Jak migrovat nastavení zásad MFA a SSPR na zásady metod ověřování pro Microsoft Entra ID
Můžete migrovat starší nastavení zásad Microsoft Entra ID, která samostatně řídí vícefaktorové ověřování (MFA) a samoobslužné resetování hesla (SSPR) na jednotnou správu se zásadami metod ověřování.
K automatizaci migrace můžete použít průvodce migrací metod ověřování (Preview) v Centru pro správu Microsoft Entra. Průvodce poskytuje průvodce, který vám pomůže auditovat aktuální nastavení zásad pro vícefaktorové ověřování a samoobslužné resetování hesla. Potom tato nastavení konsoliduje v zásadách metod ověřování, kde je lze snadněji spravovat společně.
Nastavení zásad můžete také migrovat ručně podle vlastního plánu. Proces migrace je plně reverzibilní. Zásady vícefaktorového ověřování a SSPR pro celého tenanta můžete dál používat, zatímco metody ověřování konfigurujete přesněji pro uživatele a skupiny v zásadách metod ověřování.
Další informace o tom, jak tyto zásady spolupracují během migrace, naleznete v tématu Správa metod ověřování pro Microsoft Entra ID.
Průvodce automatizovanou migrací
Průvodce automatizovanou migrací umožňuje migrovat, kde spravujete metody ověřování během několika kliknutí. Přístup k němu můžete získat z Centra pro správu Microsoft Entra tak, že přejdete na Zásady> ověřování ochrany>.
První stránka průvodce vysvětluje, co je a jak funguje. Obsahuje také odkazy na každou ze starších zásad pro referenci.
Průvodce pak nakonfiguruje zásady metody ověřování na základě toho, co vaše organizace aktuálně povolila ve starších zásadách MFA a SSPR. Pokud je v obou starších zásadách povolená metoda, doporučujeme ji také povolit v zásadách metody ověřování. Díky této konfiguraci se uživatelé můžou dál přihlašovat a resetovat svoje heslo pomocí stejné metody, jakou použili dříve.
Kromě toho doporučujeme povolit nejnovější moderní zabezpečené metody, jako jsou klíče, dočasné přístupové heslo a Microsoft Authenticator, které pomáhají zlepšit stav zabezpečení vaší organizace. Pokud chcete upravit doporučenou konfiguraci, vyberte ikonu tužky vedle každé metody.
Jakmile budete s konfigurací spokojeni, vyberte Možnost Migrovat a potvrďte migraci. Zásady metod ověřování se aktualizují tak, aby odpovídaly konfiguraci zadané v průvodci. Metody ověřování ve starších zásadách vícefaktorového ověřování a SSPR se zobrazují šedě a už se nepoužijí.
Stav migrace se aktualizuje na dokončení migrace. Tento stav můžete kdykoli změnit zpět na Probíhající , abyste v případě potřeby znovu povolili metody ve starších zásadách.
Ruční migrace
Začněte auditováním stávajících nastavení zásad pro každou metodu ověřování, která je k dispozici pro uživatele. Pokud se během migrace vrátíte zpět, můžete z každé z těchto zásad chtít zaznamenat nastavení metody ověřování:
- Zásady vícefaktorového ověřování
- Zásady samoobslužného resetování hesla (pokud se používají)
- Zásady metod ověřování (pokud se používají)
Pokud nepoužíváte SSPR a ještě nepoužíváte zásady ověřování, stačí získat nastavení jenom ze zásad vícefaktorového ověřování.
Kontrola starších zásad vícefaktorového ověřování
Začněte dokumentováním metod dostupných ve starších zásadách vícefaktorového ověřování.
Přihlaste se do Centra pro správu Microsoft Entra jako globální správce.
Chcete-li zobrazit nastavení služby MFA>pro jednotlivé uživatele, přejděte do části Uživatelé>identity>Všichni uživatelé.> Tato nastavení jsou v rámci celého tenanta, takže informace o uživateli nebo skupině nejsou potřeba.
Pro každou metodu si všimněte, jestli je pro tenanta povolená nebo ne. Následující tabulka uvádí metody dostupné ve starších zásadách vícefaktorového ověřování a odpovídající metody v zásadách metody ověřování.
| Zásady vícefaktorového ověřování | Zásady metody ověřování |
|---|---|
| Volání na telefon | Hlasové hovory |
| Textová zpráva do telefonu | TEXTOVKA |
| Oznámení prostřednictvím mobilní aplikace | Microsoft Authenticator |
| Ověřovací kód z mobilní aplikace nebo hardwarového tokenu | Tokeny OATH softwaru třetích stran Hardwarové tokeny OATH Microsoft Authenticator |
Kontrola starších zásad samoobslužného resetování hesla
Pokud chcete získat metody ověřování dostupné ve starších zásadách samoobslužného resetování hesla, přejděte do části Metody ověřování resetování>hesla služby Identity>Protection.> Následující tabulka uvádí dostupné metody ve starších zásadách samoobslužného resetování hesla a odpovídající metody v zásadách metody ověřování.
Poznamenejte si, kteří uživatelé jsou v oboru samoobslužného resetování hesla (buď všichni uživatelé, jedna konkrétní skupina, nebo žádní uživatelé) a metody ověřování, které můžou použít. I když ještě nejsou bezpečnostní otázky k dispozici pro správu v zásadách metod ověřování, nezapomeňte je zaznamenat pro pozdější použití.
| Metody ověřování SSPR | Zásady metody ověřování |
|---|---|
| Oznámení mobilní aplikace | Microsoft Authenticator |
| Kód mobilní aplikace | Microsoft Authenticator Softwarové tokeny OATH |
| Jednorázové heslo k e-mailu | |
| Mobilní telefon | Hlasové hovory TEXTOVKA |
| Telefon do kanceláře | Hlasové hovory |
| Bezpečnostní otázky | Ještě není k dispozici; kopírování otázek k pozdějšímu použití |
Zásady metod ověřování
Pokud chcete zkontrolovat nastavení v zásadách metod ověřování, přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce zásad ověřování a přejděte na Zásady ověřování>ochrany>. Nový tenant má ve výchozím nastavení všechny metody vypnuté , což usnadňuje migraci, protože starší nastavení zásad není potřeba sloučit s existujícími nastaveními.
- Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce zásad ověřování.
- Přejděte k metodám ověřování ochrany>.>
Zásady metod ověřování mají jiné metody, které nejsou k dispozici ve starších zásadách, jako je klíč zabezpečení FIDO2, dočasné přístupové pass a ověřování založené na certifikátu Microsoft Entra. Tyto metody nejsou v rozsahu migrace a pokud jste je už nakonfigurovali, nemusíte v nich provádět žádné změny.
Pokud jste v zásadách metod ověřování povolili jiné metody, zapište uživatele a skupiny, kteří tyto metody můžou nebo nemůžou používat. Poznamenejte si parametry konfigurace, které určují způsob použití metody. Microsoft Authenticator můžete například nakonfigurovat tak, aby poskytoval umístění v nabízených oznámeních. Vytvořte záznam o tom, kteří uživatelé a skupiny jsou povoleni pro podobné konfigurační parametry přidružené ke každé metodě.
Spuštění migrace
Po zachycení dostupných metod ověřování ze zásad, které aktuálně používáte, můžete zahájit migraci. Otevřete zásady metod ověřování, vyberte Spravovat migraci a vyberte Probíhající migrace.
Tuto možnost budete chtít nastavit před provedením jakýchkoli změn, protože použijete nové zásady pro scénáře přihlášení i resetování hesla.
Dalším krokem je aktualizace zásad metod ověřování tak, aby odpovídaly vašemu auditu. Jednotlivé metody si budete chtít projít 1:1. Pokud váš tenant používá jenom starší zásady vícefaktorového ověřování a nepoužívá samoobslužné resetování hesla, je aktualizace jednoduchá – každou metodu můžete povolit všem uživatelům a přesně odpovídat stávajícím zásadám.
Pokud váš tenant používá vícefaktorové ověřování i samoobslužné resetování hesla, budete muset zvážit každou metodu:
- Pokud je tato metoda povolená v obou starších zásadách, povolte ji pro všechny uživatele v zásadách metod ověřování.
- Pokud je tato metoda v obou starších zásadách vypnutá, ponechte ji pro všechny uživatele v zásadách metod ověřování.
- Pokud je metoda povolená pouze v jedné zásadě, musíte se rozhodnout, jestli by měla být dostupná ve všech situacích.
Kde se zásady shodují, můžete snadno odpovídat aktuálnímu stavu. Pokud dojde k neshodě, budete se muset rozhodnout, jestli se metoda úplně povolí nebo zakáže. Předpokládejme například, že oznámení prostřednictvím mobilní aplikace umožňuje nabízená oznámení pro vícefaktorové ověřování. Ve starších zásadách SSPR není povolená metoda oznámení mobilní aplikace. V takovém případě starší zásady umožňují nabízená oznámení pro vícefaktorové ověřování, ale ne samoobslužné resetování hesla.
V zásadách metod ověřování pak budete muset zvolit, jestli chcete povolit Microsoft Authenticator pro SSPR i MFA, nebo ho zakázat (doporučujeme povolit Microsoft Authenticator).
Všimněte si, že v zásadách metod ověřování máte možnost povolit metody pro skupiny uživatelů kromě všech uživatelů a můžete také vyloučit skupiny uživatelů z možnosti používat danou metodu. To znamená, že máte velkou flexibilitu, abyste mohli řídit, které metody můžou uživatelé používat. Microsoft Authenticator můžete například povolit pro všechny uživatele a omezit sms a hlasový hovor na 1 skupinu 20 uživatelů, kteří tyto metody potřebují.
Při aktualizaci jednotlivých metod v zásadách metod ověřování mají některé metody konfigurovatelné parametry, které umožňují řídit způsob použití této metody. Pokud například povolíte hlasové hovory jako metodu ověřování, můžete povolit telefon do kanceláře i mobilní telefony nebo jenom mobilní zařízení. Projděte si proces konfigurace každé metody ověřování z auditu.
Nemusíte odpovídat stávajícím zásadám. Je to skvělá příležitost projít si povolené metody a zvolit novou zásadu, která maximalizuje zabezpečení a použitelnost vašeho tenanta. Všimněte si, že zakázání metod pro uživatele, kteří je už používají, může vyžadovat, aby tito uživatelé zaregistrovali nové metody ověřování a zabránili jim v použití dříve registrovaných metod.
V dalších částech najdete konkrétní pokyny k migraci pro jednotlivé metody.
Jednorázové heslo e-mailu
Pro jednorázový přístupový kód e-mailu existují dva ovládací prvky:
Cílení na použití zahrnutí a vyloučení v části Povolit a cíl konfigurace slouží k povolení jednorázového hesla e-mailu pro členy tenanta pro použití v resetování hesla.
Existuje samostatná možnost Povolit externím uživatelům používat ovládací prvek jednorázového hesla e-mailu v části Konfigurace , která řídí použití jednorázového hesla e-mailu pro přihlášení uživatelů B2B. Pokud je tento ovládací prvek povolený, metoda ověřování se nedá zakázat.
Microsoft Authenticator
Pokud je ve starších zásadách vícefaktorového ověřování povolené oznámení prostřednictvím mobilní aplikace , povolte microsoft Authenticator pro všechny uživatele v zásadách metod ověřování. Nastavte režim ověřování na libovolnou , abyste povolili nabízená oznámení nebo ověřování bez hesla.
Pokud je ve starších zásadách vícefaktorového ověřování povolený ověřovací kód z mobilní aplikace nebo hardwarového tokenu , nastavte možnost Povolit použití jednorázového hesla microsoft Authenticatoru na ano.
Poznámka
Pokud uživatelé zaregistrují aplikaci Microsoft Authenticator pouze pro kód jednorázového hesla pomocí průvodce "Chci použít jinou ověřovací aplikaci", bude potřeba povolit zásady tokenů OATH softwaru třetích stran.
SMS a hlasové hovory
Starší zásady vícefaktorového ověřování mají samostatné ovládací prvky pro SMS a telefonní hovory. Existuje ale také ovládací prvek mobilní telefon , který umožňuje mobilní telefony pro SMS i hlasové hovory. A jiný ovládací prvek pro telefon Office umožňuje telefon do kanceláře jenom pro hlasový hovor.
Zásady metod ověřování mají kontrolu pro sms a hlasové hovory, které odpovídají starším zásadám vícefaktorového ověřování. Pokud váš tenant používá SSPR a mobilní telefon je povolený, budete chtít v zásadách ověřování povolit jak SMS, tak hlasové hovory. Pokud váš tenant používá SSPR a telefon Office je povolený, budete chtít povolit hlasové hovory v zásadách metod ověřování a zajistit, aby byla povolená možnost telefon v Office.
Poznámka
Možnost Použít pro přihlášení je ve výchozím nastavení serveru SMS povolená. Tato možnost povolí přihlášení přes SMS. Pokud je pro uživatele povolené přihlášení přes SMS, přeskočí se z synchronizace mezi tenanty. Pokud používáte synchronizaci mezi tenanty nebo nechcete povolit přihlášení pomocí SMS, zakažte pro cílové uživatele přihlášení pomocí SMS.
Tokeny OATH
Ovládací prvky tokenu OATH ve starších zásadách vícefaktorového ověřování a SSPR byly jedinými ovládacími prvky, které povolily použití tří různých typů tokenů OATH: aplikace Microsoft Authenticator, aplikace softwaru OATH TOTP a hardwarové tokeny OATH.
Zásady metod ověřování mají podrobné řízení s samostatnými ovládacími prvky pro každý typ tokenu OATH. Použití jednorázového hesla z Microsoft Authenticatoru je řízeno ovládacím prvek Povolit použití ovládacího prvku OTP aplikace Microsoft Authenticator v části Microsoft Authenticator zásad. Aplikace třetích stran jsou řízeny oddílem softwarových tokenů OATH třetích stran zásad. Hardwarové tokeny OATH jsou řízeny oddílem Hardwarové tokeny OATH zásad.
Bezpečnostní otázky
Brzy bude k dispozici kontrola bezpečnostních otázek . Pokud používáte bezpečnostní otázky a nechcete je zakázat, ujistěte se, že jsou povolené ve starších zásadách samoobslužného resetování hesla, dokud nebude nový ovládací prvek k dispozici. Migraci můžete dokončit podle popisu v další části s povolenými bezpečnostními dotazy.
Dokončení migrace
Po aktualizaci zásad metod ověřování projděte starší zásady vícefaktorového ověřování a zásady SSPR a odeberte jednotlivé metody ověřování 1:1. Otestujte a ověřte změny pro každou metodu.
Když zjistíte, že vícefaktorové ověřování a samoobslužné resetování hesla fungují podle očekávání a už nepotřebujete starší zásady MFA a SSPR, můžete proces migrace změnit na Dokončení migrace. V tomto režimu se microsoft Entra-only řídí zásadami metod ověřování. Pokud je migrace dokončena, není možné ve starších zásadách provádět žádné změny, s výjimkou otázek zabezpečení v zásadách samoobslužného resetování hesla. Pokud se z nějakého důvodu potřebujete vrátit ke starším zásadám, můžete stav migrace kdykoli přesunout zpět do probíhající migrace.
