Sdílet prostřednictvím

Správa metody externího ověřování v Microsoft Entra ID (Preview)

Metoda externího ověřování (EAM) umožňuje uživatelům zvolit externího poskytovatele, aby splnili požadavky vícefaktorového ověřování (MFA), když se přihlásí k MICROSOFT Entra ID. EAM může splňovat požadavky na vícefaktorové ověřování ze zásad podmíněného přístupu, zásad podmíněného přístupu založeného na rizicích Microsoft Entra ID Protection, aktivace Privileged Identity Management (PIM), a pokud samotná aplikace vyžaduje vícefaktorové ověřování.

EAM se liší od federace v tom, že identita uživatele pochází a je spravována v Microsoft Entra ID. S federací se identita spravuje v externím zprostředkovateli identity. EAM vyžadují alespoň licenci Microsoft Entra ID P1.

Diagram fungování ověřování externích metod

Požadovaná metadata pro konfiguraci EAM

K vytvoření EAM potřebujete od externího zprostředkovatele ověřování následující informace:

  • ID aplikace obecně označuje víceklientní aplikaci od vašeho poskytovatele, která se používá jako součást integrace. Musíte udělit souhlas s administrátorskými právy pro tuto aplikaci ve vašem tenantovi.

  • ID klienta je identifikátor od vašeho zprostředkovatele, který se používá jako součást integrace ověřování k identifikaci ID Microsoft Entra požadujícího ověření.

  • Adresa URL zjišťování je koncový bod zjišťování OpenID Connect (OIDC) pro externího zprostředkovatele ověřování.

    Poznámka:

    Informace o nastavení registrace aplikace najdete v tématu Konfigurace nového externího zprostředkovatele ověřování s ID Microsoft Entra .

    Důležité

    Ujistěte se, že vlastnost kid (ID klíče) je zakódována v base64 v hlavičce JSON Web Tokenu (JWT) id_token i v sadě webových klíčů JSON (JWKS), která je získána z jwks_uri poskytovatele. Toto zarovnání kódování je nezbytné pro bezproblémové ověřování podpisů tokenů během ověřovacích procesů. Nesprávné zarovnání může vést k problémům s párování klíčů nebo ověřením podpisu.

Správa EAM v Centru pro správu Microsoft Entra

Metody ověřování EAM jsou spravovány zásadami ověřování Microsoft Entra ID, podobně jako integrované metody.

Vytvoření EAM v Centru pro správu

Před vytvořením EAM v Centru pro správu se ujistěte, že máte metadata ke konfiguraci EAM.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce privilegovaných rolí.

  2. Přejděte na Entra ID>metody ověřování>Přidat externí metodu (Preview).

    Snímek obrazovky znázorňuje, jak přidat EAM v Centru pro správu Microsoft Entra.

    Přidejte vlastnosti metody na základě informací o konfiguraci od poskytovatele. Příklad:

    • Název: Adatum
    • ID klienta: 00001111-aaaa-2222-bbbb-3333cccc4444
    • Koncový bod zjišťování: https://adatum.com/.well-known/openid-configuration
    • ID aplikace: 111122222-bbbb-3333-cccc-4444ddd555

    Důležité

    Zobrazovaný název je název, který se uživateli zobrazí v nástroji pro výběr metody. Po vytvoření metody ji nelze změnit. Zobrazované názvy musí být jedinečné.

    Snímek obrazovky znázorňuje, jak přidat vlastnosti EAM.

    K udělení administrátorského souhlasu pro aplikaci poskytovatele potřebujete alespoň roli Správce privilegovaných rolí. Pokud nemáte roli potřebnou k udělení souhlasu, můžete i nadále uložit metodu ověřování, ale nemůžete ji povolit, dokud se neudělí souhlas.

    Jakmile zadáte hodnoty od poskytovatele, stiskněte tlačítko a požádejte o udělení souhlasu správce s aplikací, aby mohl přečíst požadované informace od uživatele, aby se ověřil správně. Zobrazí se výzva k přihlášení pomocí účtu s oprávněními správce a k udělení požadovaných oprávnění aplikaci poskytovatele.

    Po přihlášení klikněte na Přijmout a udělte souhlas správce:

    Snímek obrazovky s tím, jak udělit souhlas správce

    Před udělením souhlasu se zobrazí oprávnění, která aplikace zprostředkovatele požaduje. Po udělení souhlasu správce a replikaci změn se stránka aktualizuje, aby se zobrazil souhlas správce.

    Snímek obrazovky se zásadami metod ověřování po udělení souhlasu

Pokud má aplikace oprávnění, můžete tuto metodu povolit i před uložením. Jinak je nutné uložit metodu ve stavu zakázání a povolit ji po udělení souhlasu aplikaci.

Po povolení metody můžou všichni uživatelé v oboru zvolit metodu pro všechny výzvy vícefaktorového ověřování. Pokud není souhlas poskytnutý poskytovatelem aplikace schválen, jakékoli přihlášení prostřednictvím této metody selže.

Pokud je aplikace odstraněná nebo už nemá oprávnění, zobrazí se uživatelům chyba a přihlášení selže. Metodu nelze použít.

Konfigurace EAM v Centru pro správu

Pokud chcete spravovat své EAM v Centru pro správu Microsoft Entra, otevřete zásady metod ověřování. Výběrem názvu metody otevřete možnosti konfigurace. Můžete zvolit, kteří uživatelé budou zahrnuti a vyloučeni z používání této metody.

Snímek obrazovky znázorňuje, jak určit rozsah využití EAM pro konkrétní uživatele

Odstranit EAM v Centru pro správu

Pokud už nechcete, aby uživatelé mohli eam používat, můžete:

  • Nastavte Povolit na Vypnuto pro uložení konfigurace metody
  • Kliknutím na Odstranit odeberete metodu.

Snímek obrazovky, jak odstranit EAM.

Správa EAM pomocí Microsoft Graphu

Ke správě zásad metod ověřování pomocí Microsoft Graphu Policy.ReadWrite.AuthenticationMethod potřebujete oprávnění. Další informace naleznete v tématu Update authenticationMethodsPolicy.

Uživatelské prostředí

Uživatelé, kteří jsou pro EAM povoleni, ho můžou používat, když se vyžadují přihlášení a vícefaktorové ověřování.

Pokud má uživatel jiné způsoby přihlášení a je povolené vícefaktorové ověřování upřednostňované systémem , zobrazí se tyto další metody ve výchozím pořadí. Uživatel se může rozhodnout použít jinou metodu a pak vybrat EAM. Pokud má uživatel například povolenou funkci Authenticator jako další metodu, zobrazí se výzva k ověření čísla.

Snímek obrazovky s volby EAM, když je povolené vícefaktorové ověřování upřednostňované systémem

Pokud uživatel nemá povolené žádné jiné metody, stačí zvolit EAM. Přesměrují se na externího zprostředkovatele ověřování, aby se dokončilo ověřování.

Snímek obrazovky znázorňuje, jak se přihlásit pomocí EAM

Registrace metody ověřování pro systémy EAM

Ve verzi Preview se všichni uživatelé ve skupině zahrnutí pro EAM považují za podporující vícefaktorové ověřování a můžou použít metodu externího ověřování pro splnění vícefaktorového ověřování. Uživatelé s vícefaktorovým ověřováním, protože jsou zahrnuti jako cílové objekty pro EAM, nejsou zahrnuti ve zprávách o registraci metody ověřování.

Poznámka:

Aktivně pracujeme na přidávání možností registrace pro EAM. Po přidání registrace budou uživatelé, kteří dříve používali EAM, muset mít EAM zaregistrovaný s Entra ID, než budou vyzváni k jeho použití pro splnění požadavku na vícefaktorové ověření.

Paralelní používání vlastních ovládacích prvků EAM a podmíněného přístupu

EAM a vlastní ovládací prvky můžou fungovat paralelně. Microsoft doporučuje, aby správci nakonfigurovali dvě zásady podmíněného přístupu:

  • Jedna politika pro vynucení uživatelského ovládacího prvku
  • Další politika vyžadující grant MFA

Zahrňte testovací skupinu uživatelů pro každou zásadu, ale ne obě. Pokud je uživatel součástí obou zásad nebo jakékoli zásady s oběma podmínkami, musí během přihlašování splňovat vícefaktorové ověřování. Také musí splnit požadavky vlastního ovladacího prvku, což je přesměruje na externího poskytovatele ještě jednou.

Další kroky

Další informace o správě metod ověřování naleznete v tématu Správa metod ověřování pro Microsoft Entra ID.

Referenční informace o poskytovateli EAM najdete v tématu Referenční informace o externím poskytovateli externí metody Microsoft Entra Multifactor Authentication (Preview).