Migrace nastavení zásad MFA a SSPR na zásady metod ověřování pro Microsoft Entra ID
Můžete migrovat starší nastavení zásad Microsoft Entra ID, která samostatně řídí vícefaktorové ověřování a samoobslužné resetování hesla (SSPR) na jednotnou správu pomocí zásad metod ověřování.
Nastavení zásad migrujete podle vlastního plánu a proces je plně nevratný. Zásady vícefaktorového ověřování a SSPR pro celého tenanta můžete dál používat, zatímco metody ověřování konfigurujete přesněji pro uživatele a skupiny v zásadách metod ověřování. Migraci dokončíte vždy, když budete připraveni spravovat všechny metody ověřování společně v zásadách metod ověřování.
Další informace o tom, jak tyto zásady spolupracují během migrace, naleznete v tématu Správa metod ověřování pro Microsoft Entra ID.
Než začnete
Začněte auditováním stávajících nastavení zásad pro každou metodu ověřování, která je k dispozici pro uživatele. Pokud se během migrace vrátíte zpět, můžete z každé z těchto zásad chtít zaznamenat nastavení metody ověřování:
- Zásady MFA
- Zásady samoobslužného resetování hesla (pokud se používají)
- Zásady metod ověřování (pokud se používají)
Pokud nepoužíváte SSPR a ještě nepoužíváte zásady ověřování, stačí získat nastavení jenom ze zásad vícefaktorového ověřování.
Kontrola starších zásad vícefaktorového ověřování
Začněte dokumentováním metod dostupných ve starších zásadách vícefaktorového ověřování. Přihlaste se k Centru pro správu Microsoft Entra jako globální Správa istrator. Chcete-li zobrazit nastavení služby MFA>pro jednotlivé uživatele, přejděte do části Uživatelé>identity>Všichni uživatelé.> Tato nastavení jsou v rámci celého tenanta, takže informace o uživateli nebo skupině nejsou potřeba.
Pro každou metodu si všimněte, jestli je pro tenanta povolená nebo ne. Následující tabulka uvádí metody dostupné ve starších zásadách vícefaktorového ověřování a odpovídající metody v zásadách metody ověřování.
| Zásady vícefaktorového ověřování | Zásady metod ověřování |
|---|---|
| Telefonní hovor | hlasové hovory |
| Textová zpráva na telefon | SMS |
| Oznámení přes mobilní aplikaci | Microsoft Authenticator |
| Ověřovací kód z mobilní aplikace nebo hardwarového tokenu | Tokeny OATH softwaru třetích stran Hardwarové tokeny OAuth Microsoft Authenticator |
Kontrola starších zásad samoobslužného resetování hesla
Pokud chcete získat metody ověřování dostupné ve starších zásadách samoobslužného resetování hesla, přejděte do části Metody ověřování resetování>hesla uživatele>identity.> Následující tabulka uvádí dostupné metody ve starších zásadách samoobslužného resetování hesla a odpovídající metody v zásadách metody ověřování.
Poznamenejte si, kteří uživatelé jsou v oboru samoobslužného resetování hesla (buď všichni uživatelé, jedna konkrétní skupina, nebo žádní uživatelé) a metody ověřování, které můžou použít. I když ještě nejsou bezpečnostní otázky k dispozici pro správu v zásadách metod ověřování, nezapomeňte je zaznamenat pro pozdější použití.
| Metody ověřování SSPR | Zásady metod ověřování |
|---|---|
| Oznámení v mobilní aplikaci | Microsoft Authenticator |
| Kód mobilní aplikace | Microsoft Authenticator Softwarové tokeny OATH |
| Poslat e-mail | Jednorázové heslo e-mailu |
| Mobilní telefon | hlasové hovory SMS |
| Telefon do kanceláře | hlasové hovory |
| Bezpečnostní otázky | Ještě nejsou k dispozici; kopírování otázek k pozdějšímu použití |
Zásady metod ověřování
Pokud chcete zkontrolovat nastavení zásad metod ověřování, přihlaste se do Centra pro správu Microsoft Entra jako alespoň zásady ověřování Správa istrator a přejděte na Zásady ověřování>ochrany.> Nový tenant má ve výchozím nastavení všechny metody vypnuté , což usnadňuje migraci, protože starší nastavení zásad není potřeba sloučit s existujícími nastaveními.
- Přihlaste se do Centra pro správu Microsoft Entra jako alespoň zásady ověřování Správa istrator.
- Přejděte k metodám ověřování ochrany>.>
Zásady metod ověřování mají jiné metody, které nejsou k dispozici ve starších zásadách, jako je klíč zabezpečení FIDO2, dočasné přístupové pass a ověřování založené na certifikátu Microsoft Entra. Tyto metody nejsou v rozsahu migrace a pokud jste je už nakonfigurovali, nemusíte v nich provádět žádné změny.
Pokud jste v zásadách metod ověřování povolili jiné metody, zapište uživatele a skupiny, kteří tyto metody můžou nebo nemůžou používat. Poznamenejte si parametry konfigurace, které určují způsob použití metody. Microsoft Authenticator můžete například nakonfigurovat tak, aby poskytoval umístění v nabízených oznámeních. Vytvořte záznam o tom, kteří uživatelé a skupiny jsou povoleni pro podobné konfigurační parametry přidružené ke každé metodě.
Spuštění migrace
Po zachycení dostupných metod ověřování ze zásad, které aktuálně používáte, můžete zahájit migraci. Otevřete zásady metod ověřování, vyberte Spravovat migraci a vyberte Probíhající migrace.
Tuto možnost budete chtít nastavit před provedením jakýchkoli změn, protože použijete nové zásady pro scénáře přihlášení i resetování hesla.
Dalším krokem je aktualizace zásad metod ověřování tak, aby odpovídaly vašemu auditu. Jednotlivé metody si budete chtít projít 1:1. Pokud váš tenant používá jenom starší zásady vícefaktorového ověřování a nepoužívá samoobslužné resetování hesla, je aktualizace jednoduchá – každou metodu můžete povolit všem uživatelům a přesně odpovídat stávajícím zásadám.
Pokud váš tenant používá vícefaktorové ověřování i samoobslužné resetování hesla, budete muset zvážit každou metodu:
- Pokud je tato metoda povolená v obou starších zásadách, povolte ji pro všechny uživatele v zásadách metod ověřování.
- Pokud je tato metoda v obou starších zásadách vypnutá, ponechte ji pro všechny uživatele v zásadách metod ověřování.
- Pokud je metoda povolená pouze v jedné zásadě, musíte se rozhodnout, jestli by měla být dostupná ve všech situacích.
Kde se zásady shodují, můžete snadno odpovídat aktuálnímu stavu. Pokud dojde k neshodě, budete se muset rozhodnout, jestli se metoda úplně povolí nebo zakáže. Předpokládejme například, že oznámení prostřednictvím mobilní aplikace umožňuje nabízená oznámení pro vícefaktorové ověřování. Ve starších zásadách SSPR není povolená metoda oznámení mobilní aplikace. V takovém případě starší zásady umožňují nabízená oznámení pro vícefaktorové ověřování, ale ne samoobslužné resetování hesla.
V zásadách metod ověřování pak budete muset zvolit, jestli chcete povolit Microsoft Authenticator pro SSPR i MFA, nebo ho zakázat (doporučujeme povolit Microsoft Authenticator).
Všimněte si, že v zásadách metod ověřování máte možnost povolit metody pro skupiny uživatelů kromě všech uživatelů a můžete také vyloučit skupiny uživatelů z možnosti používat danou metodu. To znamená, že máte velkou flexibilitu, abyste mohli řídit, které metody můžou uživatelé používat. Microsoft Authenticator můžete například povolit pro všechny uživatele a omezit sms a hlasový hovor na 1 skupinu 20 uživatelů, kteří tyto metody potřebují.
Při aktualizaci jednotlivých metod v zásadách metod ověřování mají některé metody konfigurovatelné parametry, které umožňují řídit způsob použití této metody. Pokud například povolíte hlasové hovory jako metodu ověřování, můžete povolit telefon do kanceláře i mobilní telefony nebo jenom mobilní zařízení. Projděte si proces konfigurace každé metody ověřování z auditu.
Nemusí však vašim stávajícím zásadám odpovídat. Je to skvělá příležitost projít si povolené metody a zvolit nové zásady, která maximalizují zabezpečení a použitelnost vašeho tenanta. Upozorňujeme, že pokud zakážete metody pro uživatele, kteří už je používají, může být vyžadováno, aby tito uživatelé zaregistrovali nové metody ověřování a aby jim bylo zabráněno v používání dříve registrovaných metod.
V dalších částech najdete konkrétní pokyny k migraci pro jednotlivé metody.
Jednorázové heslo e-mailu
Pro jednorázový přístupový kód e-mailu existují dva ovládací prvky:
Cílení na použití zahrnutí a vyloučení v části Povolit a cíl konfigurace slouží k povolení jednorázového hesla e-mailu pro členy tenanta pro použití v resetování hesla.
Existuje samostatná možnost Povolit externím uživatelům používat ovládací prvek jednorázového hesla e-mailu v části Konfigurace , která řídí použití jednorázového hesla e-mailu pro přihlášení uživatelů B2B. Pokud je tento ovládací prvek povolený, metoda ověřování se nedá zakázat.
Microsoft Authenticator
Pokud je ve starších zásadách vícefaktorového ověřování povolené oznámení prostřednictvím mobilní aplikace , povolte microsoft Authenticator pro všechny uživatele v zásadách metod ověřování. Nastavte režim ověřování na libovolnou , abyste povolili nabízená oznámení nebo ověřování bez hesla.
Pokud je ve starších zásadách vícefaktorového ověřování povolený ověřovací kód z mobilní aplikace nebo hardwarového tokenu , nastavte možnost Povolit použití jednorázového hesla microsoft Authenticatoru na ano.
SMS a hlasové hovory
Starší zásady vícefaktorového ověřování mají samostatné ovládací prvky pro volání SMS a Telefon. Existuje ale také ovládací prvek mobilní telefon , který umožňuje mobilní telefony pro SMS i hlasové hovory. A jiný ovládací prvek pro telefon Office umožňuje telefon do kanceláře jenom pro hlasový hovor.
Zásady metod ověřování mají kontrolu pro sms a hlasové hovory, které odpovídají starším zásadám vícefaktorového ověřování. Pokud váš tenant používá SSPR a mobilní telefon je povolený, budete chtít v zásadách ověřování povolit jak SMS, tak hlasové hovory. Pokud váš tenant používá SSPR a telefon Office je povolený, budete chtít povolit hlasové hovory v zásadách metod ověřování a zajistit, aby byla povolená možnost telefon v Office.
Poznámka:
Možnost Použít pro přihlášení je ve výchozím nastavení serveru SMS povolená. Tato možnost povolí přihlášení přes SMS. Pokud je pro uživatele povolené přihlášení přes SMS, přeskočí se z synchronizace mezi tenanty. Pokud používáte synchronizaci mezi tenanty nebo nechcete povolit přihlášení pomocí SMS, zakažte pro cílové uživatele přihlášení pomocí SMS.
Tokeny OATH
Ovládací prvky tokenu OATH ve starších zásadách vícefaktorového ověřování a SSPR byly jedinými ovládacími prvky, které povolily použití tří různých typů tokenů OATH: aplikace Microsoft Authenticator, aplikace softwaru OATH TOTP a hardwarové tokeny OATH.
Zásady metod ověřování mají podrobné řízení s samostatnými ovládacími prvky pro každý typ tokenu OATH. Použití jednorázového hesla z Microsoft Authenticatoru je řízeno ovládacím prvek Povolit použití ovládacího prvku OTP aplikace Microsoft Authenticator v části Microsoft Authenticator zásad. Aplikace třetích stran jsou řízeny oddílem softwarových tokenů OATH třetích stran zásad. Hardwarové tokeny OATH jsou řízeny oddílem Hardwarové tokeny OATH zásad.
Bezpečnostní otázky
Brzy bude k dispozici kontrola bezpečnostních otázek . Pokud používáte bezpečnostní otázky a nechcete je zakázat, ujistěte se, že jsou povolené ve starších zásadách samoobslužného resetování hesla, dokud nebude nový ovládací prvek k dispozici. Migraci můžete dokončit podle popisu v další části s povolenými bezpečnostními dotazy.
Dokončení migrace
Po aktualizaci zásad metod ověřování projděte starší zásady vícefaktorového ověřování a zásady SSPR a odeberte jednotlivé metody ověřování 1:1. Otestujte a ověřte změny pro každou metodu.
Když zjistíte, že vícefaktorové ověřování a samoobslužné resetování hesla fungují podle očekávání a už nepotřebujete starší zásady MFA a SSPR, můžete proces migrace změnit na Dokončení migrace. V tomto režimu se microsoft Entra-only řídí zásadami metod ověřování. Pokud je migrace dokončena, není možné ve starších zásadách provádět žádné změny, s výjimkou otázek zabezpečení v zásadách samoobslužného resetování hesla. Pokud se z nějakého důvodu potřebujete vrátit ke starším zásadám, můžete stav migrace kdykoli přesunout zpět do probíhající migrace.
