Kombinovaná registrace informací o zabezpečení pro přehled Azure Active Directory

Před kombinovanou registrací uživatelé zaregistrovali metody ověřování pro Azure AD Multi-Factor Authentication a samoobslužné resetování hesla (SSPR) samostatně. Lidé byli zmateni, že podobné metody byly použity pro multi-Factor Authentication a SSPR, ale musely se zaregistrovat pro obě funkce. Teď se uživatelé s kombinovanou registrací můžou zaregistrovat jednou a získat výhody multi-Factor Authentication i SSPR. Doporučujeme toto video o povolení a konfiguraci SSPR v Azure AD

Poznámka

Od 15. srpna 2020 budou všechny nové tenanty Azure AD automaticky povolené pro kombinovanou registraci.

Po 30. září 2022 budou všichni uživatelé registrovat bezpečnostní údaje prostřednictvím kombinovaného registračního prostředí.

Tento článek popisuje, co je kombinovaná registrace zabezpečení. Pokud chcete začít s kombinovanou registrací zabezpečení, přečtěte si následující článek:

My Account showing registered Security info for a user

Než povolíte nové prostředí, projděte si tuto dokumentaci zaměřenou na správce a dokumentaci zaměřenou na uživatele a ujistěte se, že rozumíte funkcím a účinkům této funkce. Na základě trénování v uživatelské dokumentaci připravte uživatele na nové prostředí a pomozte zajistit úspěšné zavedení.

Azure AD kombinovaná registrace informací o zabezpečení je dostupná pro Azure US Government, ale ne pro Azure China 21Vianet.

Důležité

Uživatelé, kteří jsou povoleni pro původní verzi Preview i rozšířené kombinované prostředí registrace, uvidí nové chování. Uživatelé, kteří jsou povoleni pro obě prostředí, uvidí jenom prostředí Můj účet. Můj účet odpovídá vzhledu a chování kombinované registrace a poskytuje bezproblémové prostředí pro uživatele. Uživatelé si můžou zobrazit můj účet tak, že přejdete na https://myaccount.microsoft.com.

Když se přihlásíte k ano, můžete nastavit možnost Vyžadovat, aby se všichni uživatelé při přihlašování zaregistrovali a zajistili tak ochranu všech uživatelů.

Při pokusu o přístup k možnosti Bezpečnostní údaje se může zobrazit chybová zpráva, například "Omlouváme se, ale nemůžeme se přihlásit". Ověřte, že nemáte žádný objekt zásad konfigurace ani skupiny, který blokuje soubory cookie třetích stran ve webovém prohlížeči.

Stránky můj účet jsou lokalizovány na základě jazyka počítače, který přistupuje na stránku. Microsoft ukládá nejnovější jazyk používaný v mezipaměti prohlížeče, takže následné pokusy o přístup ke stránkám se budou dál vykreslovat v posledním použitém jazyce. Pokud mezipaměť vymažete, stránky se znovu vykreslují.

Pokud chcete vynutit konkrétní jazyk, můžete přidat ?lng=<language> na konec adresy URL, kde <language> je kód jazyka, který chcete vykreslit.

Set up SSPR or other security verification methods

Metody dostupné v kombinované registraci

Kombinovaná registrace podporuje následující metody ověřování a akce:

Metoda Registrovat Změnit Odstranit
Microsoft Authenticator Ano (maximálně 5) Ne Ano
Jiná ověřovací aplikace Ano (maximálně 5) Ne Ano
Hardwarový token Ne Ne Ano
Rozložení Ano Ano Ano
Alternativní telefon Ano Ano Ano
Telefon do kanceláře Ano Ano Ano
E-mail Ano Ano Ano
Bezpečnostní otázky Ano Ne Ano
Hesla aplikací Ano Ne Ano
Klíče zabezpečení FIDO2
Spravovaný režim pouze ze stránky Bezpečnostní údaje
Ano Ano Ano

Poznámka

Hesla aplikací jsou dostupná jenom uživatelům, kteří se vynucovali pro vícefaktorové ověřování. Hesla aplikací nejsou dostupná uživatelům, kteří mají povolené vícefaktorové ověřování prostřednictvím zásad podmíněného přístupu.

Uživatelé můžou nastavit jednu z následujících možností jako výchozí metodu Multi-Factor Authentication:

  • Microsoft Authenticator – nabízené oznámení nebo bez hesla
  • Authenticator aplikace nebo hardwarového tokenu – kód
  • Telefon volání
  • Textová zpráva

Poznámka

Virtuální telefonní čísla nejsou podporována pro hlasové hovory nebo SMS zprávy.

Ověřovací aplikace třetích stran neposkytují nabízená oznámení. Jak budeme dál přidávat další metody ověřování do Azure AD, budou tyto metody dostupné v kombinované registraci.

Kombinované režimy registrace

Existují dva režimy kombinované registrace: přerušení a správa.

  • Režim přerušení je prostředí podobné průvodci, které se uživatelům zobrazí při registraci nebo aktualizaci bezpečnostních údajů při přihlášení.
  • Režim správy je součástí profilu uživatele a umožňuje uživatelům spravovat bezpečnostní údaje.

V obou režimech musí uživatelé, kteří už dříve zaregistrovali metodu, která se dá použít pro multi-Factor Authentication, aby mohli získat přístup ke svým bezpečnostním údajům. Uživatelé musí před pokračováním v používání dříve registrovaných metod potvrdit své informace.

Režim přerušení

Kombinovaná registrace dodržuje zásady Multi-Factor Authentication i SSPR, pokud jsou obě povolené pro vašeho tenanta. Tyto zásady určují, jestli je uživatel přerušen pro registraci během přihlašování a jaké metody jsou k dispozici pro registraci. Pokud je povolená jenom zásada SSPR, uživatelé budou moct přerušení registrace přeskočit a dokončit ho později.

Tady jsou ukázkové scénáře, ve kterých se uživatelům může zobrazit výzva k registraci nebo aktualizaci bezpečnostních údajů:

  • Registrace multi-Factor Authentication vynucená prostřednictvím služby Identity Protection: Uživatelům se zobrazí výzva k registraci během přihlašování. Zaregistrují metody multi-Factor Authentication a metody SSPR (pokud je uživatel povolený pro SSPR).
  • Registrace vícefaktorového ověřování vynucená prostřednictvím vícefaktorového ověřování pro jednotlivé uživatele: Uživatelům se při přihlašování zobrazí výzva k registraci. Zaregistrují metody multi-Factor Authentication a metody SSPR (pokud je uživatel povolený pro SSPR).
  • Registrace vícefaktorového ověřování vynucená prostřednictvím podmíněného přístupu nebo jiných zásad: Uživatelům se zobrazí výzva k registraci, když používají prostředek, který vyžaduje vícefaktorové ověřování. Zaregistrují metody multi-Factor Authentication a metody SSPR (pokud je uživatel povolený pro SSPR).
  • Vynucená registrace SSPR: Uživatelům se při přihlašování zobrazí výzva k registraci. Registrují pouze metody SSPR.
  • Vynucená aktualizace SSPR: Uživatelé musí zkontrolovat bezpečnostní údaje v intervalu nastaveném správcem. Uživatelům se zobrazují jejich informace a můžou potvrdit aktuální informace nebo v případě potřeby provést změny.

Při vynucení registrace se uživatelům zobrazí minimální počet metod potřebných pro dodržování zásad multi-Factor Authentication i SSPR, od většiny po nejméně bezpečné. Uživatelé procházející kombinovanou registrací, ve které se vynucuje registrace MFA i SSPR, a zásady samoobslužného resetování hesla vyžadují nejprve dvě metody, které se vyžadují k registraci metody MFA jako první metody a jako druhou registrovanou metodu můžou vybrat jinou metodu MFA nebo SSPR (např. e-mail, bezpečnostní otázky atd.).

Představte si následující ukázkový scénář:

  • Uživatel je povolený pro SSPR. Zásady samoobslužného resetování hesla vyžadují dvě metody resetování a mají povolené Authenticator aplikace, e-mailu a telefonu.
  • Když se uživatel rozhodne zaregistrovat, vyžadují se dvě metody:
    • Uživatel se ve výchozím nastavení zobrazí Authenticator aplikaci a telefon.
    • Uživatel se může rozhodnout registrovat e-mail místo Authenticator aplikace nebo telefonu.

Následující vývojový diagram popisuje, které metody se uživateli zobrazují při přerušení registrace během přihlašování:

Combined security info flowchart

Pokud máte povolené vícefaktorové ověřování i SSPR, doporučujeme vynutit registraci vícefaktorového ověřování.

Pokud zásady samoobslužného resetování hesla vyžadují, aby uživatelé v pravidelných intervalech zkontrolovali své bezpečnostní údaje, uživatelé se přeruší během přihlašování a zobrazí se všechny jejich registrované metody. Můžou potvrdit aktuální informace, pokud jsou aktuální, nebo můžou dělat změny, pokud je potřebují. Uživatelé musí při přístupu k této stránce provádět vícefaktorové ověřování.

Režim správy

Uživatelé mají přístup k režimu správy tak, že z mého účtu vyberou bezpečnostní údaje nebo můžou přejít do https://aka.ms/mysecurityinfo režimu správy. Odsud můžou uživatelé přidávat metody, odstraňovat nebo měnit existující metody, měnit výchozí metodu a provádět další možnosti.

Klíčové scénáře použití

Nastavení bezpečnostních údajů během přihlašování

Správce vynutil registraci.

Uživatel nenastavil všechny požadované bezpečnostní údaje a přejde do Azure Portal. Po zadání uživatelského jména a hesla se uživateli zobrazí výzva k nastavení bezpečnostních údajů. Uživatel pak provede kroky uvedené v průvodci a nastaví požadované bezpečnostní údaje. Pokud to vaše nastavení povolí, uživatel se může rozhodnout nastavit jiné metody než metody zobrazené ve výchozím nastavení. Po dokončení průvodce zkontrolují metody, které nastaví, a jejich výchozí metodu vícefaktorového ověřování. K dokončení procesu nastavení uživatel potvrdí informace a pokračuje v Azure Portal.

Nastavení bezpečnostních údajů z mého účtu

Správce nevynucoval registraci.

Uživatel, který ještě nenastavil všechny požadované bezpečnostní údaje, přejde na https://myaccount.microsoft.com. Uživatel vybere v levém podokně bezpečnostní údaje . Odsud se uživatel rozhodne přidat metodu, vybere některou z dostupných metod a provede kroky k nastavení této metody. Po dokončení se uživateli zobrazí metoda nastavená na stránce Bezpečnostní údaje.

Odstranění bezpečnostních údajů z účtu

Uživatel, který předtím nastavil aspoň jednu metodu, přejde na https://aka.ms/mysecurityinfo. Uživatel se rozhodne odstranit jednu z dříve registrovaných metod. Po dokončení už uživatel na stránce Bezpečnostní informace nevidí danou metodu.

Změna výchozí metody z účtu

Uživatel, který dříve nastavil aspoň jednu metodu, kterou lze použít pro Multi-Factor Authentication, přejde na https://aka.ms/mysecurityinfo. Uživatel změní aktuální výchozí metodu na jinou výchozí metodu. Po dokončení se uživateli na stránce Bezpečnostní informace zobrazí nová výchozí metoda.

Přepnout adresář

Externí identita, například uživatel B2B, může potřebovat přepnout adresář, aby se změnily informace o registraci zabezpečení pro tenanta třetí strany. Uživatelé, kteří přistupují k tenantovi prostředků, se navíc můžou zaměňovat, když změní nastavení ve svém domovském tenantovi, ale neuvidí změny, které se projeví v tenantovi prostředku.

Uživatel například nastaví nabízené oznámení aplikace Microsoft Authenticator jako primární ověřování pro přihlášení k domovskému tenantovi a má také SMS/Text jako jinou možnost. Tento uživatel je také nakonfigurován s možností SMS/Text v tenantovi prostředku. Pokud tento uživatel odebere SMS/Text jako jednu z možností ověřování ve svém domovském tenantovi, při přístupu k tenantovi prostředku se mu zobrazí dotaz, aby odpověděl na SMS/Textovou zprávu.

Pokud chcete přepnout adresář v Azure Portal, klikněte v pravém horním rohu na jméno uživatelského účtu a klikněte na Přepnout adresář.

External users can switch directory.

Další kroky

Pokud chcete začít, prohlédněte si kurzy, jak povolit samoobslužné resetování hesla a povolit Azure AD Multi-Factor Authentication.

Zjistěte, jak povolit kombinovanou registraci ve vašem tenantovi nebo vynutit, aby uživatelé znovu zaregistrovali metody ověřování.

Můžete si také projít dostupné metody pro vícefaktorové ověřování a samoobslužné resetování hesla Azure AD.