Jak to funguje: Vícefaktorové ověřování Microsoft Entra
Vícefaktorové ověřování je proces, při kterém se uživatelům během procesu přihlašování zobrazí výzva k další formě identifikace, jako je například kód na mobilním telefonu nebo při skenování otisku prstu.
Pokud k ověření uživatele použijete jenom heslo, ponechá nezabezpečený vektor útoku. Pokud je heslo slabé nebo je vystavené jinde, útočník ho může použít k získání přístupu. Pokud vyžadujete druhou formu ověřování, zvyšuje se zabezpečení, protože tento dodatečný faktor není něco, co útočník snadno získá nebo duplikuje.
Vícefaktorové ověřování Microsoft Entra funguje tak, že vyžaduje dvě nebo více následujících metod ověřování:
- Něco, co víte, obvykle heslo.
- Něco, co máte, například důvěryhodné zařízení, které není snadno duplikované, jako je telefon nebo hardwarový klíč.
- Něco, co jste - biometrické údaje jako otisk prstu nebo sken obličeje.
Vícefaktorové ověřování Microsoft Entra může také zabezpečit resetování hesla. Když se uživatelé zaregistrují pro vícefaktorové ověřování Microsoft Entra, můžou si také zaregistrovat samoobslužné resetování hesla v jednom kroku. Správci můžou zvolit formy sekundárního ověřování a nakonfigurovat výzvy pro vícefaktorové ověřování na základě rozhodnutí o konfiguraci.
Abyste mohli používat vícefaktorové ověřování Microsoft Entra, nemusíte měnit aplikace a služby. Výzvy k ověření jsou součástí přihlášení Microsoft Entra, které automaticky požaduje a zpracovává výzvu vícefaktorového ověřování v případě potřeby.
Poznámka:
Jazyk výzvy je určen nastavením národního prostředí prohlížeče. Pokud používáte vlastní pozdravy, ale nemáte ho pro jazyk identifikovaný v národním prostředí prohlížeče, používá se ve výchozím nastavení angličtina. Server NPS (Network Policy Server) bude vždy používat angličtinu ve výchozím nastavení bez ohledu na vlastní pozdravy. Angličtina se ve výchozím nastavení používá také v případě, že národní prostředí prohlížeče není možné identifikovat.
Dostupné metody ověřování
Když se uživatelé přihlásí k aplikaci nebo službě a dostanou výzvu k vícefaktorovém ověřování, můžou si vybrat z některého z registrovaných formulářů dodatečného ověření. Uživatelé mají přístup k mému profilu a můžou upravovat nebo přidávat metody ověřování.
S vícefaktorovým ověřováním Microsoft Entra lze použít následující další formy ověření:
- Microsoft Authenticator
- Authenticator Lite (v Outlooku)
- Windows Hello pro firmy
- Klíč (FIDO2)
- Klíč v Microsoft Authenticatoru (Preview)
- Ověřování na základě certifikátů (při konfiguraci pro vícefaktorové ověřování)
- Metody externího ověřování (Preview)
- Dočasný přístupový pass (TAP)
- Hardwarový token OATH (Preview)
- Softwarový token OATH
- SMS
- Hlasový hovor
Povolení a používání vícefaktorového ověřování Microsoft Entra
Výchozí nastavení zabezpečení v tenantech Microsoft Entra můžete použít k rychlému povolení aplikace Microsoft Authenticator pro všechny uživatele. Vícefaktorové ověřování Microsoft Entra můžete povolit tak, aby během přihlašování zobrazovaly výzvy uživatelům a skupinám k dalšímu ověření.
Podrobnější ovládací prvky můžete použít k definování událostí nebo aplikací vyžadujících vícefaktorové ověřování pomocí zásad podmíněného přístupu . Tyto zásady můžou povolit pravidelné přihlašování, pokud je uživatel v podnikové síti nebo registrovaném zařízení, ale může se zobrazit výzva k dalším ověřovacím faktorům, když je uživatel vzdálený nebo na osobním zařízení.
Další kroky
Další informace o licencování najdete v tématu Funkce a licence pro vícefaktorové ověřování Microsoft Entra.
Další informace o různých metodách ověřování a ověřování najdete v tématu Metody ověřování v Microsoft Entra ID.
Pokud chcete zobrazit MFA v akci, povolte vícefaktorové ověřování Microsoft Entra pro sadu testovacích uživatelů v následujícím kurzu: