Jak to funguje: Azure AD vícefaktorové ověřování

Vícefaktorové ověřování je proces, ve kterém jsou uživatelé během procesu přihlašování vyzváni k další formě identifikace, jako je kód na mobilním telefonu nebo otisk prstu.

Pokud použijete heslo pouze k ověření uživatele, zanechá nezabezpečený vektor pro útok. Pokud je heslo slabé nebo bylo vystaveno jinde, mohl by ho útočník použít k získání přístupu. Když vyžadujete druhou formu ověřování, zabezpečení se zvýší, protože tento dodatečný faktor není pro útočníka snadný získat nebo duplikovat.

Koncepční obrázek různých forem vícefaktorového ověřování

Azure AD Multi-Factor Authentication funguje tak, že vyžaduje dvě nebo více z následujících metod ověřování:

  • Něco, co znáte, obvykle heslo.
  • Něco, co máte, například důvěryhodné zařízení, které se nedá snadno duplikovat, třeba telefon nebo hardwarový klíč.
  • Něco, co jste - biometrika, jako je otisk prstu nebo sken obličeje.

Azure AD Multi-Factor Authentication může také dále zabezpečit resetování hesla. Když se uživatelé zaregistrují k Azure AD Multi-Factor Authentication, můžou se také zaregistrovat k samoobslužné resetování hesla v jednom kroku. Správci můžou zvolit formy sekundárního ověřování a nakonfigurovat výzvy pro vícefaktorové ověřování na základě rozhodnutí o konfiguraci.

Abyste mohli používat vícefaktorové ověřování Azure AD, nemusíte měnit aplikace a služby. Výzvy k ověření jsou součástí Azure AD přihlášení, které v případě potřeby automaticky vyžádá a zpracuje výzvu vícefaktorového ověřování.

Poznámka

Jazyk výzvy je určen nastavením národního prostředí prohlížeče. Pokud používáte vlastní pozdravy, ale nemáte ho pro jazyk určený v národním prostředí prohlížeče, použije se ve výchozím nastavení angličtina. Server NPS (Network Policy Server) bude ve výchozím nastavení vždy používat angličtinu bez ohledu na vlastní pozdravy. Pokud národní prostředí prohlížeče nejde identifikovat, používá se ve výchozím nastavení také angličtina.

Přihlašovací obrazovka vícefaktorového ověřování

Dostupné metody ověřování

Když se uživatelé přihlásí k aplikaci nebo službě a zobrazí se jim výzva vícefaktorového ověřování, můžou si vybrat některou ze svých registrovaných forem dalšího ověření. Uživatelé můžou přistupovat k mému profilu a upravovat nebo přidávat metody ověření.

S vícefaktorovým ověřováním Azure AD můžete použít následující další formy ověření:

  • Aplikace Microsoft Authenticator
  • Windows Hello pro firmy
  • Klíč zabezpečení FIDO2
  • Hardwarový token OATH (Preview)
  • Softwarový token OATH
  • SMS
  • Hlasový hovor

Povolení a používání vícefaktorového ověřování Azure AD

Pomocí výchozích hodnot zabezpečení v tenantech Azure AD můžete rychle povolit Microsoft Authenticator pro všechny uživatele. Můžete povolit vícefaktorové ověřování Azure AD a vyzvat uživatele a skupiny k dalšímu ověření během přihlašování.

Pro podrobnější řízení můžete pomocí zásad podmíněného přístupu definovat události nebo aplikace, které vyžadují vícefaktorové ověřování. Tyto zásady umožňují pravidelné přihlašování, když je uživatel v podnikové síti nebo registrovaném zařízení, ale při vzdáleném nebo osobním zařízení se zobrazí výzva k zadání dalších ověřovacích faktorů.

Diagram znázorňující, jak podmíněný přístup funguje pro zabezpečení procesu přihlášení

Další kroky

Další informace o licencování najdete v tématu Funkce a licence pro Azure AD Multi-Factor Authentication.

Další informace o různých metodách ověřování a ověřování najdete v tématu Metody ověřování v Azure Active Directory.

Pokud chcete zobrazit vícefaktorové ověřování v akci, povolte Azure AD Multi-Factor Authentication pro sadu testovacích uživatelů v následujícím kurzu: