Jaké metody ověřování jsou k dispozici v Microsoft Entra ID?
Microsoft doporučuje metody ověřování bez hesla, jako jsou Windows Hello, Klíče (FIDO2) a aplikace Microsoft Authenticator, protože poskytují nejbezpečnější přihlašovací prostředí. I když se uživatel může přihlásit pomocí jiných běžných metod, jako je uživatelské jméno a heslo, hesla by se měla nahradit bezpečnějšími metodami ověřování.
Vícefaktorové ověřování Microsoftu přidává další zabezpečení jenom při přihlášení uživatele pomocí hesla. Uživatel může být vyzván k zadání dalších forem ověřování, jako je odpověď na nabízené oznámení, zadání kódu ze softwarového nebo hardwarového tokenu nebo odpověď na textovou zprávu nebo telefonní hovor.
Pokud chcete zjednodušit přihlašování uživatelů a zaregistrovat se pro vícefaktorové ověřování i samoobslužné resetování hesla (SSPR), doporučujeme povolit kombinovanou registraci bezpečnostních informací. Kvůli odolnosti doporučujeme vyžadovat, aby uživatelé zaregistrovali více metod ověřování. Pokud jedna metoda není pro uživatele dostupná během přihlašování nebo samoobslužného resetování hesla, může se rozhodnout ověřit pomocí jiné metody. Další informace naleznete v tématu Vytvoření odolné strategie řízení přístupu v Microsoft Entra ID.
Tady je video , které jsme vytvořili, které vám pomůže vybrat nejlepší metodu ověřování, aby vaše organizace byla v bezpečí.
Síla a zabezpečení metody ověřování
Při nasazování funkcí, jako je vícefaktorové ověřování Microsoft Entra ve vaší organizaci, zkontrolujte dostupné metody ověřování. Zvolte metody, které splňují nebo překračují vaše požadavky z hlediska zabezpečení, použitelnosti a dostupnosti. Pokud je to možné, používejte metody ověřování s nejvyšší úrovní zabezpečení.
Následující tabulka popisuje aspekty zabezpečení dostupných metod ověřování. Dostupnost značí, že uživatel může používat metodu ověřování, nikoli dostupnost služby v MICROSOFT Entra ID:
| Metoda ověřování | Zabezpečení | Použitelnost | Dostupnost |
|---|---|---|---|
| Windows Hello pro firmy | Vysoká | Vysoká | Vysoká |
| Microsoft Authenticator | Vysoká | Vysoká | Vysoká |
| Authenticator Lite | Vysoká | Vysoká | Vysoká |
| Klíč (FIDO2) | Vysoká | Vysoká | Vysoká |
| Ověřování pomocí certifikátů | Vysoká | Vysoká | Vysoká |
| Hardwarové tokeny OATH (Preview) | Střední | Střední | Vysoká |
| Softwarové tokeny OATH | Střední | Střední | Vysoká |
| Dočasný přístupový pass (TAP) | Střední | Vysoká | Vysoká |
| SMS | Střední | Vysoká | Střední |
| Hlasový hovor | Střední | Střední | Střední |
| Heslo | Malý zájem | Velký zájem | Vysoká |
Nejnovější informace o zabezpečení najdete v našich blogových příspěvcích:
- Je čas zavěsit při přenosu telefonních přenosů kvůli ověřování.
- Ohrožení zabezpečení ověřování a vektory útoku
Tip
Kvůli flexibilitě a použitelnosti doporučujeme používat aplikaci Microsoft Authenticator. Tato metoda ověřování poskytuje nejlepší uživatelské prostředí a více režimů, jako jsou bez hesla, nabízená oznámení MFA a kódy OATH.
Jak jednotlivé metody ověřování fungují
Některé metody ověřování se dají použít jako primární faktor při přihlášení k aplikaci nebo zařízení, jako je použití klíče zabezpečení FIDO2 nebo hesla. Jiné metody ověřování jsou k dispozici pouze jako sekundární faktor, pokud používáte vícefaktorové ověřování Microsoft Entra nebo SSPR.
Následující tabulka popisuje, kdy je možné použít metodu ověřování během události přihlášení:
| metoda | Primární ověření | Sekundární ověřování |
|---|---|---|
| Windows Hello pro firmy | Ano | MFA* |
| Microsoft Authenticator (nabízení) | No | MFA a SSPR |
| Microsoft Authenticator (bez hesla) | Ano | Ne* |
| Authenticator Lite | No | MFA |
| Klíč (FIDO2) | Ano | MFA |
| Ověřování pomocí certifikátů | Ano | MFA |
| Hardwarové tokeny OATH (Preview) | No | MFA a SSPR |
| Softwarové tokeny OATH | No | MFA a SSPR |
| Dočasný přístupový pass (TAP) | Ano | MFA |
| SMS | Ano | MFA a SSPR |
| Hlasový hovor | No | MFA a SSPR |
| Password | Yes | No |
* Windows Hello pro firmy sama o sobě neslouží jako podrobné přihlašovací údaje vícefaktorového ověřování. Například výzva MFA z frekvence přihlášení nebo požadavku SAML obsahující forceAuthn=true. Windows Hello pro firmy může sloužit jako krokování přihlašovacích údajů vícefaktorového ověřování pomocí ověřování FIDO2. To vyžaduje, aby uživatelé měli povolené ověřování FIDO2, aby úspěšně fungovali.
* Přihlášení bez hesla se dá použít pro sekundární ověřování jenom v případě, že se pro primární ověřování používá ověřování založené na certifikátech (CBA). Další informace naleznete v tématu Technické podrobné informace o ověřování založeném na certifikátech společnosti Microsoft Entra.
Všechny tyto metody ověřování je možné nakonfigurovat v Centru pro správu Microsoft Entra a stále častěji používat rozhraní Microsoft Graph REST API.
Další informace o tom, jak jednotlivé metody ověřování fungují, najdete v následujících samostatných koncepčních článcích:
- Windows Hello pro firmy
- Aplikace Microsoft Authenticator
- Klíč (FIDO2)
- Ověřování pomocí certifikátů
- Hardwarové tokeny OATH (Preview)
- Softwarové tokeny OATH
- Dočasný přístupový pass (TAP)
- Přihlášení a ověření SMS
- Ověření hlasových hovorů
- Heslo
Poznámka:
V Microsoft Entra ID je heslo často jednou z primárních metod ověřování. Metodu ověřování heslem nemůžete zakázat. Pokud jako primární ověřovací faktor použijete heslo, zvyšte zabezpečení událostí přihlašování pomocí vícefaktorového ověřování Microsoft Entra.
V určitých scénářích je možné použít následující další metody ověřování:
- Hesla aplikací – používá se pro staré aplikace, které nepodporují moderní ověřování a dají se nakonfigurovat pro vícefaktorové ověřování Microsoft Entra pro jednotlivé uživatele.
- Bezpečnostní otázky – používá se jenom pro samoobslužné resetování hesla
- E-mailová adresa – používá se jenom pro samoobslužné resetování hesla
Použitelné a nepouvatelné metody
Správa istrátory můžou zobrazit metody ověřování uživatelů v Centru pro správu Microsoft Entra. Použitelné metody jsou uvedeny jako první, následované nepouvatelnými metodami.
Každá metoda ověřování se může stát nepoužitelnou z různých důvodů. Platnost dočasného přístupového passu může například vypršet nebo může selhat ověření identity pomocí klíče zabezpečení FIDO2. Portál se aktualizuje tak, aby poskytoval důvod, proč metoda není použitelná.
Tady se zobrazí také metody ověřování, které už nejsou dostupné kvůli možnosti Vyžadovat opakované registraci vícefaktorového ověřování.
Další kroky
Začněte tím, že si prohlédnete kurz samoobslužného resetování hesla (SSPR) a vícefaktorového ověřování Microsoft Entra.
Další informace o konceptech SSPR najdete v tématu Jak funguje samoobslužné resetování hesla Microsoft Entra.
Další informace o konceptech vícefaktorového ověřování MFA najdete v tématu Jak funguje vícefaktorové ověřování Microsoftu.
Přečtěte si další informace o konfiguraci metod ověřování pomocí rozhraní Microsoft Graph REST API.
Pokud chcete zkontrolovat, jaké metody ověřování se používají, projděte si analýzu metody vícefaktorového ověřování v Microsoft Entra pomocí PowerShellu.