Kdy použít poskytovatele vícefaktorového ověřování Microsoft Entra
Důležitý
Od 1. září 2018 se už nemusí vytvářet noví poskytovatelé ověřování. Stávající poskytovatelé ověřování se můžou dál používat a aktualizovat, ale migrace už není možná. Vícefaktorové ověřování bude nadále dostupné jako funkce v licencích Microsoft Entra ID P1 nebo P2.
Dvoustupňové ověřování je ve výchozím nastavení k dispozici správcům v ID Microsoft Entra a uživatelům Microsoftu 365. Pokud ale chcete využívat pokročilé funkce , měli byste povolit vícefaktorové ověřování Microsoft Entra pomocí podmíněného přístupu. Další informace najdete v tématu Běžné zásady podmíněného přístupu: Vyžadování vícefaktorového ověřování pro všechny uživatele.
Zprostředkovatel vícefaktorového ověřování Microsoft Entra se používá k využití funkcí poskytovaných vícefaktorovým ověřováním Microsoft Entra pro uživatele, kteří nemají licence.
Upozornění související se sadou Azure MFA SDK
Všimněte si, že sada SDK je zastaralá a bude fungovat až do 14. listopadu 2018. Po uplynutí této doby se volání sady SDK nezdaří.
Co je poskytovatel MFA?
Existují dva typy poskytovatelů ověřování a rozdíl spočívá v tom, jak se účtuje vaše předplatné Azure. Možnost ověřování vypočítá počet ověření provedených u vašeho tenanta za měsíc. Tato možnost je nejlepší, pokud se některé účty ověřují jenom občas. Možnost pro jednotlivé uživatele vypočítá počet účtů, které mají nárok na provádění vícefaktorového ověřování, což jsou všechny účty v ID Microsoft Entra a všechny povolené účty na MFA Serveru. Tato možnost je nejlepší, pokud někteří uživatelé mají licence, ale potřebujete vícefaktorové ověřování rozšířit na více uživatelů nad rámec vašich licenčních limitů.
Správa poskytovatele MFA
Po vytvoření zprostředkovatele MFA nemůžete změnit model využití (na povoleného uživatele nebo ověřování).
Pokud jste zakoupili dostatek licencí pro pokrytí všech uživatelů, kteří mají povolené vícefaktorové ověřování, můžete poskytovatele MFA úplně odstranit.
Pokud váš poskytovatel MFA není propojený s tenantem Microsoft Entra nebo nový poskytovatel MFA propojíte s jiným tenantem Microsoft Entra, uživatelská nastavení a možnosti konfigurace se nepřenesou. Stávající servery Azure MFA je také potřeba znovu aktivovat pomocí přihlašovacích údajů aktivace vygenerovaných prostřednictvím zprostředkovatele MFA.
Odebrání zprostředkovatele ověřování
Opatrnost
Při odstraňování zprostředkovatele ověřování není k dispozici žádné potvrzení. Výběr možnosti Odstranit je trvalý proces.
Zprostředkovatelé ověřování najdete v Centru pro správu Microsoft Entra. Přihlaste se alespoň jako správce zásad ověřování. Přejděte na Ochranu>zprostředkovatelů vícefaktorového ověřování.> Kliknutím na uvedené poskytovatele zobrazíte podrobnosti a konfigurace přidružené k zprostředkovateli.
Před odebráním zprostředkovatele ověřování si poznamenejte všechna přizpůsobená nastavení nakonfigurovaná ve vašem poskytovateli. Rozhodněte se, jaká nastavení je potřeba migrovat na obecná nastavení vícefaktorového ověřování od poskytovatele, a dokončete migraci těchto nastavení.
Servery Azure MFA propojené s poskytovateli se budou muset znovu aktivovat pomocí přihlašovacích údajů vygenerovaných v nastavení serveru. Před opětovnou aktivací je nutné z adresáře na serverech Azure MFA ve vašem prostředí odstranit \Program Files\Multi-Factor Authentication Server\Data\ následující soubory:
- caCert
- hotovka
- groupCACert
- groupKey
- groupName
- licenseKey
- pkey
Po potvrzení migrace všech nastavení přejděte na Poskytovatele a vyberte tři tečky ... a vyberte Odstranit.
Varování
Odstraněním zprostředkovatele ověřování odstraníte všechny informace o vytváření sestav přidružené k zprostředkovateli. Před odstraněním poskytovatele můžete chtít sestavy aktivit uložit.
Poznámka
Uživatelé se staršími verzemi aplikace Microsoft Authenticator a Azure MFA Server možná budou muset aplikaci znovu zaregistrovat.
Další kroky
Konfigurace nastavení vícefaktorového ověřování
Běžné zásady podmíněného přístupu: Vyžadování vícefaktorového ověřování pro všechny uživatele