Jaké metody ověřování jsou k dispozici v Azure Active Directory?

Microsoft doporučuje metody ověřování bez hesla, jako jsou Windows Hello, klíče zabezpečení FIDO2 a aplikace Microsoft Authenticator, protože poskytují nejbezpečnější přihlašovací prostředí. I když se uživatel může přihlásit pomocí jiných běžných metod, jako je uživatelské jméno a heslo, hesla by se měla nahradit bezpečnějšími metodami ověřování.

Obrázek silných stránek a upřednostňovaných metod ověřování v Azure AD

Azure AD vícefaktorové ověřování (MFA) zvyšuje zabezpečení jenom při použití hesla, když se uživatel přihlásí. Uživateli se může zobrazit výzva k dalším formám ověřování, jako je například odpověď na nabízené oznámení, zadání kódu ze softwarového nebo hardwarového tokenu nebo odpověď na SMS nebo telefonní hovor.

Pokud chcete uživatelům zjednodušit onboarding a zaregistrovat se pro MFA i samoobslužné resetování hesla (SSPR), doporučujeme povolit kombinovanou registraci bezpečnostních informací. Pro zajištění odolnosti doporučujeme, aby uživatelé zaregistrovali více metod ověřování. Pokud během přihlašování nebo SSPR není pro uživatele dostupná jedna metoda, může se uživatel ověřit jinou metodou. Další informace najdete v tématu Vytvoření odolné strategie správy řízení přístupu v Azure AD.

Tady je video , které jsme vytvořili, abychom vám pomohli vybrat nejlepší metodu ověřování, která zajistí bezpečnost vaší organizace.

Síla a zabezpečení metody ověřování

Když ve vaší organizaci nasadíte funkce, jako je Azure AD Multi-Factor Authentication, projděte si dostupné metody ověřování. Zvolte metody, které splňují nebo překračují vaše požadavky z hlediska zabezpečení, použitelnosti a dostupnosti. Pokud je to možné, použijte metody ověřování s nejvyšší úrovní zabezpečení.

Následující tabulka popisuje aspekty zabezpečení pro dostupné metody ověřování. Dostupnost značí, že uživatel může použít metodu ověřování, nikoli dostupnost služby v Azure AD:

Metoda ověřování Zabezpečení Použitelnost Dostupnost
Windows Hello pro firmy Vysoká Vysoká Vysoká
Aplikace Microsoft Authenticator Vysoká Vysoká Vysoká
Klíč zabezpečení FIDO2 Vysoká Vysoká Vysoká
Ověřování na základě certifikátů (Preview) Vysoká Vysoká Vysoká
Hardwarové tokeny OATH (Preview) Střední Střední Vysoká
Softwarové tokeny OATH Střední Střední Vysoká
SMS Střední Vysoká Střední
Hlas Střední Střední Střední
Heslo Nízká Vysoká Vysoká

Nejnovější informace o zabezpečení najdete v našich blogových příspěvcích:

Tip

Pro zajištění flexibility a použitelnosti doporučujeme používat aplikaci Microsoft Authenticator. Tato metoda ověřování poskytuje nejlepší uživatelské prostředí a několik režimů, jako jsou bez hesla, nabízená oznámení vícefaktorového ověřování a kódy OATH.

Jak jednotlivé metody ověřování fungují

Některé metody ověřování se dají použít jako primární faktor při přihlašování k aplikaci nebo zařízení, například pomocí klíče zabezpečení FIDO2 nebo hesla. Jiné metody ověřování jsou k dispozici pouze jako sekundární faktor, pokud používáte Azure AD Multi-Factor Authentication nebo SSPR.

Následující tabulka popisuje, kdy je možné během události přihlášení použít metodu ověřování:

Metoda Primární ověření Sekundární ověřování
Windows Hello pro firmy Yes MFA*
Aplikace Microsoft Authenticator Yes MFA a SSPR
Klíč zabezpečení FIDO2 Yes MFA
Ověřování na základě certifikátů (Preview) Yes Ne
Hardwarové tokeny OATH (Preview) Ne MFA a SSPR
Softwarové tokeny OATH Ne MFA a SSPR
SMS Yes MFA a SSPR
Hlasový hovor Ne MFA a SSPR
Heslo Yes

* Windows Hello pro firmy sama o sobě neslouží jako přihlašovací údaje vícefaktorového ověřování. Například výzva MFA z četnosti přihlašování nebo požadavek SAML obsahující forceAuthn=true. Windows Hello pro firmy můžou sloužit jako zstupňované přihlašovací údaje MFA, protože se používají při ověřování FIDO2. To vyžaduje, aby uživatelé měli povolené ověřování FIDO2, aby fungovalo úspěšně.

Všechny tyto metody ověřování je možné nakonfigurovat v Azure Portal a stále častěji s využitím rozhraní MICROSOFT Graph REST API.

Další informace o tom, jak jednotlivé metody ověřování fungují, najdete v následujících samostatných koncepčních článcích:

Poznámka

V Azure AD je heslo často jednou z primárních metod ověřování. Metodu ověřování heslem nemůžete zakázat. Pokud jako primární ověřovací faktor použijete heslo, zvyšte zabezpečení událostí přihlášení pomocí Azure AD Multi-Factor Authentication.

V určitých scénářích je možné použít následující další metody ověřování:

  • Hesla aplikací – používají se pro staré aplikace, které nepodporují moderní ověřování a dají se nakonfigurovat pro uživatele Azure AD Multi-Factor Authentication.
  • Bezpečnostní otázky – používá se jenom pro SSPR
  • Email adresa – používá se jenom pro SSPR.

Další kroky

Začněte kurzem samoobslužného resetování hesla (SSPR) a Azure AD Multi-Factor Authentication.

Další informace o konceptech SSPR najdete v tématu Jak funguje samoobslužné resetování hesla Azure AD.

Další informace o konceptech vícefaktorového ověřování najdete v tématu Jak funguje Azure AD vícefaktorové ověřování.

Přečtěte si další informace o konfiguraci metod ověřování pomocí rozhraní MICROSOFT Graph REST API.

Informace o tom, jaké metody ověřování se používají, najdete v tématu Azure AD analýza metod ověřování Multi-Factor Authentication pomocí PowerShellu.