

Język monitu jest określany przez ustawienia regionalne przeglądarki. Jeśli używasz niestandardowych powitań, ale nie masz go dla języka zidentyfikowanego w ustawieniach regionalnych przeglądarki, język angielski jest używany domyślnie. Serwer zasad sieciowych (NPS) będzie zawsze używać języka angielskiego domyślnie, niezależnie od niestandardowych powitań. Język angielski jest również używany domyślnie, jeśli nie można zidentyfikować ustawień regionalnych przeglądarki.

Ekran logowania uwierzytelniania wieloskładnikowego.

Dostępne metody weryfikacji

Gdy użytkownicy logują się do aplikacji lub usługi i otrzymują monit uwierzytelniania wieloskładnikowego, mogą wybrać jedną z zarejestrowanych formularzy dodatkowej weryfikacji. Użytkownicy mogą uzyskiwać dostęp do mojego profilu , aby edytować lub dodawać metody weryfikacji.

Następujące dodatkowe formy weryfikacji mogą być używane z uwierzytelnianiem wieloskładnikowym firmy Microsoft:

  • Microsoft Authenticator
  • Authenticator Lite (w programie Outlook)
  • Windows Hello for Business
  • Klucz dostępu (FIDO2)
  • Klucz dostępu w aplikacji Microsoft Authenticator (wersja zapoznawcza)
  • Uwierzytelnianie oparte na certyfikatach (po skonfigurowaniu na potrzeby uwierzytelniania wieloskładnikowego)
  • Metody uwierzytelniania zewnętrznego (wersja zapoznawcza)
  • Dostęp tymczasowy (TAP)
  • Token sprzętowy OATH (wersja zapoznawcza)
  • Token oprogramowania OATH
  • SMS
  • Połączenie głosowe

Jak włączyć i używać uwierzytelniania wieloskładnikowego firmy Microsoft

Wartości domyślne zabezpieczeń można używać w dzierżawach firmy Microsoft Entra, aby szybko włączyć aplikację Microsoft Authenticator dla wszystkich użytkowników. Możesz włączyć uwierzytelnianie wieloskładnikowe firmy Microsoft, aby monitować użytkowników i grupy o dodatkową weryfikację podczas logowania.

Aby uzyskać bardziej szczegółowe mechanizmy kontroli, można użyć zasad dostępu warunkowego do zdefiniowania zdarzeń lub aplikacji, które wymagają uwierzytelniania wieloskładnikowego. Te zasady mogą zezwalać na regularne logowanie, gdy użytkownik znajduje się w sieci firmowej lub zarejestrowanym urządzeniu, ale monituje o dodatkowe czynniki weryfikacyjne, gdy użytkownik jest zdalny lub na urządzeniu osobistym.

Diagram przedstawiający sposób działania dostępu warunkowego w celu zabezpieczenia procesu logowania.

Następne kroki

Aby dowiedzieć się więcej na temat licencjonowania, zobacz Funkcje i licencje na potrzeby uwierzytelniania wieloskładnikowego firmy Microsoft.

Aby dowiedzieć się więcej na temat różnych metod uwierzytelniania i walidacji, zobacz Metody uwierzytelniania w usłudze Microsoft Entra ID.

Aby wyświetlić uwierzytelnianie wieloskładnikowe usługi MFA, włącz uwierzytelnianie wieloskładnikowe firmy Microsoft dla zestawu użytkowników testowych w następującym samouczku: