Metody ověřování v Microsoft Entra ID – aplikace Microsoft Authenticator
Aplikace Microsoft Authenticator poskytuje další úroveň zabezpečení pracovního nebo školního účtu Microsoft Entra nebo vašeho účtu Microsoft a je k dispozici pro Android a iOS. S aplikací Microsoft Authenticator se uživatelé můžou během přihlašování ověřovat bez hesla nebo jinou možnost ověřování při samoobslužném resetování hesla (SSPR) nebo událostech vícefaktorového ověřování.
Pro ověřování uživatelů teď můžete použít přístupové klíče. Uživatelé pak můžou prostřednictvím své mobilní aplikace obdržet oznámení o schválení nebo zamítnutí ověřovací aplikace Authenticator za účelem vygenerování ověřovacího kódu OATH. Tento kód se pak dá zadat v přihlašovacím rozhraní. Pokud povolíte oznámení i ověřovací kód, můžou uživatelé, kteří zaregistrují aplikaci Authenticator, k ověření identity pomocí přístupových klíčů použít některou metodu.
Poznámka:
Při přípravě podpory klíče v Aplikaci Microsoft Authenticator se uživatelům může v zařízeních s iOSem a Androidem zobrazit ověřovací program jako poskytovatel klíče. Další informace najdete v tématu Přihlášení pomocí klíče (Preview).
Pokud chcete aplikaci Authenticator použít při výzvě k přihlášení místo kombinace uživatelského jména a hesla, přečtěte si téma Povolení přihlašování bez hesla pomocí aplikace Microsoft Authenticator.
Poznámka:
- Uživatelé nemají možnost zaregistrovat si svou mobilní aplikaci, když povolí samoobslužné resetování hesla. Místo toho mohou uživatelé zaregistrovat svou mobilní aplikaci v https://aka.ms/mfasetup kombinované registraci bezpečnostních údajů nebo jako součást kombinované registrace bezpečnostních údajů na adrese https://aka.ms/setupsecurityinfo.
- Aplikace Authenticator nemusí být podporována v beta verzích iOSu a Androidu. Kromě toho od 20. října 2023 aplikace Authenticator v Androidu už nepodporuje starší verze Portál společnosti Androidu. Uživatelé Androidu s Portál společnosti verzemi nižšími než 2111 (5.0.5333.0) se nemůžou znovu zaregistrovat nebo zaregistrovat nové instance Authenticatoru, dokud neaktualizují svou Portál společnosti aplikaci na novější verzi.
Přihlášení pomocí klíče (Preview)
Authenticator je bezplatné řešení pro klíč, které umožňuje uživatelům provádět ověřování odolná proti útokům phishing bez hesla ze svých vlastních telefonů. Některé klíčové výhody použití přístupových klíčů v aplikaci Authenticator:
- Přístupové klíče je možné snadno nasadit ve velkém měřítku. Pak jsou přístupové klíče k dispozici na telefonu uživatele pro scénáře správy mobilních zařízení (MDM) i přineste si vlastní zařízení (BYOD).
- Přístupové klíče v Authenticatoru jsou bez dalších nákladů a cestují s uživatelem bez ohledu na to, kam jdou.
- Klíče v authenticatoru jsou vázané na zařízení, což zajišťuje, že klíč neopustí zařízení, na kterém bylo vytvořeno.
- Uživatelé zůstávají v aktualizovaném stavu díky nejnovějším inovacím založeným na otevřených standardech WebAuthn.
- Podniky můžou vrstvit další funkce nad toky ověřování, jako je dodržování předpisů FIPS 140.
Klíč vázaný na zařízení
Klíče v aplikaci Authenticator jsou vázané na zařízení, aby se zajistilo, že nikdy neopustí zařízení, na které byly vytvořené. Na zařízení s iOSem používá Authenticator k vytvoření klíče zabezpečený enklávu. V Androidu vytvoříme klíč v zabezpečeném elementu na zařízeních, která ho podporují, nebo se vrátíme do důvěryhodného spouštěcího prostředí (TEE).
Jak funguje ověřování pomocí klíče s authenticatorem
Prozatím jsou klíče v Authenticatoru neotestované. Podpora ověření identity pro klíče v authenticatoru se plánuje pro budoucí verzi.
Zálohování a obnovení přístupových klíčů v Authenticatoru
Klíče v Authenticatoru se nezazálohují a nejde je obnovit na novém zařízení. Pokud chcete vytvořit klíče na novém zařízení, použijte klíč na starším zařízení nebo k opětovnému vytvoření klíče použijte jinou metodu ověřování.
Přihlášení bez hesla
Místo zobrazení výzvy k zadání hesla po zadání uživatelského jména se uživatelům, kteří povolí přihlášení telefonem z aplikace Authenticator, zobrazí ve své aplikaci zprávu o zadání čísla. Po výběru správného čísla se proces přihlášení dokončí.
Tato metoda ověřování poskytuje vysokou úroveň zabezpečení a eliminuje potřebu, aby uživatel zadal heslo při přihlášení.
Pokud chcete začít s přihlašováním bez hesla, přečtěte si téma Povolení přihlašování bez hesla pomocí aplikace Microsoft Authenticator.
Oznámení přes mobilní aplikaci
Aplikace Authenticator pomáhá zabránit neoprávněnému přístupu k účtům a zastavit podvodné transakce tím, že odešle oznámení na smartphone nebo tablet. Uživatelům se zobrazí oznámení a pokud je legitimní, vyberte Ověřit. Jinak můžou vybrat Odepřít.
Poznámka:
Od srpna 2023 negenerují neobvyklá přihlášení oznámení podobně jako přihlášení z neznámých umístění oznámení. Pokud chcete schválit neobvyklé přihlášení, můžou uživatelé otevřít Microsoft Authenticator nebo Authenticator Lite v relevantní doprovodné aplikaci, jako je Outlook. Pak si můžou buď stáhnout aktualizaci, nebo klepnout na Aktualizovat a žádost schválit.
V Číně nefunguje oznámení prostřednictvím metody mobilní aplikace na zařízeních s Androidem, protože v dané oblasti jsou zablokované služby Google Play (včetně nabízených oznámení). Oznámení iOSu ale fungují. U zařízení s Androidem by měly být pro tyto uživatele zpřístupněny alternativní metody ověřování.
Ověřovací kód z mobilní aplikace
Aplikaci Authenticator je možné použít jako softwarový token k vygenerování ověřovacího kódu OATH. Po zadání uživatelského jména a hesla zadáte kód poskytnutý aplikací Authenticator do přihlašovacího rozhraní. Ověřovací kód poskytuje druhý způsob ověřování.
Poznámka:
Ověřovací kódy OATH vygenerované službou Authenticator nejsou podporované pro ověřování založené na certifikátech.
Uživatelé můžou mít kombinaci až pěti hardwarových tokenů OATH nebo ověřovacích aplikací, jako je aplikace Authenticator, nakonfigurovaných pro použití kdykoli.
Kompatibilní se standardem FIPS 140 pro ověřování Microsoft Entra
V souladu s pokyny popsanými v NIST SP 800-63B jsou ověřovací znaky používané vládními úřady USA nutné k používání ověřené kryptografie FIPS 140. Tento návod pomáhá vládním agenturám USA splňovat požadavky výkonného řádu (EO) 14028. Kromě toho tento návod pomáhá ostatním regulovaným odvětvím, jako jsou zdravotnické organizace pracující s elektronickými předpisy pro řízené látky (EPCS), splňovat své zákonné požadavky.
FIPS 140 je standard státní správy USA, který definuje minimální požadavky na zabezpečení kryptografických modulů v produktech a systémech informačních technologií. Ověřovací program kryptografického modulu (CMVP) udržuje testování na standardu FIPS 140.
Microsoft Authenticator pro iOS
Počínaje verzí 6.6.8 používá Microsoft Authenticator pro iOS nativní modul Apple CoreCrypto pro kryptografii ověřenou fiPS na zařízeních kompatibilních se standardem Apple iOS FIPS 140. Všechna ověřování Microsoft Entra využívající přístupové klíče vázané na zařízení, nabízená vícefaktorová ověřování (MFA), přihlašování bez hesla (PSI) a jednorázové hesla (TOTP) používají kryptografii FIPS.
Další informace o používaných kryptografických modulech s iOSem ověřených standardem FIPS 140 najdete v tématu Certifikace zabezpečení Apple iOS.
Poznámka:
V nových aktualizacích z předchozí verze tohoto článku: Microsoft Authenticator zatím není kompatibilní se standardem FIPS 140 na Androidu. Microsoft Authenticator v Androidu v současné době čeká na certifikaci dodržování předpisů FIPS, která podporuje naše zákazníky, kteří mohou vyžadovat ověřenou kryptografii FIPS.
Určení typu registrace aplikace Microsoft Authenticator v bezpečnostních údajích
Uživatelé můžou získat přístup k mým bezpečnostním údajům (viz adresy URL v další části) nebo výběrem bezpečnostních údajů z účtu MyAccount pro správu a přidání dalších registrací microsoft Authenticatoru. Konkrétní ikony se používají k rozlišení, jestli je registrace microsoft Authenticatoru bez hesla přihlášení k telefonu nebo vícefaktorové ověřování.
| Typ registrace authenticatoru | Ikona |
|---|---|
| Microsoft Authenticator: Přihlášení telefonem bez hesla |  |
| Microsoft Authenticator: (oznámení/kód) |  |
Odkazy MySecurityInfo
| Cloud | MySecurityInfo URL |
|---|---|
| Komerční azure (včetně GCC) | https://aka.ms/MySecurityInfo |
| Azure pro státní správu USA (včetně GCC High a DoD) | https://aka.ms/MySecurityInfo-us |
Aktualizace do Authenticatoru
Microsoft průběžně aktualizuje Authenticator, aby zachoval vysokou úroveň zabezpečení. Pokud chcete zajistit, aby vaši uživatelé získali co nejlepší možnosti, doporučujeme, aby si aplikaci Authenticator průběžně aktualizovali. V případě důležitých aktualizací zabezpečení můžou verze aplikací, které nejsou aktuální, přestat fungovat a můžou uživatelům zablokovat dokončení ověřování. Pokud uživatel používá verzi aplikace, která není podporovaná, zobrazí se mu výzva k upgradu na nejnovější verzi, než bude moct pokračovat v ověřování.
Microsoft také pravidelně vyřadí starší verze aplikace Authenticator, aby se zachoval vysoký bezpečnostní pruh pro vaši organizaci. Pokud zařízení uživatele nepodporuje moderní verze aplikace Microsoft Authenticator, nemůžou se k aplikaci přihlásit. K dokončení dvoufaktorového ověřování doporučujeme, aby tito uživatelé používali ověřovací kód OATH v aplikaci Microsoft Authenticator.
Další kroky
Pokud chcete začít s klíči, přečtěte si téma Povolení přístupových klíčů v přihlášení k Microsoft Authenticatoru (Preview).
Další informace o přihlašování bez hesla najdete v tématu Povolení přihlašování bez hesla pomocí aplikace Microsoft Authenticator.
Přečtěte si další informace o konfiguraci metod ověřování pomocí rozhraní Microsoft Graph REST API.