Přehled kombinované registrace informací o zabezpečení pro Azure Active Directory

Před kombinovanou registrací uživatelé zaregistrovali metody ověřování pro Azure AD Multi-Factor Authentication a samoobslužné resetování hesla (SSPR) samostatně. Lidé byly zmatené, že podobné metody byly použity pro vícefaktorové ověřování a SSPR, ale musely se zaregistrovat pro obě funkce. Teď se uživatelé s kombinovanou registrací můžou zaregistrovat jednou a získat výhody vícefaktorového ověřování i SSPR. Doporučujeme toto video o povolení a konfiguraci SSPR v Azure AD

Poznámka

Od 15. srpna 2020 budou všechny nové tenanty Azure AD automaticky povolené pro kombinovanou registraci.

Po 30. září 2022 budou všichni uživatelé registrovat bezpečnostní údaje prostřednictvím kombinovaného registračního prostředí.

Tento článek popisuje, co je kombinovaná registrace zabezpečení. Pokud chcete začít s kombinovanou registrací zabezpečení, přečtěte si následující článek:

Můj účet zobrazující zaregistrované bezpečnostní údaje pro uživatele

Než povolíte nové prostředí, projděte si tuto dokumentaci zaměřenou na správce a dokumentaci zaměřenou na uživatele a ujistěte se, že rozumíte funkcím a účinkům této funkce. Na základě trénování v uživatelské dokumentaci připravte uživatele na nové prostředí a pomozte zajistit úspěšné zavedení.

Azure AD kombinovaná registrace informací o zabezpečení je dostupná pro Azure US Government, ale ne pro Azure China 21Vianet.

Důležité

Uživatelé, kteří jsou povoleni pro původní verzi Preview i rozšířené kombinované prostředí registrace, uvidí nové chování. Uživatelé, kteří jsou povoleni pro obě prostředí, uvidí jenom prostředí Můj účet. Můj účet odpovídá vzhledu a chování kombinované registrace a poskytuje bezproblémové prostředí pro uživatele. Uživatelé si můžou zobrazit můj účet tak, že přejdete na https://myaccount.microsoft.com.

Když se přihlásíte k ano, můžete nastavit možnost Vyžadovat, aby se všichni uživatelé při přihlašování zaregistrovali a zajistili tak ochranu všech uživatelů.

Při pokusu o přístup k možnosti Bezpečnostní údaje se může zobrazit chybová zpráva, například "Omlouváme se, ale nemůžeme se přihlásit". Ověřte, že nemáte žádný objekt zásad konfigurace ani skupiny, který blokuje soubory cookie třetích stran ve webovém prohlížeči.

Stránky můj účet jsou lokalizovány na základě jazyka počítače, který přistupuje na stránku. Microsoft ukládá nejnovější jazyk používaný v mezipaměti prohlížeče, takže následné pokusy o přístup ke stránkám se budou dál vykreslovat v posledním použitém jazyce. Pokud mezipaměť vymažete, stránky se znovu vykreslují.

Pokud chcete vynutit konkrétní jazyk, můžete přidat ?lng=<language> na konec adresy URL, kde <language> je kód jazyka, který chcete vykreslit.

Nastavení SSPR nebo jiných metod ověřování zabezpečení

Metody dostupné v kombinované registraci

Kombinovaná registrace podporuje metody ověřování a akce v následující tabulce.

Metoda Registrovat Změnit Odstranit
Microsoft Authenticator Ano (maximálně 5) No Yes
Jiná ověřovací aplikace Ano (maximálně 5) No Yes
Hardwarový token No No Yes
Rozložení Yes Yes Yes
Alternativní telefon Yes Yes Yes
Telefon do kanceláře* Yes Yes Yes
E-mail Yes Yes Yes
Bezpečnostní otázky Yes No Yes
Hesla aplikací* Yes No Yes
Klíče zabezpečení FIDO2* Yes Yes Yes

Poznámka

Telefon office se dá zaregistrovat jenom v režimu přerušení , pokud je nastavená vlastnost firemního telefonu . Telefon office může přidávat uživatelé v režimu Managed z bezpečnostních údajů bez tohoto požadavku.
Hesla aplikací jsou dostupná jenom uživatelům, kteří se vynucovali pro Azure AD Multi-Factor Authentication. Hesla aplikací nejsou k dispozici uživatelům, kteří mají povolené Azure AD vícefaktorové ověřování pomocí zásad podmíněného přístupu.
Klíče zabezpečení FIDO2 je možné přidat pouze ve spravovaném režimu pouze ze stránky Bezpečnostní informace.

Uživatelé můžou nastavit jednu z následujících možností jako výchozí metodu vícefaktorového ověřování.

  • Microsoft Authenticator – nabízené oznámení nebo bez hesla
  • Ověřovací aplikace nebo hardwarový token – kód
  • Telefonát
  • Textová zpráva

Poznámka

Virtuální telefonní čísla nejsou podporována pro hlasové hovory nebo sms zprávy.

Ověřovací aplikace třetích stran neposkytují nabízená oznámení. Jak budeme dál přidávat další metody ověřování do Azure AD, budou tyto metody dostupné v kombinované registraci.

Kombinované režimy registrace

Existují dva režimy kombinované registrace: přerušení a správa.

  • Režim přerušení je prostředí podobné průvodci, které se uživatelům zobrazí při registraci nebo aktualizaci bezpečnostních údajů při přihlášení.
  • Režim správy je součástí profilu uživatele a umožňuje uživatelům spravovat bezpečnostní údaje.

V obou režimech musí uživatelé, kteří dříve zaregistrovali metodu, která se dá použít pro Azure AD Multi-Factor Authentication, aby mohli získat přístup ke svým bezpečnostním údajům, provádět vícefaktorové ověřování. Uživatelé musí před pokračováním v používání dříve registrovaných metod potvrdit své informace.

Režim přerušení

Kombinovaná registrace dodržuje zásady vícefaktorového ověřování i SSPR, pokud jsou obě povolené pro vašeho tenanta. Tyto zásady určují, jestli je uživatel přerušen pro registraci během přihlašování a jaké metody jsou k dispozici pro registraci. Pokud je povolená jenom zásada SSPR, uživatelé budou moct přerušení registrace přeskočit a dokončit ho později.

Tady jsou ukázkové scénáře, ve kterých se uživatelům může zobrazit výzva k registraci nebo aktualizaci bezpečnostních údajů:

  • Registrace vícefaktorového ověřování vynucená prostřednictvím služby Identity Protection: Uživatelům se zobrazí výzva k registraci během přihlašování. Zaregistrují vícefaktorové metody ověřování a metody SSPR (pokud je uživatel povolený pro SSPR).
  • Registrace vícefaktorového ověřování vynucená prostřednictvím vícefaktorového ověřování pro jednotlivé uživatele: Uživatelům se zobrazí výzva k registraci během přihlašování. Zaregistrují vícefaktorové metody ověřování a metody SSPR (pokud je uživatel povolený pro SSPR).
  • Registrace vícefaktorového ověřování vynucená prostřednictvím podmíněného přístupu nebo jiných zásad: Uživatelé se zobrazí výzva k registraci, když používají prostředek, který vyžaduje vícefaktorové ověřování. Zaregistrují vícefaktorové metody ověřování a metody SSPR (pokud je uživatel povolený pro SSPR).
  • Vynucená registrace SSPR: Uživatelům se zobrazí výzva k registraci během přihlašování. Registrují pouze metody SSPR.
  • Vynucená aktualizace SSPR: Uživatelé musí kontrolovat bezpečnostní údaje v intervalu nastaveném správcem. Uživatelům se zobrazují informace a můžou potvrdit aktuální informace nebo v případě potřeby provést změny.

Při vynucení registrace se uživatelům zobrazí minimální počet metod potřebných k dodržování zásad vícefaktorového ověřování i SSPR, od většiny po nejnižší zabezpečení. Uživatelé procházející kombinovanou registrací, kde se vynucuje registrace MFA i SSPR a zásada SSPR vyžaduje, aby jako první metodu registrovali metodu vícefaktorového ověřování a mohli jako druhou zaregistrovanou metodu vybrat jinou metodu MFA nebo SSPR (např. e-mail, bezpečnostní otázky atd.).

Představte si následující ukázkový scénář:

  • Uživatel je povolený pro SSPR. Zásady SSPR vyžadují, aby se resetovala dvě metody a povolila aplikaci Authenticator, e-mail a telefon.
  • Když se uživatel rozhodne zaregistrovat, vyžadují se dvě metody:
    • Ve výchozím nastavení se uživateli zobrazí aplikace Authenticator a telefon.
    • Uživatel si může místo aplikace Authenticator nebo telefonu zaregistrovat e-mail.

Následující vývojový diagram popisuje, které metody se uživateli zobrazují při přerušení registrace během přihlašování:

Kombinovaný vývojový diagram bezpečnostních údajů

Pokud máte povolené vícefaktorové ověřování i SSPR, doporučujeme vynutit registraci vícefaktorového ověřování.

Pokud zásady SSPR vyžadují, aby uživatelé pravidelně kontrolovali své bezpečnostní údaje, uživatelé se přeruší během přihlašování a zobrazí všechny jejich registrované metody. Aktuální informace si můžou ověřit, pokud jsou aktuální, nebo můžou v případě potřeby provádět změny. Uživatelé musí při přístupu k této stránce provádět vícefaktorové ověřování.

Režim správy

Uživatelé mají přístup k režimu správy tak, že přejdete nebo https://aka.ms/mysecurityinfo vyberete Bezpečnostní údaje z mého účtu. Odsud můžou uživatelé přidávat metody, odstraňovat nebo měnit existující metody, měnit výchozí metodu a další.

Klíčové scénáře použití

Nastavení bezpečnostních údajů během přihlašování

Správce vynutil registraci.

Uživatel nenastavil všechny požadované bezpečnostní údaje a přejde do Azure Portal. Po zadání uživatelského jména a hesla se uživateli zobrazí výzva k nastavení bezpečnostních údajů. Uživatel pak provede kroky uvedené v průvodci a nastaví požadované bezpečnostní údaje. Pokud nastavení povolíte, uživatel si může nastavit jiné metody, než jsou uvedené ve výchozím nastavení. Po dokončení průvodce zkontrolují metody, které nastaví, a jejich výchozí metodu pro vícefaktorové ověřování. Pokud chcete dokončit proces nastavení, uživatel potvrdí informace a pokračuje v Azure Portal.

Nastavení bezpečnostních údajů z mého účtu

Správce nevynucoval registraci.

Uživatel, který ještě nenastavil všechny požadované bezpečnostní údaje, přejde na https://myaccount.microsoft.com. Uživatel vybere v levém podokně bezpečnostní údaje . Odtud se uživatel rozhodne přidat metodu, vybere některou z dostupných metod a provede kroky k nastavení této metody. Po dokončení se uživateli zobrazí metoda, která byla nastavena na stránce Bezpečnostní údaje.

Nastavení dalších metod po částečné registraci

Pokud uživatel částečně splnil vícefaktorové ověřování nebo registraci SSPR kvůli stávající registraci metod ověřování prováděné uživatelem nebo správcem, zobrazí se uživatelům výzva k registraci dalších informací povolených nastavením zásad ověřování, pokud je vyžadována registrace. Pokud je pro uživatele k dispozici více než jedna jiná metoda ověřování, která se má vybrat a zaregistrovat, zobrazí se možnost prostředí registrace s názvem Chci nastavit jinou metodu a umožní uživateli nastavit požadovanou metodu ověřování.

Snímek obrazovky s postupem nastavení jiné metody

Odstranění bezpečnostních údajů z účtu

Uživatel, který dříve nastavil aspoň jednu metodu, přejde na https://aka.ms/mysecurityinfo. Uživatel se rozhodne odstranit jednu z dříve registrovaných metod. Po dokončení už uživatel na stránce Bezpečnostní informace nevidí danou metodu.

Změna výchozí metody z mého účtu

Uživatel, který dříve nastavil aspoň jednu metodu, kterou lze použít pro vícefaktorové ověřování, přejde na https://aka.ms/mysecurityinfo. Uživatel změní aktuální výchozí metodu na jinou výchozí metodu. Po dokončení se uživateli na stránce Bezpečnostní informace zobrazí nová výchozí metoda.

Přepnout adresář

Externí identita, jako je uživatel B2B, může být potřeba přepnout adresář, aby se změnily informace o registraci zabezpečení pro tenanta třetí strany. Uživatelé, kteří přistupují k tenantovi prostředků, se navíc můžou po změně nastavení ve svém domovském tenantovi zaměňovat, ale změny se projeví v tenantovi prostředků.

Uživatel například nastaví nabízené oznámení aplikace Microsoft Authenticator jako primární ověřování pro přihlášení k domovskému tenantovi a jako další možnost má také SMS/Text. Tento uživatel je také nakonfigurovaný s možností SMS/Text v tenantovi prostředku. Pokud tento uživatel odebere SMS/Text jako jednu z možností ověřování ve svém domovském tenantovi, zaměňuje se při přístupu k tenantovi prostředku, aby odpověděl na sms/textovou zprávu.

Pokud chcete přepnout adresář v Azure Portal, klikněte v pravém horním rohu na uživatelské jméno účtu a klikněte na Přepnout adresář.

Externí uživatelé můžou přepnout adresář.

Další kroky

Pokud chcete začít, podívejte se na kurzy, které umožňují samoobslužné resetování hesla a povolují Azure AD Multi-Factor Authentication.

Zjistěte, jak povolit kombinovanou registraci v tenantovi nebo vynutit, aby uživatelé znovu zaregistrovali metody ověřování.

Můžete také zkontrolovat dostupné metody pro Azure AD Multi-Factor Authentication a SSPR.