Jaké metody ověřování jsou k dispozici v Azure Active Directory?

Microsoft doporučuje metody ověřování bez hesel, jako jsou Windows Hello, klíče zabezpečení FIDO2 a aplikace Microsoft Authenticator, protože poskytují nejbezpečnější prostředí pro přihlášení. I když se uživatel může přihlásit pomocí jiných běžných metod, jako je uživatelské jméno a heslo, hesla by se měla nahradit bezpečnějšími metodami ověřování.

Obrázek silných a upřednostňovaných metod ověřování v Azure AD

Azure AD Vícefaktorové ověřování (MFA) přidává další zabezpečení pouze při přihlášení uživatele pomocí hesla. Uživatel může být vyzván k zadání dalších formulářů ověřování, jako je reakce na nabízené oznámení, zadání kódu ze softwarového nebo hardwarového tokenu nebo reakce na SMS nebo telefonní hovor.

Pokud chcete zjednodušit přihlašování uživatelů a zaregistrovat se pro MFA i samoobslužné resetování hesla (SSPR), doporučujeme povolit kombinovanou registraci bezpečnostních informací. Pro zajištění odolnosti doporučujeme vyžadovat, aby uživatelé zaregistrovali více metod ověřování. Pokud jedna metoda není pro uživatele dostupná během přihlašování nebo samoobslužného resetování hesla, může se rozhodnout ověřit pomocí jiné metody. Další informace najdete v tématu Vytvoření odolné strategie správy řízení přístupu v Azure AD.

Tady je video , které jsme vytvořili, které vám pomůže vybrat nejlepší metodu ověřování, aby byla vaše organizace v bezpečí.

Síla a zabezpečení metody ověřování

Při nasazování funkcí, jako je Azure AD Multi-Factor Authentication ve vaší organizaci, zkontrolujte dostupné metody ověřování. Zvolte metody, které splňují nebo překračují vaše požadavky z hlediska zabezpečení, použitelnosti a dostupnosti. Pokud je to možné, použijte metody ověřování s nejvyšší úrovní zabezpečení.

Následující tabulka popisuje aspekty zabezpečení dostupných metod ověřování. Dostupnost značí, že uživatel může používat metodu ověřování, nikoli dostupnost služby v Azure AD:

Metoda ověřování Zabezpečení Použitelnost Dostupnost
Windows Hello pro firmy Vysoká Vysoká Vysoká
Aplikace Microsoft Authenticator Vysoká Vysoká Vysoká
Klíč zabezpečení FIDO2 Vysoká Vysoká Vysoká
Ověřování na základě certifikátů (Preview) Vysoká Vysoká Vysoká
Hardwarové tokeny OATH (Preview) Střední Střední Vysoká
Softwarové tokeny OATH Střední Střední Vysoká
SMS Střední Vysoká Střední
Hlas Střední Střední Střední
Heslo Nízká Vysoká Vysoká

Nejnovější informace o zabezpečení najdete v našich blogových příspěvcích:

Tip

Pro zajištění flexibility a použitelnosti doporučujeme používat aplikaci Microsoft Authenticator. Tato metoda ověřování poskytuje nejlepší uživatelské prostředí a více režimů, jako jsou bez hesla, nabízená oznámení MFA a kódy OATH.

Jak každá metoda ověřování funguje

Některé metody ověřování se dají použít jako primární faktor při přihlašování k aplikaci nebo zařízení, například pomocí klíče zabezpečení FIDO2 nebo hesla. Jiné metody ověřování jsou k dispozici pouze jako sekundární faktor, pokud používáte Azure AD Multi-Factor Authentication nebo SSPR.

Následující tabulka popisuje, kdy se metoda ověřování dá použít při přihlášení:

Metoda Primární ověření Sekundární ověřování
Windows Hello pro firmy Ano MFA*
Aplikace Microsoft Authenticator Ano MFA a SSPR
Klíč zabezpečení FIDO2 Ano MFA
Ověřování na základě certifikátů (Preview) Ano Ne
Hardwarové tokeny OATH (Preview) Ne MFA a SSPR
Softwarové tokeny OATH Ne MFA a SSPR
SMS Ano MFA a SSPR
Hlasový hovor Ne MFA a SSPR
Heslo Ano

* Windows Hello pro firmy sám o sobě neslouží jako krokování přihlašovacích údajů vícefaktorového ověřování. Například výzva MFA z frekvence přihlašování nebo požadavku SAML obsahující forceAuthn=true. Windows Hello pro firmy může sloužit jako krokování přihlašovacích údajů vícefaktorového ověřování pomocí ověřování FIDO2. To vyžaduje, aby uživatelé měli povolené ověřování FIDO2, aby úspěšně fungovali.

Všechny tyto metody ověřování je možné nakonfigurovat v Azure Portal a stále častěji používat rozhraní Microsoft Graph REST API.

Další informace o tom, jak jednotlivé metody ověřování fungují, najdete v následujících samostatných koncepčních článcích:

Poznámka

V Azure AD je heslo často jednou z primárních metod ověřování. Metodu ověřování heslem nemůžete zakázat. Pokud jako primární ověřovací faktor použijete heslo, zvyšte zabezpečení událostí přihlašování pomocí Azure AD Multi-Factor Authentication.

V určitých scénářích je možné použít následující další metody ověřování:

  • Hesla aplikací – používá se pro staré aplikace, které nepodporují moderní ověřování a dají se nakonfigurovat pro jednotlivé uživatele Azure AD Multi-Factor Authentication.
  • Otázky týkající se zabezpečení – používá se jenom pro samoobslužné resetování hesla
  • Email adresa – používá se jenom pro SSPR

Další kroky

Začněte tím, že si projdete kurz samoobslužného resetování hesla (SSPR) a Azure AD Multi-Factor Authentication.

Další informace o konceptech samoobslužného resetování hesla najdete v tématu Jak Azure AD samoobslužné resetování hesla funguje.

Další informace o konceptech vícefaktorového ověřování najdete v tématu Jak funguje vícefaktorové ověřování Azure AD.

Přečtěte si další informace o konfiguraci metod ověřování pomocí rozhraní MICROSOFT Graph REST API.

Pokud chcete zkontrolovat, jaké metody ověřování se používají, projděte si Azure AD analýzu metody ověřování Multi-Factor Authentication pomocí PowerShellu.