Kombinovaná registrace informací o zabezpečení pro Microsoft Entra – přehled

Před kombinovanou registrací uživatelé zaregistrovali metody ověřování pro vícefaktorové ověřování Microsoft Entra a samoobslužné resetování hesla (SSPR) samostatně. Lidé byly zmatené, že podobné metody se používaly pro vícefaktorové ověřování a samoobslužné resetování hesla, ale musely se zaregistrovat pro obě funkce. Teď se uživatelé s kombinovanou registrací můžou zaregistrovat jednou a získat výhody vícefaktorového ověřování i samoobslužného resetování hesla. Toto video doporučujeme, jak povolit a nakonfigurovat samoobslužné resetování hesla v Microsoft Entra ID.

My Account showing registered Security info for a user

Než povolíte nové prostředí, projděte si tuto dokumentaci zaměřenou na správce a dokumentaci zaměřenou na uživatele a ujistěte se, že rozumíte funkcím a účinkům této funkce. Založte školení na dokumentaci uživatelů, abyste připravili uživatele na nové prostředí a pomohli zajistit úspěšné zavedení.

Kombinovaná registrace bezpečnostních údajů microsoft Entra ID je k dispozici pro Azure US Government, ale ne pro Microsoft Azure provozovanou společností 21Vianet.

Stránky Můj účet jsou lokalizovány na základě jazykového nastavení počítače, který ke stránce přistupuje. Microsoft ukládá nejnovější jazyk používaný v mezipaměti prohlížeče, takže následné pokusy o přístup ke stránkám se budou dál vykreslovat v posledním použitém jazyce. Pokud mezipaměť vymažete, stránky se znovu vykreslují.

Pokud chcete vynutit konkrétní jazyk, můžete na konec adresy URL přidat ?lng=<language> kód jazyka, <language> který chcete vykreslit.

Set up SSPR or other security verification methods

Dostupné metody v kombinované registraci

Kombinovaná registrace podporuje metody ověřování a akce v následující tabulce.

metoda Registrovat Změnit Odstranění
Microsoft Authenticator Ano (maximálně 5) No Ano
Jiná ověřovací aplikace Ano (maximálně 5) No Ano
Hardwarový token No No Ano
telefonní Ano Ano Yes
Alternativní telefon Ano Ano Yes
Telefon do kanceláře* Ano Ano Yes
E-mail Ano Ano Yes
Bezpečnostní otázky Yes Ne Ano
Passwords No Ano No
Hesla aplikací* Yes Ne Ano
Klíče zabezpečení FIDO2* Yes Ne Ano

Poznámka:

Pokud v zásadách metod ověřování povolíte microsoft Authenticator pro režim ověřování bez hesla, uživatelé musí také povolit přihlášení bez hesla v aplikaci Authenticator.

Alternativní telefon je možné zaregistrovat pouze v režimuhttps://aka.ms/mysecurityinfo Správa a vyžaduje, aby v zásadách metod ověřování byly povolené hlasové hovory.

Telefon do kanceláře se dá zaregistrovat jenom v režimu přerušení, pokud je vlastnost firemního telefonu nastavená. Uživatelé ve spravovaném režimu můžou telefon do kanceláře přidávat bez https://aka.ms/mysecurityinfo tohoto požadavku.

Hesla aplikací jsou dostupná jenom uživatelům, kteří se vynucovali pro vícefaktorové ověřování pro jednotlivé uživatele. Hesla aplikací nejsou dostupná uživatelům, kteří mají povolené vícefaktorové ověřování Microsoft Entra pomocí zásad podmíněného přístupu.

Klíče zabezpečení FIDO2 lze přidat pouze v režimu správy v režimuhttps://aka.ms/mysecurityinfo.

Jako výchozí metodu vícefaktorového ověřování můžou uživatelé nastavit jednu z následujících možností.

  • Microsoft Authenticator – nabízené oznámení nebo bez hesla
  • Ověřovací aplikace nebo hardwarový token – kód
  • Telefonní hovor
  • Textová zpráva

Poznámka:

Virtuální telefonní čísla nejsou podporována pro hlasové hovory ani sms zprávy.

Ověřovací aplikace třetích stran neposkytují nabízená oznámení. Jak budeme do ID Microsoft Entra nadále přidávat další metody ověřování, budou tyto metody k dispozici v kombinované registraci.

Kombinované režimy registrace

Existují dva režimy kombinované registrace: přerušení a správa.

  • Režim přerušení je prostředí podobné průvodci, které se uživatelům zobrazí při registraci nebo aktualizaci bezpečnostních údajů při přihlášení.
  • Režim správy je součástí profilu uživatele a umožňuje uživatelům spravovat bezpečnostní údaje.

V obou režimech musí uživatelé, kteří dříve zaregistrovali metodu, která se dá použít pro vícefaktorové ověřování Microsoft Entra, před přístupem ke svým bezpečnostním údajům provádět vícefaktorové ověřování. Uživatelé musí před pokračováním v používání dříve registrovaných metod potvrdit své informace.

Režim přerušení

Kombinovaná registrace dodržuje zásady vícefaktorového ověřování i SSPR, pokud jsou pro vašeho tenanta povolené obě možnosti. Tyto zásady určují, jestli se uživatel během přihlašování přeruší pro registraci a jaké metody jsou k dispozici pro registraci. Pokud je povolená jenom zásada samoobslužného resetování hesla, uživatelé budou moct přerušení registrace (neomezeně dlouho) přeskočit a dokončit ji později.

Tady jsou ukázkové scénáře, ve kterých se uživatelům může zobrazit výzva k registraci nebo aktualizaci bezpečnostních údajů:

  • Vícefaktorová registrace ověřování vynucená prostřednictvím služby Identity Protection: Uživatelé se při přihlašování zobrazí výzva k registraci. Zaregistrují vícefaktorové metody ověřování a metody SSPR (pokud je uživatel povolený pro SSPR).
  • registrace vícefaktorového ověřování vynucená prostřednictvím vícefaktorového ověřování pro jednotlivé uživatele: Uživatelé se při přihlašování zobrazí výzva k registraci. Zaregistrují vícefaktorové metody ověřování a metody SSPR (pokud je uživatel povolený pro SSPR).
  • registrace vícefaktorového ověřování vynucená prostřednictvím podmíněného přístupu nebo jiných zásad: Uživatelé se zobrazí výzva k registraci, když používají prostředek, který vyžaduje vícefaktorové ověřování. Zaregistrují vícefaktorové metody ověřování a metody SSPR (pokud je uživatel povolený pro SSPR).
  • Vynucená registrace SSPR: Uživatelé se při přihlašování zobrazí výzva k registraci. Registrují pouze metody SSPR.
  • Vynucená aktualizace SSPR: Uživatelé musí zkontrolovat bezpečnostní údaje v intervalu nastaveném správcem. Uživatelům se zobrazují jejich informace a můžou potvrdit aktuální informace nebo v případě potřeby provést změny.

Při vynucení registrace se uživatelům zobrazí minimální počet metod potřebných k zajištění souladu s vícefaktorovým ověřováním i zásadami samoobslužného resetování hesla , od většiny po nejméně bezpečné. Uživatelé procházející kombinovanou registrací, kde se vynucuje registrace MFA i SSPR, a zásada samoobslužného resetování hesla vyžaduje, aby se nejprve jako první metoda zaregistrovala dvě metody vícefaktorového ověřování a jako druhou zaregistrovanou metodu (např. e-mail, bezpečnostní otázky atd.) můžou vybrat jinou metodu specifickou pro vícefaktorové ověřování nebo samoobslužné resetování hesla (např. e-mail, bezpečnostní otázky atd.).

Zvažte následující ukázkový scénář:

  • Uživatel je povolený pro samoobslužné resetování hesla. Zásady samoobslužného resetování hesla vyžadují dvě metody resetování a povolily aplikaci Microsoft Authenticator, e-mail a telefon.
  • Když se uživatel rozhodne zaregistrovat, vyžadují se dvě metody:
    • Ve výchozím nastavení se uživateli zobrazí aplikace Microsoft Authenticator a telefon.
    • Uživatel může místo aplikace Authenticator nebo telefonu zaregistrovat e-mail.

Když nastaví Aplikaci Microsoft Authenticator, uživatel může kliknout na možnost Nastavit jinou metodu pro registraci jiných metod ověřování. Seznam dostupných metod je určen zásadami metod ověřování pro tenanta. 

Screenshot of how to choose another method when you set up Microsoft Authenticator.

Následující vývojový diagram popisuje, které metody se uživateli zobrazují při přerušení registrace při přihlašování:

Combined security info flowchart

Pokud máte povolené vícefaktorové ověřování i SSPR, doporučujeme vynutit registraci vícefaktorového ověřování.

Pokud zásady samoobslužného resetování hesla vyžadují, aby uživatelé v pravidelných intervalech zkontrolovali své bezpečnostní údaje, během přihlašování se přeruší a zobrazí se všechny jejich registrované metody. Aktuální informace můžou potvrdit, pokud jsou aktuální, nebo můžou v případě potřeby provádět změny. Uživatelé musí pro přístup k této stránce provádět vícefaktorové ověřování.

Režim správy

Uživatelé mají přístup k režimu správy tak, že přejdou na Informace o zabezpečení nebo vyberou z mého účtu bezpečnostní údaje . Odsud mohou uživatelé přidávat metody, odstraňovat nebo měnit existující metody, měnit výchozí metodu a další.

Klíčové scénáře použití

Aktualizace hesla v mySignIns (Preview)

Uživatel přejde na bezpečnostní údaje. Po přihlášení může uživatel změnit heslo. Pokud se uživatel ověří pomocí hesla a metody vícefaktorového ověřování, bude moct pomocí vylepšeného uživatelského prostředí změnit heslo bez zadání stávajícího hesla. Po dokončení se uživatel na stránce Bezpečnostní údaje aktualizuje nové heslo. Metody ověřování, jako je dočasné přístupové heslo (TAP), se pro změnu hesla nepodporují, pokud uživatel nezná své stávající heslo.

Ochrana registrace bezpečnostních údajů pomocí podmíněného přístupu

Pokud chcete zabezpečit, kdy a jak se uživatelé registrují pro vícefaktorové ověřování Microsoft Entra a samoobslužné resetování hesla, můžete použít akce uživatelů v zásadách podmíněného přístupu. Tato funkce může být povolena v organizacích, které chtějí, aby se uživatelé zaregistrovali pro vícefaktorové ověřování Microsoft Entra a samoobslužné resetování hesla z centrálního umístění, jako je například důvěryhodné síťové umístění během onboardingu hr. Přečtěte si další informace o tom, jak nakonfigurovat běžné zásady podmíněného přístupu pro zabezpečení registrace bezpečnostních údajů.

Nastavení bezpečnostních údajů během přihlašování

Správce vynutil registraci.

Uživatel nenastavil všechny požadované bezpečnostní údaje a přejde do Centra pro správu Microsoft Entra. Po zadání uživatelského jména a hesla se uživateli zobrazí výzva k nastavení bezpečnostních údajů. Uživatel pak provede kroky uvedené v průvodci a nastaví požadované bezpečnostní údaje. Pokud to vaše nastavení povolí, uživatel se může rozhodnout nastavit jiné metody než ty, které se zobrazují ve výchozím nastavení. Po dokončení průvodce zkontrolují metody, které nastaví, a jejich výchozí metodu pro vícefaktorové ověřování. K dokončení procesu nastavení uživatel potvrdí informace a pokračuje v Centru pro správu Microsoft Entra.

Nastavení bezpečnostních údajů z mého účtu

Správce nevynutil registraci.

Uživatel, který ještě nenastavil všechny požadované bezpečnostní údaje, přejde na https://myaccount.microsoft.comadresu . Uživatel vybere v levém podokně bezpečnostní údaje . Odsud se uživatel rozhodne přidat metodu, vybere některou z dostupných metod a provede kroky pro nastavení této metody. Po dokončení se uživateli zobrazí metoda, která byla nastavena na stránce Bezpečnostní údaje.

Nastavení dalších metod po částečné registraci

Pokud uživatel částečně splnil registraci vícefaktorového ověřování nebo samoobslužného resetování hesla z důvodu stávajících registrací metod ověřování provedených uživatelem nebo správcem, zobrazí se uživatelům výzva k registraci dalších informací povolených nastavením zásad metod ověřování, pokud je vyžadována registrace. Pokud je pro uživatele k dispozici více než jedna jiná metoda ověřování, která si může vybrat a zaregistrovat, zobrazí se možnost prostředí pro registraci s názvem Chci nastavit jinou metodu a umožní uživateli nastavit požadovanou metodu ověřování.

Screenshot of how to set up another method.

Odstranění bezpečnostních údajů z mého účtu

Uživatel, který dříve nastavil alespoň jednu metodu, přejde na https://aka.ms/mysecurityinfo. Uživatel se rozhodne odstranit jednu z dříve registrovaných metod. Po dokončení uživatel už na stránce Bezpečnostní údaje neuvidí danou metodu.

Změna výchozí metody z mého účtu

Uživatel, který dříve nastavil alespoň jednu metodu, kterou lze použít pro vícefaktorové ověřování, přejde na https://aka.ms/mysecurityinfo. Uživatel změní aktuální výchozí metodu na jinou výchozí metodu. Po dokončení se uživateli na stránce Bezpečnostní údaje zobrazí nová výchozí metoda.

Přepnout adresář

Externí identita, jako je uživatel B2B, může být potřeba přepnout adresář, aby se změnily informace o registraci zabezpečení pro tenanta třetí strany. Uživatelé, kteří přistupují k tenantovi prostředků, můžou být navíc zmatení, když změní nastavení ve svém domovském tenantovi, ale změny se v tenantovi prostředku neprojeví.

Uživatel například nastaví nabízené oznámení aplikace Microsoft Authenticator jako primární ověřování pro přihlášení k domovskému tenantovi a má také SMS/Text jako jinou možnost. Tento uživatel je také nakonfigurovaný s možností SMS/Text v tenantovi prostředku. Pokud tento uživatel odebere SMS/Text jako jednu z možností ověřování ve svém domovském tenantovi, při přístupu k tenantovi prostředku se mu zobrazí dotaz, aby odpověděl na sms/textovou zprávu.

Pokud chcete přepnout adresář v Centru pro správu Microsoft Entra, klikněte v pravém horním rohu na název uživatelského účtu a klikněte na Přepnout adresář.

External users can switch directory.

Nebo můžete tenanta zadat podle adresy URL pro přístup k informacím o zabezpečení.

https://mysignins.microsoft.com/security-info?tenant=<Tenant Name>

https://mysignins.microsoft.com/security-info/?tenantId=<Tenant ID>

Poznámka:

Zákazníci, kteří se pokoušejí zaregistrovat nebo spravovat bezpečnostní údaje prostřednictvím kombinované registrace nebo stránky Moje přihlášení, by měli používat moderní prohlížeč, jako je Microsoft Edge.

IE11 není oficiálně podporován pro vytváření webového zobrazení nebo prohlížeče v aplikacích, protože nebude fungovat podle očekávání ve všech scénářích.

Aplikace, které nebyly aktualizovány a stále používají knihovnu Azure AD Authentication Library (ADAL), které spoléhají na starší webové zobrazení, se můžou vrátit ke starším verzím IE. V těchto scénářích se uživatelům při přesměrování na stránku Moje přihlášení zobrazí prázdná stránka. Pokud chcete tento problém vyřešit, přepněte do moderního prohlížeče.

Další kroky

Začněte tím, že si prohlédnete kurzy k povolení samoobslužného resetování hesla a povolení vícefaktorového ověřování Microsoft Entra.

Zjistěte, jak povolit kombinovanou registraci ve vašem tenantovi nebo vynutit uživatele, aby znovu zaregistrovali metody ověřování.

Můžete si také projít dostupné metody vícefaktorového ověřování a samoobslužného resetování hesla Microsoft Entra.