Jaké metody ověřování jsou k dispozici v Microsoft Entra ID?
Microsoft doporučuje metody ověřování bez hesla, jako jsou Windows Hello, Klíče (FIDO2) a aplikace Microsoft Authenticator, protože poskytují nejbezpečnější přihlašovací prostředí. I když se uživatel může přihlásit pomocí jiných běžných metod, jako je uživatelské jméno a heslo, hesla by se měla nahradit bezpečnějšími metodami ověřování.
Vícefaktorové ověřování Microsoftu přidává další zabezpečení jenom při přihlášení uživatele pomocí hesla. Uživatel může být vyzván k zadání dalších forem ověřování, jako je odpověď na nabízené oznámení, zadání kódu ze softwarového nebo hardwarového tokenu nebo odpověď na textovou zprávu nebo telefonní hovor.
Pokud chcete zjednodušit přihlašování uživatelů a zaregistrovat se pro vícefaktorové ověřování i samoobslužné resetování hesla (SSPR), doporučujeme povolit kombinovanou registraci bezpečnostních informací. Kvůli odolnosti doporučujeme vyžadovat, aby uživatelé zaregistrovali více metod ověřování. Pokud jedna metoda není pro uživatele dostupná během přihlašování nebo samoobslužného resetování hesla, může se rozhodnout ověřit pomocí jiné metody. Další informace naleznete v tématu Vytvoření odolné strategie řízení přístupu v Microsoft Entra ID.
Jak jednotlivé metody ověřování fungují
Některé metody ověřování se dají použít jako primární faktor při přihlášení k aplikaci nebo zařízení, jako je použití klíče zabezpečení FIDO2 nebo hesla. Jiné metody ověřování jsou k dispozici pouze jako sekundární faktor, pokud používáte vícefaktorové ověřování Microsoft Entra nebo SSPR.
Následující tabulka popisuje, kdy je možné použít metodu ověřování během události přihlášení:
| metoda | Primární ověření | Sekundární ověřování |
|---|---|---|
| Windows Hello pro firmy | Ano | MFA* |
| Nabízení oznámení microsoft Authenticatoru | No | MFA a SSPR |
| Bez hesla Microsoft Authenticatoru | Ano | Ne* |
| Klíč Microsoft Authenticatoru (Preview) | Ano | MFA a SSPR |
| Authenticator Lite | No | MFA |
| Klíč (FIDO2) | Ano | MFA |
| Ověřování pomocí certifikátů | Ano | MFA |
| Hardwarové tokeny OATH (Preview) | No | MFA a SSPR |
| Softwarové tokeny OATH | No | MFA a SSPR |
| Metody externího ověřování (Preview) | No | MFA |
| Dočasný přístupový pass (TAP) | Ano | MFA |
| SMS | Ano | MFA a SSPR |
| Hlasový hovor | No | MFA a SSPR |
| Password | Yes | No |
* Windows Hello pro firmy sama o sobě neslouží jako podrobné přihlašovací údaje vícefaktorového ověřování. Například výzva MFA z frekvence přihlášení nebo požadavku SAML obsahující forceAuthn=true. Windows Hello pro firmy může sloužit jako krokování přihlašovacích údajů vícefaktorového ověřování pomocí ověřování FIDO2. To vyžaduje, aby uživatelé měli zaregistrované ověřování FIDO2, aby úspěšně fungovali.
* Přihlášení bez hesla se dá použít pro sekundární ověřování jenom v případě, že se pro primární ověřování používá ověřování založené na certifikátech (CBA). Další informace naleznete v tématu Technické podrobné informace o ověřování založeném na certifikátech společnosti Microsoft Entra.
Všechny tyto metody ověřování je možné nakonfigurovat v Centru pro správu Microsoft Entra a stále častěji používat rozhraní Microsoft Graph REST API.
Další informace o tom, jak jednotlivé metody ověřování fungují, najdete v následujících samostatných koncepčních článcích:
- Windows Hello pro firmy
- Aplikace Microsoft Authenticator
- Authenticator Lite
- Klíč (FIDO2)
- Ověřování pomocí certifikátů
- Hardwarové tokeny OATH (Preview)
- Softwarové tokeny OATH
- Metody externího ověřování (Preview)
- Dočasný přístupový pass (TAP)
- Přihlášení a ověření SMS
- Ověření hlasových hovorů
- Heslo
Poznámka:
V Microsoft Entra ID je heslo často jednou z primárních metod ověřování. Metodu ověřování heslem nemůžete zakázat. Pokud jako primární ověřovací faktor použijete heslo, zvyšte zabezpečení událostí přihlašování pomocí vícefaktorového ověřování Microsoft Entra.
V určitých scénářích je možné použít následující další metody ověřování:
- Hesla aplikací – používá se pro staré aplikace, které nepodporují moderní ověřování a dají se nakonfigurovat pro vícefaktorové ověřování Microsoft Entra pro jednotlivé uživatele.
- Bezpečnostní otázky – používá se jenom pro samoobslužné resetování hesla
- E-mailová adresa – používá se jenom pro samoobslužné resetování hesla
Použitelné a nepouvatelné metody
Správci můžou zobrazit metody ověřování uživatelů v Centru pro správu Microsoft Entra. Použitelné metody jsou uvedeny jako první, následované nepouvatelnými metodami.
Každá metoda ověřování se může stát nepoužitelnou z různých důvodů. Platnost dočasného přístupového passu může například vypršet nebo může selhat ověření identity pomocí klíče zabezpečení FIDO2. Portál se aktualizuje tak, aby poskytoval důvod, proč metoda není použitelná.
Tady se zobrazí také metody ověřování, které už nejsou dostupné kvůli možnosti Vyžadovat opakované registraci vícefaktorového ověřování.
Další kroky
Začněte tím, že si prohlédnete kurz samoobslužného resetování hesla (SSPR) a vícefaktorového ověřování Microsoft Entra.
Další informace o konceptech SSPR najdete v tématu Jak funguje samoobslužné resetování hesla Microsoft Entra.
Další informace o konceptech vícefaktorového ověřování MFA najdete v tématu Jak funguje vícefaktorové ověřování Microsoftu.
Přečtěte si další informace o konfiguraci metod ověřování pomocí rozhraní Microsoft Graph REST API.
Pokud chcete zkontrolovat, jaké metody ověřování se používají, projděte si analýzu metody vícefaktorového ověřování v Microsoft Entra pomocí PowerShellu.