Povolení vícefaktorového ověřování Microsoft Entra pro jednotlivé uživatele za účelem zabezpečení událostí přihlašování

  • Článek

Pokud chcete zabezpečit události přihlašování uživatelů v Microsoft Entra ID, můžete vyžadovat vícefaktorové ověřování. Povolení vícefaktorového ověřování Microsoft Entra pomocí zásad podmíněného přístupu je doporučeným přístupem k ochraně uživatelů. Podmíněný přístup je funkce Microsoft Entra ID P1 nebo P2, která umožňuje použít pravidla, která vyžadují vícefaktorové ověřování podle potřeby v určitých scénářích. Pokud chcete začít používat podmíněný přístup, přečtěte si kurz : Zabezpečení událostí přihlašování uživatelů pomocí vícefaktorového ověřování Microsoft Entra.

V případě tenantů Bezplatného ID Microsoftu bez podmíněného přístupu můžete k ochraně uživatelů použít výchozí nastavení zabezpečení. Uživatelům se zobrazí výzva k zadání vícefaktorového ověřování podle potřeby, ale nemůžete definovat vlastní pravidla pro řízení chování.

V případě potřeby můžete místo toho povolit každý účet pro vícefaktorové ověřování Microsoft Entra pro jednotlivé uživatele. Když jsou uživatelé povoleni jednotlivě, provádějí vícefaktorové ověřování při každém přihlášení (s některými výjimkami, například při přihlašování z důvěryhodných IP adres nebo při zapnuté funkci MFA na důvěryhodných zařízeních ).

Změna stavů uživatelů se nedoporučuje, pokud vaše licence Microsoft Entra ID nezahrnují podmíněný přístup a nechcete používat výchozí nastavení zabezpečení. Další informace o různých způsobech povolení vícefaktorového ověřování najdete v tématu Funkce a licence pro vícefaktorové ověřování Microsoft Entra.

Důležité

Tento článek podrobně popisuje, jak zobrazit a změnit stav vícefaktorového ověřování Microsoft Entra pro jednotlivé uživatele. Pokud používáte výchozí nastavení podmíněného přístupu nebo zabezpečení, nekontrolujete nebo nepovolujete uživatelské účty pomocí tohoto postupu.

Povolení vícefaktorového ověřování Microsoft Entra prostřednictvím zásad podmíněného přístupu nemění stav uživatele. Pokud se uživatelé zobrazují jako zakázaní, nebudějte varovní. Podmíněný přístup nezmění stav.

Nepovolujte ani nevynucujte vícefaktorové ověřování Microsoft Entra pro jednotlivé uživatele, pokud používáte zásady podmíněného přístupu.

Stavy uživatelů vícefaktorového ověřování Microsoft Entra

Stav uživatele odráží, jestli je správce zaregistroval do vícefaktorového ověřování Microsoft Entra pro jednotlivé uživatele. Uživatelské účty v vícefaktorovém ověřování Microsoft Entra mají následující tři různé stavy:

Stát Popis Ovlivněné starší verze ověřování Ovlivněné aplikace prohlížeče Ovlivněné moderní ověřování
Disabled Výchozí stav uživatele, který není zaregistrovaný v vícefaktorovém ověřování Microsoft Entra pro jednotlivé uživatele. No No Ne
Povoleno Uživatel je zaregistrovaný v vícefaktorovém ověřování Microsoft Entra pro jednotlivé uživatele, ale může stále používat své heslo pro starší ověřování. Pokud uživatel ještě nezaregistroval metody vícefaktorového ověřování, zobrazí se mu výzva k registraci při příštím přihlášení pomocí moderního ověřování (například přes webový prohlížeč). Ne. Starší verze ověřování nadále funguje, dokud se proces registrace nedokončil. Ano. Po vypršení platnosti relace se vyžaduje registrace vícefaktorového ověřování Microsoft Entra. Ano. Po vypršení platnosti přístupového tokenu se vyžaduje registrace vícefaktorového ověřování Microsoft Entra.
Vynucené Uživatel je zaregistrovaný pro jednotlivé uživatele v vícefaktorovém ověřování Microsoft Entra. Pokud uživatel ještě nezaregistroval metody ověřování, zobrazí se mu výzva k registraci při příštím přihlášení pomocí moderního ověřování (například přes webový prohlížeč). Uživatelé, kteří dokončí registraci ve stavu Povoleno, se automaticky přesunou do stavu Vynuceno. Ano. Aplikace vyžadují hesla aplikací. Ano. Při přihlášení se vyžaduje vícefaktorové ověřování Microsoft Entra. Ano. Při přihlášení se vyžaduje vícefaktorové ověřování Microsoft Entra.

Všichni uživatelé začínají vypnuto. Při registraci uživatelů do vícefaktorového ověřování Microsoft Entra pro jednotlivé uživatele se jejich stav změní na Povoleno. Když se uživatelé aktivovali a dokončili proces registrace, změní se jejich stav na Vynuceno. Správa istrátory mohou přesouvat uživatele mezi stavy, včetně z Vynuceno pro povoleno nebo zakázáno.

Poznámka:

Pokud je u uživatele znovu povolené vícefaktorové ověřování pro jednotlivé uživatele a uživatel se znovu neregistruje, jeho stav vícefaktorového ověřování se v uživatelském rozhraní pro správu vícefaktorového ověřování nepřechází z povoleného na vynucené . Správce musí uživatele přesunout přímo do vynucení.

Zobrazení stavu uživatele

Tip

Postup v tomto článku se může mírně lišit v závislosti na portálu, od který začínáte.

Pokud chcete zobrazit a spravovat stavy uživatelů, proveďte následující kroky:

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň ověřovací Správa istrator.
  2. Přejděte k identitě>Uživatelé>Všichni uživatelé.
  3. Vyberte MFA pro jednotlivé uživatele. Screenshot of select multifactor authentication from the Users window in Azure AD.
  4. Otevře se nová stránka, která zobrazí stav uživatele, jak je znázorněno v následujícím příkladu. Screenshot that shows example user state information for Microsoft Entra multifactor authentication

Změna stavu uživatele

Pokud chcete pro uživatele změnit stav vícefaktorového ověřování uživatele microsoft Entra, proveďte následující kroky:

  1. Pomocí předchozích kroků zobrazíte stav uživatele, který se dostane na stránku uživatelů vícefaktorového ověřování Microsoft Entra.

  2. Vyhledejte uživatele, kterého chcete povolit pro vícefaktorové ověřování Microsoft Entra pro jednotlivé uživatele. Možná budete muset změnit zobrazení v horní části na uživatele. Select the user to change status for from the users tab

  3. Pokud chcete změnit stav uživatele, zaškrtněte políčko vedle jmen.

  4. Na pravé straně v části Rychlé kroky zvolte Povolit nebo Zakázat. V následujícím příkladu má uživatel John Smith vedle jména kontrolu a je povolený pro použití: Enable selected user by clicking Enable on the quick steps menu

    Tip

    Povolené uživatele se při registraci k vícefaktorovým ověřováním Microsoft Entra automaticky přepnou na vynucené . Neměňte ručně stav uživatele na Vynuceno , pokud není uživatel již zaregistrovaný nebo pokud je přijatelné, aby uživatel zaznamenal přerušení připojení ke starším ověřovacím protokolům.

  5. Potvrďte výběr v automaticky otevíraných otevíraných oknech, které se otevře.

Jakmile povolíte uživatele, pošlete jim e-mailem upozornění. Řekněte uživatelům, že se zobrazí výzva, aby se jim při příštím přihlášení zobrazila výzva k registraci. Pokud vaše organizace používá aplikace, které nepodporují moderní ověřování, musí také vytvářet hesla aplikací. Další informace najdete v příručce Microsoft Entra multifactor authentication end-user guide , která jim pomůže začít.

Další kroky

Informace o konfiguraci nastavení vícefaktorového ověřování Microsoft Entra najdete v tématu Konfigurace nastavení vícefaktorového ověřování Microsoft Entra.

Pokud chcete spravovat uživatelská nastavení pro vícefaktorové ověřování Microsoft Entra, přečtěte si téma Správa uživatelských nastavení pomocí vícefaktorového ověřování Microsoft Entra.

Informace o tom, proč se uživateli zobrazila výzva k provedení vícefaktorového ověřování, najdete v sestavách vícefaktorového ověřování Microsoft Entra.