Správa metod ověřování uživatelů pro Azure AD Multi-Factor Authentication

Uživatelé v Azure AD mají dvě různé sady kontaktních informací:

  • Kontaktní informace veřejného profilu, které se spravují v profilu uživatele a vidí je členům vaší organizace. Pro uživatele synchronizované z místní Active Directory se tyto informace spravují v místní Windows Server Active Directory Domain Services.
  • Metody ověřování, které jsou vždy soukromé a používají se pouze k ověřování, včetně vícefaktorového ověřování (MFA). Správci můžou tyto metody spravovat v okně Metody ověřování uživatele a uživatelé můžou spravovat své metody na stránce Bezpečnostní údaje v části MyAccount.

Při správě Azure AD metod vícefaktorového ověřování pro vaše uživatele můžou správci ověřování:

  1. Přidejte metody ověřování pro konkrétního uživatele, včetně telefonních čísel používaných pro vícefaktorové ověřování.
  2. Resetování hesla uživatele
  3. Vyžadovat, aby se uživatel znovu zaregistroval pro MFA.
  4. Odvolá stávající relace vícefaktorového ověřování.
  5. Odstranění existujících hesel aplikací uživatele

Přidání metod ověřování pro uživatele

Metody ověřování pro uživatele můžete přidat prostřednictvím Azure Portal nebo Microsoft Graphu.

Poznámka

Z bezpečnostních důvodů by se k vícefaktorové ověřování neměla používat veřejná pole kontaktních informací uživatele. Místo toho by uživatelé měli naplnit čísla metod ověřování, která se mají použít pro vícefaktorové ověřování.

Přidání metod ověřování z Azure Portal

Přidání metod ověřování pro uživatele prostřednictvím Azure Portal:

  1. Přihlaste se k webu Azure Portal.
  2. Přejděte naUživatelé>Azure Active Directory>Všichni uživatelé.
  3. Zvolte uživatele, pro kterého chcete přidat metodu ověřování, a vyberte Metody ověřování.
  4. V horní části okna vyberte + Přidat metodu ověřování.
    1. Vyberte metodu (telefonní číslo nebo e-mail). Email se dají použít k resetování vlastního hesla, ale ne k ověřování. Při přidávání telefonního čísla vyberte typ telefonu a zadejte telefonní číslo v platném formátu (např. +1 4255551234).
    2. Vyberte Přidat.

Poznámka

Prostředí ve verzi Preview umožňuje správcům přidávat všechny dostupné metody ověřování pro uživatele, zatímco původní prostředí umožňuje pouze aktualizaci telefonu a alternativních metod pro telefon.

Správa metod pomocí PowerShellu:

Nainstalujte Microsoft. PowerShellový modul Graph.Identity.Signins pomocí následujících příkazů.

Install-module Microsoft.Graph.Identity.Signins
Connect-MgGraph -Scopes UserAuthenticationMethod.ReadWrite.All
Select-MgProfile -Name beta

Vypíše metody ověřování pomocí telefonu pro konkrétního uživatele.

Get-MgUserAuthenticationPhoneMethod -UserId balas@contoso.com

Vytvořte metodu ověřování mobilním telefonem pro konkrétního uživatele.

New-MgUserAuthenticationPhoneMethod -UserId balas@contoso.com -phoneType "mobile" -phoneNumber "+1 7748933135"

Odebrání konkrétní metody telefonu pro uživatele

Remove-MgUserAuthenticationPhoneMethod -UserId balas@contoso.com -PhoneAuthenticationMethodId 3179e48a-750b-4051-897c-87b9720928f7

Metody ověřování je možné spravovat také pomocí Microsoft rozhraní Graph API. Další informace najdete v dokumentu Azure AD přehledu rozhraní API metod ověřování.

Správa možností ověřování uživatelů

Pokud máte přiřazenou roli Správce ověřování , můžete požadovat, aby si uživatelé resetovali heslo, znovu se zaregistrovali k vícefaktorovému ověřování nebo odvolali stávající relace vícefaktorového ověřování z jejich objektu uživatele. Pokud chcete spravovat uživatelská nastavení, proveďte následující kroky:

  1. Přihlaste se k webu Azure Portal.

  2. Vlevo vyberte Azure Active Directory>Uživatelé>Všichni uživatelé.

  3. Vyberte uživatele, u kterého chcete provést akci, a vyberte Metody ověřování. V horní části okna pak pro uživatele zvolte jednu z následujících možností:

    • Resetování hesla resetuje heslo uživatele a přiřadí dočasné heslo, které je potřeba změnit při příštím přihlášení.

    • Možnost Vyžadovat opětovnou registraci vícefaktorového ověřování zajistí, že když se uživatel příště přihlásí, bude požádán o nastavení nové metody ověřování MFA.

      Poznámka

      Aktuálně zaregistrované metody ověřování uživatele se neodstraní, když správce vyžaduje opětovnou registraci vícefaktorového ověřování. Jakmile se uživatel znovu zaregistruje k vícefaktorovému ověřování, doporučujeme, aby zkontroloval své bezpečnostní údaje a odstranil všechny dříve zaregistrované metody ověřování, které už nejsou použitelné.

    • Odvolání relací MFA vymaže zapamatované relace vícefaktorového ověřování uživatele a vyžaduje, aby provedl vícefaktorové ověřování, jakmile to zásady na zařízení příště vyžadují.

    Správa metod ověřování z Azure Portal

Odstranění existujících hesel aplikací uživatelů

U uživatelů, kteří mají definovaná hesla aplikací, můžou správci také tato hesla odstranit, což způsobí selhání starší verze ověřování v těchto aplikacích. Tyto akce můžou být nezbytné, pokud potřebujete poskytnout pomoc uživateli nebo resetovat metody ověřování. Aplikace bez prohlížeče, které jsou přidružené k těmto heslovým aplikacím, přestanou fungovat, dokud se nevytvořilo nové heslo aplikace.

Pokud chcete odstranit hesla aplikací uživatele, proveďte následující kroky:

  1. Přihlaste se k webu Azure Portal.
  2. Na levé straně vyberte Azure Active Directory>Users>Všichni uživatelé.
  3. Vyberte Multi-Factor Authentication. Možná se budete muset posunout doprava, aby se tato možnost nabídky zobrazila. Vyberte níže uvedený ukázkový snímek obrazovky, abyste viděli úplné okno Azure Portal a umístění nabídky: V okně Uživatelé v Azure AD vyberte Vícefaktorové ověřování.
  4. Zaškrtněte políčko vedle uživatele nebo uživatelů, které chcete spravovat. Na pravé straně se zobrazí seznam možností rychlého kroku.
  5. Vyberte Spravovat uživatelská nastavení a pak zaškrtněte políčko Odstranit všechna existující hesla aplikací vygenerovaná vybranými uživateli, jak je znázorněno v následujícím příkladu: Odstranit všechna existující hesla aplikací.
  6. Vyberte Uložit a pak zavřete.

Další kroky

Tento článek vám ukázal, jak nakonfigurovat jednotlivá uživatelská nastavení. Informace o konfiguraci celkového Azure AD nastavení služby Multi-Factor Authentication najdete v tématu Konfigurace nastavení Azure AD Multi-Factor Authentication.

Pokud vaši uživatelé potřebují pomoc, přečtěte si uživatelskou příručku pro Azure AD Multi-Factor Authentication.