Funkce a licence pro Azure AD Multi-Factor Authentication
K ochraně uživatelských účtů ve vaší organizaci by se mělo používat vícefaktorové ověřování. Tato funkce je zvlášť důležitá pro účty, které mají privilegovaný přístup k prostředkům. Základní funkce vícefaktorového ověřování jsou dostupné uživatelům Microsoft 365 a Azure Active Directory (Azure AD) a globálním správcům bez dalších poplatků. Pokud chcete upgradovat funkce pro správce nebo rozšířit vícefaktorové ověřování na ostatní uživatele s více metodami ověřování a větší kontrolou, můžete Azure AD Multi-Factor Authentication zakoupit několika způsoby.
Důležité
Tento článek podrobně popisuje různé způsoby licencování a používání vícefaktorového ověřování Azure AD. Konkrétní podrobnosti o cenách a fakturaci najdete na stránce s cenami Azure AD.
Dostupné verze Azure AD Multi-Factor Authentication
Azure AD Multi-Factor Authentication je možné používat a licencovat několika různými způsoby v závislosti na potřebách vaší organizace. Všichni tenanti mají nárok na základní funkce vícefaktorového ověřování prostřednictvím výchozích nastavení zabezpečení. V závislosti na licenci Azure AD, EMS nebo Microsoft 365, kterou aktuálně máte, můžete mít nárok na rozšířené Azure AD Multi-Factor Authentication. Například prvních 50 000 měsíčně aktivních uživatelů v Azure AD externích identit může zdarma používat vícefaktorové ověřování a další funkce Premium P1 nebo P2. Další informace najdete v tématu Ceny externích identit Azure Active Directory.
Následující tabulka podrobně popisuje různé způsoby, jak získat Azure AD vícefaktorové ověřování, a některé funkce a případy použití pro každý z nich.
| Pokud jste uživatelem | Možnosti a případy použití |
|---|---|
| Microsoft 365 Business Premium a EMS nebo Microsoft 365 E3 a E5 | EMS E3, Microsoft 365 E3 a Microsoft 365 Business Premium zahrnují Azure AD Premium P1. EMS E5 nebo Microsoft 365 E5 zahrnuje Azure AD Premium P2. K poskytování vícefaktorového ověřování uživatelům můžete použít stejné funkce podmíněného přístupu, které jsou uvedené v následujících částech. |
| Azure AD Premium P1 | Pomocí Azure AD podmíněného přístupu můžete během určitých scénářů nebo událostí vyzvat uživatele k vícefaktorovému ověřování podle požadavků vaší firmy. |
| Azure AD Premium P2 | Poskytuje nejsilnější pozici zabezpečení a vylepšené uživatelské prostředí. Přidá podmíněný přístup na základě rizika do funkcí Azure AD Premium P1, které se přizpůsobí vzorům uživatelů a minimalizují výzvy k vícefaktorovému ověřování. |
| Všechny plány Microsoftu 365 | Azure AD Multi-Factor Authentication je možné povolit všem uživatelům, kteří používají výchozí nastavení zabezpečení. Správa Azure AD Multi-Factor Authentication probíhá prostřednictvím portálu Microsoft 365. Pokud chcete zlepšit uživatelské prostředí, upgradujte na Azure AD Premium P1 nebo P2 a použijte podmíněný přístup. Další informace najdete v tématu zabezpečení prostředků Microsoft 365 pomocí vícefaktorového ověřování. |
| Office 365 zdarma Azure AD zdarma |
Pomocí výchozího nastavení zabezpečení můžete podle potřeby vyzvat uživatele k vícefaktorovému ověřování, ale nemáte podrobnou kontrolu nad povolenými uživateli nebo scénáři, ale poskytuje to další krok zabezpečení. I když se k povolení vícefaktorového ověřování pro všechny nepoužívá výchozí nastavení zabezpečení, je možné uživatele s přiřazenou rolí Azure AD globálního správce nakonfigurovat tak, aby používali vícefaktorové ověřování. Tato funkce úrovně Free zajišťuje ochranu důležitých účtů správců pomocí vícefaktorového ověřování. |
Porovnání funkcí na základě licencí
Následující tabulka obsahuje seznam funkcí, které jsou k dispozici v různých verzích Azure AD pro vícefaktorové ověřování. Naplánujte si potřeby zabezpečení ověřování uživatelů a pak určete, který přístup tyto požadavky splňuje. I když například Azure AD Free poskytuje výchozí nastavení zabezpečení, které poskytuje Azure AD vícefaktorové ověřování, pro výzvu k ověření se dá použít jenom mobilní ověřovací aplikace, ne telefonní hovor nebo SMS. Tento přístup může být omezením, pokud nemůžete zajistit, aby aplikace pro mobilní ověřování byla nainstalovaná na osobním zařízení uživatele. Další podrobnosti najdete v části Azure AD Free úroveň dále v tomto tématu.
| Funkce | Azure AD Free – výchozí nastavení zabezpečení (povoleno pro všechny uživatele) | Azure AD Free – jenom globální správci | Office 365 | Azure AD Premium P1 | Azure AD Premium P2 |
|---|---|---|---|---|---|
| Ochrana účtů správce tenanta Azure AD pomocí vícefaktorového ověřování | ● | ● (Azure AD účty globálního správce) | ● | ● | ● |
| Mobilní aplikace jako druhý faktor | ● | ● | ● | ● | ● |
| Telefonní hovor jako druhý faktor | ● | ● | ● | ||
| SMS jako druhý faktor | ● | ● | ● | ● | |
| Správa kontrolu nad metodami ověřování | ● | ● | ● | ● | |
| Výstraha podvodů | ● | ● | |||
| Sestavy MFA | ● | ● | |||
| Vlastní přivítání pro telefonní hovory | ● | ● | |||
| Vlastní ID volajícího pro telefonní hovory | ● | ● | |||
| Důvěryhodné IP adresy | ● | ● | |||
| Zapamatovat MFA pro důvěryhodná zařízení | ● | ● | ● | ● | |
| MFA pro místní aplikace | ● | ● | |||
| Podmíněný přístup | ● | ● | |||
| Podmíněný přístup na základě rizik | ● |
Porovnání zásad vícefaktorového ověřování
Náš doporučený přístup k vynucení vícefaktorového ověřování je použití podmíněného přístupu. Projděte si následující tabulku a zjistěte, jaké funkce jsou součástí vašich licencí.
| Zásady | Výchozí nastavení zabezpečení | Podmíněný přístup | Vícefaktorové ověřování pro uživatele |
|---|---|---|---|
| správy | |||
| Standardní sada pravidel zabezpečení pro zajištění bezpečnosti vaší společnosti | ● | ||
| Zapnutí/vypnutí jedním kliknutím | ● | ||
| Součástí licencování Office 365 (viz důležité informace o licencích) | ● | ● | |
| Předkonfigurované šablony v průvodci Správa Microsoftu 365 Center | ● | ● | |
| Flexibilita konfigurace | ● | ||
| Funkce | |||
| Vyloučení uživatelů ze zásad | ● | ● | |
| Ověření pomocí telefonního hovoru nebo SMS | ● | ● | |
| Ověřování pomocí microsoft authenticatoru a softwarových tokenů | ● | ● | ● |
| Ověřování pomocí tokenů FIDO2, Windows Hello pro firmy a hardware | ● | ● | |
| Blokuje starší ověřovací protokoly. | ● | ● | ● |
| Noví zaměstnanci jsou automaticky chráněni | ● | ● | |
| Dynamické triggery MFA na základě rizikových událostí | ● | ||
| Zásady ověřování a autorizace | ● | ||
| Konfigurovatelné na základě polohy a stavu zařízení | ● | ||
| Podpora režimu "pouze sestava" | ● | ||
| Možnost zcela blokovat uživatele nebo služby | ● |
Nákup a povolení vícefaktorového ověřování Azure AD
Pokud chcete používat Azure AD vícefaktorové ověřování, zaregistrujte se nebo si kupte oprávněnou Azure AD úroveň. Azure AD se dodává ve čtyřech edicích – Free, Office 365, Premium P1 a Premium P2.
Edice Free je součástí předplatného Azure. V následující části najdete informace o tom, jak používat výchozí nastavení zabezpečení nebo chránit účty s rolí Azure AD globálního správce.
Edice Azure AD Premium jsou k dispozici prostřednictvím zástupce Microsoftu, programu Open Volume License Program a programu Cloud Solution Providers. Předplatitelé Azure a Microsoft 365 si také můžou koupit Azure Active Directory Premium P1 a P2 online. Přihlaste se a kupte si ji.
Po zakoupení požadované úrovně Azure AD naplánujte a nasaďte Azure AD Multi-Factor Authentication.
Azure AD Free úroveň
Všichni uživatelé v tenantovi Azure AD Free můžou používat Azure AD Vícefaktorové ověřování pomocí výchozích nastavení zabezpečení. Aplikace pro mobilní ověřování a metody SMS se dají použít pro Azure AD vícefaktorové ověřování při použití výchozích Azure AD Free zabezpečení.
- Další informace o výchozích nastaveních zabezpečení Azure AD
- Povolení výchozích nastavení zabezpečení pro uživatele v Azure AD Free
Pokud nechcete povolit Azure AD vícefaktorové ověřování pro všechny uživatele, můžete místo toho chránit jenom uživatelské účty s rolí globálního správce Azure AD. Tento přístup poskytuje více výzev k ověření pro kritické účty správců. V závislosti na typu účtu, který používáte, povolíte Azure AD multi-Factor Authentication jedním z následujících způsobů:
- Pokud používáte účet Microsoft, zaregistrujte se k vícefaktorovému ověřování.
- Pokud nepoužíváte účet Microsoft, zapněte vícefaktorové ověřování pro uživatele nebo skupinu v Azure AD.
Další kroky
- Další informace o nákladech najdete v tématu Azure AD cenách.
- Co je podmíněný přístup
- Co je ochrana identit?
- Vícefaktorové ověřování je také možné povolit pro jednotlivé uživatele.