Co je ověřování Microsoft Entra?

  • Článek

Jednou z hlavních funkcí platformy identit je ověření nebo ověření přihlašovacích údajů, když se uživatel přihlásí k zařízení, aplikaci nebo službě. V Microsoft Entra ID zahrnuje ověřování více než jen ověření uživatelského jména a hesla. Za účelem zlepšení zabezpečení a snížení potřeby pomoci helpdesku zahrnuje ověřování Microsoft Entra následující komponenty:

  • Samoobslužné resetování hesla
  • Vícefaktorové ověřování Microsoft Entra
  • Hybridní integrace pro zápis změn hesel zpět do místního prostředí
  • Hybridní integrace pro vynucení zásad ochrany hesel pro místní prostředí
  • Ověřování bez hesla

Podívejte se na naše krátké video, kde se dozvíte více o těchto komponentách ověřování.

Vylepšení prostředí pro koncové uživatele

Microsoft Entra ID pomáhá chránit identitu uživatele a zjednodušit přihlašování. Funkce, jako je samoobslužné resetování hesla, umožňují uživatelům aktualizovat nebo změnit hesla pomocí webového prohlížeče z libovolného zařízení. Tato funkce je zvlášť užitečná, když uživatel zapomněl heslo nebo je jeho účet uzamčený. Bez čekání na technickou podporu nebo správce může uživatel odblokovat a pokračovat v práci.

Vícefaktorové ověřování Microsoft Entra umožňuje uživatelům při přihlašování zvolit další formu ověřování, například telefonní hovor nebo oznámení mobilní aplikace. Tato schopnost snižuje požadavek na jednu pevnou formu sekundárního ověřování, jako je hardwarový token. Pokud uživatel momentálně nemá jednu formu dalšího ověřování, může zvolit jinou metodu a pokračovat v práci.

Authentication methods in use at the sign-in screen

Ověřování bez hesla eliminuje potřebu, aby uživatel vytvořil a zapamatuje si zabezpečené heslo. Funkce, jako jsou Windows Hello pro firmy nebo klíče zabezpečení FIDO2, umožňují uživatelům přihlásit se k zařízení nebo aplikaci bez hesla. Tato schopnost může snížit složitost správy hesel v různých prostředích.

Samoobslužné resetování hesla

Samoobslužné resetování hesla umožňuje uživatelům měnit nebo resetovat heslo bez zapojení správce nebo helpdesku. Pokud je účet uživatele uzamčený nebo zapomene heslo, může postupovat podle pokynů, aby se odblokoval a vrátil se do práce. Tato schopnost snižuje počet volání helpdesku a ztrátu produktivity, když se uživatel nemůže přihlásit ke svému zařízení nebo aplikaci.

Samoobslužné resetování hesla funguje v následujících scénářích:

  • Změna hesla – když uživatel zná heslo, ale chce ho změnit na něco nového.
  • Resetování hesla – když se uživatel nemůže přihlásit, například když zapomněl heslo a chce resetovat heslo.
  • Odemknutí účtu – když se uživatel nemůže přihlásit, protože jeho účet je uzamčený a chce ho odemknout.

Když uživatel aktualizuje nebo resetuje heslo pomocí samoobslužného resetování hesla, může se toto heslo také zapsat zpět do místní Active Directory prostředí. Zpětný zápis hesla zajišťuje, aby uživatel mohl okamžitě používat aktualizované přihlašovací údaje s místními zařízeními a aplikacemi.

Vícefaktorové ověřování Microsoft Entra

Vícefaktorové ověřování je proces, při kterém se uživateli během procesu přihlášení zobrazí výzva k zadání další formy identifikace, například zadání kódu na mobilním telefonu nebo poskytnutí otisku prstu.

Pokud k ověření uživatele použijete jenom heslo, ponechá nezabezpečený vektor útoku. Pokud je heslo slabé nebo bylo vystaveno jinde, je to skutečně uživatel, který se přihlašuje pomocí uživatelského jména a hesla, nebo je to útočník? Pokud vyžadujete druhou formu ověřování, zvyšuje se zabezpečení, protože tento dodatečný faktor není něco, co útočníkovi usnadňuje získání nebo duplikování.

Conceptual image of the different forms of multifactor authentication

Vícefaktorové ověřování Microsoft Entra funguje tak, že vyžaduje dvě nebo více následujících metod ověřování:

  • Něco, co víte, obvykle heslo.
  • Něco, co máte, například důvěryhodné zařízení, které není snadno duplikováno, jako je telefon nebo hardwarový klíč.
  • Něco, co jste - biometrické údaje jako otisk prstu nebo sken obličeje.

Uživatelé se můžou zaregistrovat pro samoobslužné resetování hesla i vícefaktorové ověřování Microsoft Entra v jednom kroku, aby se zjednodušilo onboardingové prostředí. Správa istrátory mohou definovat, jaké formy sekundárního ověřování lze použít. Vícefaktorové ověřování Microsoft Entra může být vyžadováno také v případě, že uživatelé provádějí samoobslužné resetování hesla, aby tento proces dále zabezpečili.

Ochrana hesel

Microsoft Entra ID ve výchozím nastavení blokuje slabá hesla, jako je například Password1. Globální zakázaný seznam hesel se automaticky aktualizuje a vynutí, který obsahuje známá slabá hesla. Pokud se uživatel Microsoft Entra pokusí nastavit heslo na jedno z těchto slabých hesel, obdrží oznámení, že si zvolí bezpečnější heslo.

Pokud chcete zvýšit zabezpečení, můžete definovat vlastní zásady ochrany heslem. Tyto zásady můžou použít filtry k blokování jakékoli varianty hesla obsahujícího název, například Contoso nebo umístění, jako je Londýn.

Pro hybridní zabezpečení můžete integrovat ochranu heslem Microsoft Entra s prostředím místní Active Directory. Komponenta nainstalovaná v místním prostředí obdrží globální seznam zakázaných hesel a vlastní zásady ochrany hesel od Microsoft Entra ID a řadiče domény je používají ke zpracování událostí změn hesel. Tento hybridní přístup zajišťuje, že bez ohledu na to, jak nebo kde uživatel změní své přihlašovací údaje, vynutíte použití silných hesel.

Ověřování bez hesla

Konečným cílem mnoha prostředí je odebrání použití hesel v rámci událostí přihlašování. Funkce, jako je ochrana heslem Azure nebo vícefaktorové ověřování Microsoft Entra, pomáhají zlepšit zabezpečení, ale uživatelské jméno a heslo zůstávají slabou formou ověřování, která může být vystavena útoku hrubou silou.

Security versus convenience with the authentication process that leads to passwordless

Když se přihlásíte pomocí metody bez hesla, přihlašovací údaje se poskytují pomocí metod, jako jsou biometrické údaje s Windows Hello pro firmy nebo klíč zabezpečení FIDO2. Tyto metody ověřování nemůže útočník snadno duplikovat.

Microsoft Entra ID poskytuje způsoby nativního ověřování pomocí metod bez hesla, které zjednodušují přihlašování pro uživatele a snižují riziko útoků.

Další kroky

Začněte tím, že si prohlédnete kurz samoobslužného resetování hesla (SSPR) a vícefaktorového ověřování Microsoft Entra.

Další informace o konceptech samoobslužného resetování hesla najdete v tématu Jak funguje samoobslužné resetování hesla Microsoft Entra.

Další informace o konceptech vícefaktorového ověřování najdete v tématu Jak funguje vícefaktorové ověřování Microsoft Entra.