Nejčastější dotazy ohledně vícefaktorového ověřování Microsoft Entra

U serveru Multi-Factor Authentication se uživatelská data ukládají jenom na místních serverech. V cloudu se neukládají žádná trvalá data. Když uživatel provede dvoustupňové ověření, Multi-Factor Authentication Server odešle data do cloudové služby vícefaktorového ověřování Microsoft Entra pro ověřování. Komunikace mezi multi-Factor Authentication Serverem a cloudovou službou pro vícefaktorové ověřování používá protokol SSL (Secure Sockets Layer) nebo TLS (Transport Layer Security) přes odchozí port 443.

Při odesílání žádostí o ověření do cloudové služby se shromažďují data pro sestavy ověřování a využití. V protokolech dvoustupňového ověřování jsou zahrnuta následující datová pole:

• Jedinečné ID (uživatelské jméno nebo místní ID serveru Multi-Factor Authentication)
• Jméno a příjmení (volitelné)
• E-mailová adresa (volitelné)
• Telefon Číslo (při použití hlasového hovoru nebo ověřování pomocí textové zprávy)
• Token zařízení (při ověřování mobilní aplikace)
• Režim ověřování
• Výsledek ověřování
• Název serveru Multi-Factor Authentication
• IP adresa serveru Multi-Factor Authentication
• IP adresa klienta (pokud je k dispozici)

Volitelná pole je možné nakonfigurovat na multi-Factor Authentication Serveru.

Výsledek ověření (úspěch nebo odepření) a důvod, proč byl odepřen, se uloží s ověřovacími daty. Tato data jsou k dispozici v sestavách ověřování a využití.

Další informace naleznete v tématu Rezidence dat a zákaznická data pro vícefaktorové ověřování Microsoft Entra.

V USA používáme následující krátké kódy:

• 97671
• 69829
• 51789
• 99399

V Kanadě používáme následující krátké kódy:

• 759731
• 673801

Neexistuje žádná záruka konzistentního doručování textových zpráv nebo vícefaktorového ověřování s vícefaktorovým ověřováním podle stejného čísla. V zájmu našich uživatelů můžeme kdykoli přidávat nebo odebírat krátké kódy, protože provádíme úpravy tras, abychom zlepšili dostupnost textových zpráv.

Nepodporujeme krátké kódy pro země nebo oblasti kromě USA a Kanady.

Ano, v některých případech, které obvykle zahrnují opakované žádosti o ověření v krátkém časovém intervalu, vícefaktorové ověřování Microsoftu omezí pokusy o přihlášení uživatelů k ochraně telekomunikačních sítí, zmírnění útoků ve stylu únavy vícefaktorového ověřování a ochranu vlastních systémů pro výhody všech zákazníků.

I když nesdílíme konkrétní limity omezování, vycházejí z přiměřeného využití.

Ne, neúčtují se vám jednotlivé telefonní hovory ani textové zprávy odeslané uživatelům prostřednictvím vícefaktorového ověřování Microsoft Entra. Pokud používáte zprostředkovatele vícefaktorového ověřování podle ověřování, účtuje se vám každé ověřování, ale ne za použitou metodu.

Uživatelům se můžou účtovat telefonní hovory nebo textové zprávy, které obdrží, podle jejich osobní telefonní služby.

Fakturace vychází z počtu uživatelů nakonfigurovaných pro použití vícefaktorového ověřování bez ohledu na to, jestli tento měsíc provedli dvoustupňové ověření.

Když vytvoříte poskytovatele MFA pro jednotlivé uživatele nebo ověřování, bude se předplatné Azure vaší organizace účtovat měsíčně na základě využití. Tento fakturační model se podobá tomu, jak Azure účtuje využití virtuálních počítačů a Web Apps.

Při nákupu předplatného pro vícefaktorové ověřování Microsoft Entra platí vaše organizace pouze roční licenční poplatek za každého uživatele. Licence MFA a sady Microsoft 365, Microsoft Entra ID P1 nebo P2 nebo Enterprise Mobility + Security se účtují tímto způsobem.

Další informace naleznete v tématu Jak získat vícefaktorové ověřování Microsoft Entra.

Výchozí nastavení zabezpečení je možné povolit na úrovni Microsoft Entra ID Free. Ve výchozím nastavení zabezpečení jsou všichni uživatelé povoleni pro vícefaktorové ověřování pomocí aplikace Microsoft Authenticator. U výchozích hodnot zabezpečení není možné používat textové zprávy ani ověření telefonu, jenom aplikaci Microsoft Authenticator.

Další informace najdete v tématu Co jsou výchozí hodnoty zabezpečení?

Pokud vaše organizace zakoupí vícefaktorové ověřování jako samostatnou službu s fakturací založenou na spotřebě, zvolíte model fakturace při vytváření poskytovatele MFA. Fakturační model nemůžete po vytvoření poskytovatele MFA změnit.

Pokud váš poskytovatel MFA není propojený s tenantem Microsoft Entra nebo nový poskytovatel MFA propojíte s jiným tenantem Microsoft Entra, uživatelským nastavením a možnostmi konfigurace se nepřenesou. Stávající servery MFA je také potřeba znovu aktivovat pomocí přihlašovacích údajů aktivace vygenerovaných prostřednictvím nového zprostředkovatele MFA. Opětovná aktivace MFA Serverů za účelem jejich propojení s novým poskytovatelem MFA nemá vliv na ověřování pomocí telefonního hovoru a textové zprávy, ale do opětovné aktivace mobilní aplikace přestanou pro všechny uživatele fungovat oznámení mobilní aplikace.

Přečtěte si další informace o poskytovatelích vícefaktorového ověřování MFA v tématu Začínáme s poskytovatelem vícefaktorového ověřování Azure.

V některých případech ano.

Pokud má váš adresář poskytovatele vícefaktorového ověřování Microsoft Entra pro jednotlivé uživatele , můžete přidat licence MFA. Uživatelé s licencemi se do fakturace založené na spotřebě jednotlivých uživatelů nezapočítávají. Uživatelům bez licencí je stále možné povolit vícefaktorové ověřování prostřednictvím poskytovatele MFA. Pokud zakoupíte a přiřadíte licence všem uživatelům nakonfigurovaným pro použití vícefaktorového ověřování, můžete odstranit poskytovatele vícefaktorového ověřování Microsoft Entra. Pokud v budoucnu máte více uživatelů než licencí, můžete vždy vytvořit jiného poskytovatele vícefaktorového ověřování pro jednotlivé uživatele.

Pokud má váš adresář poskytovatele vícefaktorového ověřování Microsoft Entra pro ověřování , vždy se vám účtuje každé ověřování, pokud je poskytovatel vícefaktorového ověřování propojený s vaším předplatným. Licence vícefaktorového ověřování můžete přiřadit uživatelům, ale stále se vám budou účtovat všechny žádosti o dvoustupňové ověření bez ohledu na to, jestli pochází od někoho, kdo má přiřazenou licenci MFA, nebo ne.

Pokud vaše organizace používá fakturační model založený na spotřebě, je ID Microsoft Entra volitelné, ale nevyžaduje se. Pokud váš poskytovatel MFA není propojený s tenantem Microsoft Entra, můžete nasadit pouze místní Azure Multi-Factor Authentication Server.

Pro licenční model se vyžaduje ID Microsoft Entra, protože licence se při nákupu přidají do tenanta Microsoft Entra a přiřadí je uživatelům v adresáři.

Požádejte uživatele, aby se během 5 minut pokusili získat telefonní hovor nebo textovou zprávu pro ověření. Microsoft používá k doručování hovorů a textových zpráv více poskytovatelů. Pokud tento přístup nefunguje, otevřete případ podpory pro další řešení potíží.

Bezpečnostní aplikace třetích stran můžou také blokovat textovou zprávu ověřovacího kódu nebo telefonní hovor. Pokud používáte aplikaci zabezpečení třetí strany, zkuste ochranu zakázat a pak požádat o odeslání dalšího ověřovacího kódu vícefaktorového ověřování.

Pokud výše uvedený postup nefunguje, zkontrolujte, jestli jsou uživatelé nakonfigurovaní pro více než jednu metodu ověření. Zkuste se znovu přihlásit, ale na přihlašovací stránce vyberte jinou metodu ověření.

Další informace najdete v průvodci odstraňováním potíží s koncovým uživatelem.

Účet uživatele můžete resetovat tak, že ho znovu provedete procesem registrace. Přečtěte si další informace o správě nastavení uživatelů a zařízení pomocí vícefaktorového ověřování Microsoft Entra v cloudu.

Pokud chcete zabránit neoprávněnému přístupu, odstraňte všechna hesla aplikací uživatele. Jakmile má uživatel náhradní zařízení, může znovu vytvořit hesla. Přečtěte si další informace o správě nastavení uživatelů a zařízení pomocí vícefaktorového ověřování Microsoft Entra v cloudu.

Pokud vaše organizace stále používá starší klienty a povolili jste používání hesel aplikací, nemůžou se uživatelé přihlásit k těmto starším klientům pomocí svého uživatelského jména a hesla. Místo toho musí nastavit hesla aplikací. Vaši uživatelé musí vymazat (odstranit) přihlašovací údaje, restartovat aplikaci a pak se přihlásit pomocí uživatelského jména a hesla aplikace místo svého běžného hesla .

Pokud vaše organizace nemá starší klienty, neměli byste uživatelům povolit vytváření hesel aplikací.

Doručování textových zpráv není zaručeno, protože neovládnutelné faktory můžou ovlivnit spolehlivost služby. Mezi tyto faktory patří cílová země nebo oblast, mobilní telefonní operátor a síla signálu.

Bezpečnostní aplikace třetích stran můžou také blokovat textovou zprávu ověřovacího kódu nebo telefonní hovor. Pokud používáte aplikaci zabezpečení třetí strany, zkuste ochranu zakázat a pak požádat o odeslání dalšího ověřovacího kódu vícefaktorového ověřování.

Pokud mají uživatelé často problémy se spolehlivým příjmem textových zpráv, řekněte jim, aby místo toho používali aplikaci Microsoft Authenticator nebo metodu telefonního hovoru. Microsoft Authenticator může přijímat oznámení prostřednictvím mobilních i wi-fi připojení. Mobilní aplikace navíc může generovat ověřovací kódy i v případě, že zařízení nemá vůbec žádný signál. Aplikace Microsoft Authenticator je k dispozici pro Android, iOS a Windows Phone.

V některých případech ano.

U jednosměrné SMS s MFA Serverem verze 7.0 nebo vyšším můžete nakonfigurovat nastavení časového limitu nastavením klíče registru. Jakmile cloudová služba MFA odešle textovou zprávu, vrátí se ověřovací kód (nebo jednorázové heslo) na MFA Server. MFA Server ve výchozím nastavení ukládá kód do paměti po dobu 300 sekund. Pokud uživatel nezadá kód před uplynutím 300 sekund, ověření se odepře. Pomocí těchto kroků můžete změnit výchozí nastavení časového limitu:

1. Umožňuje přejít na HKLM\Software\Wow6432Node\Positive Networks\PhoneFactor.
2. Vytvořte klíč registru DWORD s názvem pfsvc_pendingSmsTimeoutSeconds a nastavte čas v sekundách, ve které má MFA Server ukládat jednorázové heslo.

Pokud uživatelé nereagují na SMS v rámci definovaného časového limitu, jejich ověřování se odepře.

U jednosměrné sms s vícefaktorovým ověřováním Microsoft Entra v cloudu (včetně adaptéru SLUŽBY AD FS nebo rozšíření serveru síťových zásad) nemůžete nakonfigurovat nastavení časového limitu. ID Microsoft Entra ukládá ověřovací kód po dobu 180 sekund.

Pokud používáte Multi-Factor Authentication Server, můžete importovat tokeny STP (Open Authentication), jednorázové heslo (TOTP) třetích stran a pak je použít k dvoustupňovému ověření.

Tokeny ActiveIdentity, které jsou tokeny OATH TOTP, můžete použít, pokud vložíte tajný klíč do souboru CSV a naimportujete ho na Multi-Factor Authentication Server. Tokeny OATH můžete používat s ověřováním založeným na formulářích Active Directory Federation Services (AD FS) (ADFS), internetovém informačním serveru (IIS) a službou RADIUS (Remote Authentication Dial-In User Service), pokud klientský systém může přijímat vstup uživatele.

Tokeny OATH TOTP od třetích stran můžete importovat pomocí následujících formátů:

• Kontejner přenosných symetrických klíčů (PSKC)
• CSV, pokud soubor obsahuje sériové číslo, tajný klíč ve formátu Base 32 a časový interval

Ano, ale pokud používáte Windows Server 2012 R2 nebo novější, můžete terminálové služby zabezpečit jenom pomocí brány vzdálené plochy (brána VP).

Změny zabezpečení ve Windows Serveru 2012 R2 změnily způsob připojení Multi-Factor Authentication Serveru k balíčku zabezpečení LSA (Local Security Authority) ve Windows Serveru 2012 a starších verzích. Pro verze Terminálové služby ve Windows Serveru 2012 nebo starším můžete zabezpečit aplikaci pomocí ověřování systému Windows. Pokud používáte Windows Server 2012 R2, potřebujete bránu VP.

Když se volání vícefaktorového ověřování umístí přes veřejnou telefonní síť, někdy se směrují přes operátora, který nepodporuje ID volajícího. Vzhledem k tomuto chování operátora není ID volajícího zaručeno, i když ho systém vícefaktorového ověřování vždy odesílá.

Uživatelé můžou být vyzváni k registraci bezpečnostních údajů z několika důvodů:

• Uživatel povolil vícefaktorové ověřování správcem v Microsoft Entra ID, ale ještě nemá zaregistrované bezpečnostní údaje pro svůj účet.
• Uživatel byl povolen pro samoobslužné resetování hesla v Microsoft Entra ID. Bezpečnostní informace jim pomůžou resetovat heslo v budoucnu, pokud na ně někdy zapomene.
• Uživatel získal přístup k aplikaci, která má zásadu podmíněného přístupu, která vyžaduje vícefaktorové ověřování a která nebyla dříve zaregistrovaná pro vícefaktorové ověřování.
• Uživatel registruje zařízení s Microsoft Entra ID (včetně připojení Microsoft Entra) a vaše organizace vyžaduje vícefaktorové ověřování pro registraci zařízení, ale uživatel ještě není zaregistrovaný pro vícefaktorové ověřování.
• Uživatel generuje Windows Hello pro firmy ve Windows 10 (což vyžaduje vícefaktorové ověřování) a ještě není zaregistrovaný pro vícefaktorové ověřování.
• Organizace vytvořila a povolila zásadu registrace vícefaktorového ověřování, která byla použita pro uživatele.
• Uživatel dříve zaregistroval vícefaktorové ověřování, ale zvolil metodu ověřování, kterou správce od té doby zakázal. Uživatel proto musí znovu projít registrací vícefaktorového ověřování a vybrat novou výchozí metodu ověřování.

Požádejte uživatele, aby dokončil následující postup, aby odebral svůj účet z Microsoft Authenticatoru a pak ho znovu přidal:

1. Přejděte do profilu účtu a přihlaste se pomocí účtu organizace.
2. Vyberte Další ověření zabezpečení.
3. Odeberte existující účet z aplikace Microsoft Authenticator.
4. Klikněte na Konfigurovat a potom podle pokynů překonfigurujte Aplikaci Microsoft Authenticator.

K chybě 0x800434D4L dochází, když se pokusíte přihlásit k aplikaci, která není v prohlížeči nainstalovaná na místním počítači, která nefunguje s účty, které vyžadují dvoustupňové ověření.

Alternativním řešením této chyby je mít samostatné uživatelské účty pro operace související se správcem a operacemi, které nejsou správci. Později můžete propojit poštovní schránky mezi účtem správce a účtem bez oprávnění správce, abyste se mohli k Outlooku přihlásit pomocí účtu bez oprávnění správce. Další podrobnosti o tomto řešení najdete v tématu o tom, jak správci udělit možnost otevřít a zobrazit obsah poštovní schránky uživatele.

Chyba 1073741715 = Chyba přihlášení stavu –> Pokus o přihlášení je neplatný. Důvodem je chybné uživatelské jméno nebo ověřování.

Možný důvod této chyby: Pokud jsou zadané primární přihlašovací údaje správné, může dojít k neshodě mezi podporovanou verzí NTLM na serveru MFA a řadičem domény. MFA Server podporuje pouze NTLMv1 (LmCompatabilityLevel=1 až 4) a ne NTLMv2 (LmCompatabilityLevel=5).

Další kroky

Pokud tady nenajdete odpověď na vaši otázku, jsou k dispozici následující možnosti podpory:

• Vyhledejte řešení běžných technických problémů ve znalostní bázi podpora Microsoftu Knowledge Base.
• Vyhledejte a procházejte technické otázky a odpovědi od komunity nebo položte vlastní otázku v Microsoft Entra Q&A.
• Obraťte se na profesionály Microsoftu prostřednictvím podpory Multi-Factor Authentication Serveru. Když nás kontaktujete, je užitečné, pokud můžete uvést co nejvíce informací o vašem problému. Mezi informace, které můžete zadat, patří stránka, kde jste viděli chybu, konkrétní kód chyby, konkrétní ID relace a ID uživatele, který chybu viděl.
• Pokud jste starší Telefon Factor zákazník a máte dotazy nebo potřebujete pomoc s resetováním hesla, otevřete případ podpory pomocí phonefactorsupport@microsoft.com e-mailové adresy.