Konfigurace nastavení vícefaktorového ověřování Microsoft Entra
Pokud chcete přizpůsobit prostředí koncového uživatele pro vícefaktorové ověřování (MFA) Microsoft Entra, můžete nakonfigurovat možnosti pro nastavení, jako jsou prahové hodnoty uzamčení účtu nebo upozornění na podvody a oznámení.
Poznámka:
Nahlášená podezřelá aktivita nahrazuje starší funkce blokovat nebo odblokovat uživatele, upozornění na podvody a oznámení. 1. března 2025 se starší verze funkcí odeberou.
Následující tabulka popisuje nastavení vícefaktorového ověřování Microsoft Entra a pododdíly pokrývají jednotlivá nastavení podrobněji.
Funkce | Popis |
---|---|
Uzamčení účtu (jenom MFA Server) | Pokud je na řádku příliš mnoho pokusů o odepření ověřování, dočasně zamkněte účty z používání vícefaktorového ověřování Microsoft Entra MFA. Tato funkce platí jenom pro uživatele, kteří k ověření používají MFA Server. |
Nahlášení podezřelé aktivity | Nakonfigurujte nastavení, která uživatelům umožňují hlásit podvodné žádosti o ověření. Nahlásit podezřelou aktivitu nahrazuje tyto funkce: Blokování a odblokování uživatelů, upozornění na podvod a oznámení. |
Upozornění na podvod | Tato funkce bude odebrána 1. března 2025. Pomocí podezřelé aktivity sestavy můžete uživatelům umožnit hlásit podvodné žádosti o ověření. |
Blokování nebo odblokování uživatelů | Tato funkce bude odebrána 1. března 2025. Pomocí podezřelé aktivity sestavy můžete uživatelům umožnit hlásit podvodné žádosti o ověření. Tato upozornění jsou integrovaná se službou Microsoft Entra ID Protection. Pomocí událostí detekce rizik můžete dočasně omezit přístup uživatelů a napravit rizika pomocí zásad založených na rizicích nebo vytvořit vlastní pracovní postupy. |
Oznámení | Tato funkce bude odebrána 1. března 2025. Pomocí podezřelé aktivity sestavy můžete uživatelům umožnit hlásit podvodné žádosti o ověření. Pomocí událostí detekce rizik můžete použít oznámení o riziku nebo vytvořit vlastní pracovní postupy a povolit tak e-mailová oznámení o podvodných událostech nahlášených uživateli. |
Tokeny OATH | Používá se v cloudových prostředích Microsoft Entra MFA ke správě tokenů OATH pro uživatele. |
Nastavení telefonního hovoru | Nakonfigurujte nastavení týkající se telefonních hovorů a pozdravů pro cloudová a místní prostředí. |
Poskytovatelé | Zobrazí se všechny existující zprostředkovatele ověřování, které jste přidružili ke svému účtu. Přidání nových poskytovatelů je od 1. září 2018 zakázané. |
Uzamčení účtu (jenom MFA Server)
Poznámka:
Uzamčení účtu má vliv jenom na uživatele, kteří se přihlašují pomocí místního MFA Serveru.
Aby se zabránilo opakovaným pokusům o vícefaktorové ověřování v rámci útoku, nastavení uzamčení účtu umožňuje určit, kolik neúspěšných pokusů o povolení před tím, než se účet po určitou dobu uzamkne. Nastavení uzamčení účtu se použije jenom v případě, že se pro výzvu vícefaktorového ověřování zadá kód PIN pomocí místního serveru MFA.
K dispozici jsou následující nastavení:
- Počet odepření vícefaktorového ověřování, které aktivují uzamčení účtu
- Počet minut do resetování čítače uzamčení účtu
- Počet minut do automatického odblokování účtu
Pokud chcete nakonfigurovat nastavení uzamčení účtu, proveďte následující kroky:
Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce zásad ověřování.
Přejděte k >uzamčení účtu vícefaktorového ověřování.> Možná budete muset kliknout na zobrazit vícefaktorové ověřování.
Zadejte hodnoty pro vaše prostředí a pak vyberte Uložit.
Nahlášení podezřelé aktivity
Nahlásit podezřelou aktivitu nahrazuje tyto starší funkce: Blokování/odblokování uživatelů, upozornění na podvod a oznámení.
Když se zobrazí neznámá a podezřelá výzva k vícefaktorovým ověřováním, můžou uživatelé nahlásit pokus o podvod pomocí aplikace Microsoft Authenticator nebo přes telefon. Tato upozornění jsou integrovaná se službou Microsoft Entra ID Protection , která poskytuje komplexnější pokrytí a možnosti.
Uživatelé, kteří hlásí výzvu vícefaktorového ověřování jako podezřelou, jsou nastavená na vysoké uživatelské riziko. Správci můžou pomocí zásad založených na rizicích omezit přístup pro tyto uživatele nebo povolit samoobslužné resetování hesla (SSPR) pro uživatele, aby opravili problémy sami.
Pokud jste dříve použili funkci automatického blokování upozornění na podvod a nemáte licenci Microsoft Entra ID P2 pro zásady založené na rizicích, můžete pomocí událostí detekce rizik identifikovat a zakázat ovlivněné uživatele ručně nebo nastavit automatizaci pomocí vlastních pracovních postupů v Microsoft Graphu. Další informace o vyšetřování a nápravě rizika uživatelů najdete v tématech:
Povolení podezřelé aktivity sestav z nastavení zásad metod ověřování:
- Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce zásad ověřování.
- Přejděte na Nastavení metod>ověřování ochrany.>
- Nastavte podezřelou aktivitu sestavy na Povoleno. Tato funkce zůstane zakázaná, pokud zvolíte Spravované Microsoftem. Další informace o spravovaných hodnotách Společnosti Microsoft naleznete v tématu Ochrana metod ověřování v Microsoft Entra ID.
- Vyberte Všechny uživatele nebo konkrétní skupinu.
- Pokud také nahrajete vlastní pozdravy pro vašeho tenanta, vyberte kód pro vytváření sestav. Kód pro hlášení je číslo, které uživatelé zadávají do svého telefonu, aby nahlásili podezřelou aktivitu. Kód pro vytváření sestav se dá použít jenom v případě, že správce zásad ověřování nahraje vlastní pozdravy. Jinak je výchozí kód 0 bez ohledu na libovolnou hodnotu zadanou v zásadách.
- Klikněte na možnost Uložit.
Poznámka:
Pokud povolíte podezřelou aktivitu sestav a zadáte vlastní hodnotu hlasového hlášení, zatímco tenant má stále zapnuté upozornění na podvody paralelně s nakonfigurovaným vlastním číslem hlášení hlasu, použije se hodnota podezřelé aktivity sestavy místo upozornění na podvod.
Náprava rizika pro tenanty s licencí Microsoft Entra ID P1
Když uživatel nahlásí výzvu vícefaktorového ověřování jako podezřelou, zobrazí se událost v sestavě přihlášení (jako přihlášení, které uživatel odmítl), v protokolech auditu a v sestavě Detekce rizik.
Sestava | Admin center | Detaily |
---|---|---|
Sestava detekce rizik | Detekce rizik ochrany>identit před>riziky | Typ detekce: Podezřelá aktivita hlášená uživatelem Úroveň rizika: Vysoká Nahlášení zdrojového koncového uživatele |
Sestava přihlášení | Podrobnosti o ověřování protokolů>monitorování identit>a stavu přihlašování> | Podrobnosti o výsledku se zobrazí jako odepření vícefaktorového ověřování, zadaný kód podvodu. |
Protokoly auditu | Protokoly auditu monitorování a stavuidentit>> | Zpráva o podvodech se zobrazí v části Nahlášené podvody typu aktivity. |
Poznámka:
Uživatel není hlášen jako vysoké riziko, pokud provádí ověřování bez hesla.
Pomocí Microsoft Graphu můžete také dotazovat na detekce rizik a uživatele označené jako rizikové.
rozhraní API | Podrobnosti |
---|---|
typ prostředku riskDetection | riskEventType: userReportedSuspiciousActivity |
Seznam rizikových uživatelů | riskLevel = vysoká |
V případě ruční nápravy můžou správci nebo helpdesk požádat uživatele, aby si resetovali heslo pomocí samoobslužného resetování hesla (SSPR), nebo to dělají jménem uživatele. K automatické nápravě použijte rozhraní Microsoft Graph API nebo pomocí PowerShellu vytvořte skript, který změní heslo uživatele, vynutí samoobslužné resetování hesla, odvolává přihlašovací relace nebo dočasně zakáže uživatelský účet.
Náprava rizika pro tenanty s licencí Microsoft Entra ID P2
Tenanti s licencí Microsoft Entra ID P2 můžou kromě možností licence Microsoft Entra ID P2 automaticky opravovat rizika uživatelů pomocí zásad podmíněného přístupu na základě rizik.
Nakonfigurujte zásadu, která se dívá na rizika uživatelů za podmínek>rizika uživatele. Vyhledejte uživatele, u kterých je riziko = vysoké, aby se buď zabránilo přihlášení, nebo je vyžadovat, aby si resetovali heslo.
Další informace najdete v tématu Zásady podmíněného přístupu na základě rizik přihlašování.
Hlášení podezřelých aktivit a upozornění na podvod
Hlásit podezřelou aktivitu a starší implementaci upozornění na podvod může fungovat paralelně. Funkce upozornění na podvody v rámci celého tenanta můžete zachovat, když začnete používat podezřelou aktivitu sestav s cílovou testovací skupinou.
Pokud je upozornění na podvod povolené s automatickým blokováním a je povolená podezřelá aktivita , přidá se uživatel do seznamu blokovaných položek a nastaví se jako vysoce rizikový a v rozsahu pro všechny ostatní nakonfigurované zásady. Tito uživatelé budou muset odebrat ze seznamu blokovaných položek a opravit rizika, aby se mohli přihlásit pomocí vícefaktorového ověřování.
Výstraha podvodů
Nahlásit podezřelou aktivitu nahrazuje výstrahu podvodu kvůli integraci se službou Microsoft Entra ID Protection pro nápravu řízenou rizikem, lepší možnosti generování sestav a nejméně privilegovanou správu. Funkce upozornění na podvod se odebere 1. března 2025.
Funkce upozornění na podvod umožňuje uživatelům hlásit podvodné pokusy o přístup ke svým prostředkům. Když se zobrazí neznámá a podezřelá výzva k vícefaktorovým ověřováním, můžou uživatelé nahlásit pokus o podvod pomocí aplikace Microsoft Authenticator nebo přes telefon. K dispozici jsou následující možnosti konfigurace upozornění na podvody:
Automaticky blokovat uživatele, kteří hlásí podvod. Pokud uživatel hlásí podvod, pokusy o vícefaktorové ověřování Microsoft Entra pro uživatelský účet se zablokují po dobu 90 dnů nebo dokud správce účet neodblokuje. Správce může zkontrolovat přihlášení pomocí sestavy přihlašování a provést odpovídající opatření, aby se zabránilo budoucím podvodům. Správce pak může účet uživatele odblokovat .
Kód pro hlášení podvodů během počátečního pozdravu Když se uživatelům zobrazí telefonní hovor, který provede vícefaktorové ověřování, obvykle stiskne # a potvrdí přihlášení. Pokud chcete nahlásit podvod, uživatel před stisknutím klávesy #zadá kód . Tento kód je ve výchozím nastavení 0 , ale můžete ho přizpůsobit. Pokud je povolené automatické blokování, po stisknutí 0# uživatel oznámí podvod, musí stisknout 1 , aby potvrdil blokování účtu.
Poznámka:
Výchozí pozdravy hlasu od Microsoftu dávají uživatelům pokyn, aby stiskli 0# a odeslali upozornění na podvod. Pokud chcete použít jiný kód než 0, nahrajte a nahrajte vlastní pozdravy hlasu s odpovídajícími pokyny pro uživatele.
Pokud chcete povolit a nakonfigurovat upozornění na podvody, proveďte následující kroky:
- Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce zásad ověřování.
- Přejděte k upozornění na ochranu>před podvody s vícefaktorovým ověřováním>.
- Nastavte Možnost Povolit uživatelům odesílat upozornění na podvody na zapnuto.
- Nakonfigurujte uživatele, kteří automaticky blokují podvody nebo kód, a podle potřeby hlásí podvod při počátečním nastavení pozdravu.
- Zvolte Uložit.
Blokování a odblokování uživatelů
Nahlásit podezřelou aktivitu nahrazuje výstrahu podvodu kvůli integraci se službou Microsoft Entra ID Protection pro nápravu řízenou rizikem, lepší možnosti generování sestav a nejméně privilegovanou správu. Funkce Blokovat/odblokovat uživatele se odebere 1. března 2025.
Pokud dojde ke ztrátě nebo odcizení zařízení uživatele, můžete zablokovat pokusy Microsoft Entra MFA pro přidružený účet. Všechny pokusy o vícefaktorové ověřování Microsoft Entra pro blokované uživatele se automaticky odepře. Uživatel není vyzván k vícefaktorovým ověřováním po dobu 90 dnů od doby, kdy je blokovaný.
Blokování uživatele
Pokud chcete uživatele zablokovat, proveďte následující kroky.
- Přejděte na Možnost Blokovat>vícefaktorové ověřování>nebo odblokovat uživatele.
- Vyberte Přidat a zablokujte uživatele.
- Zadejte uživatelské jméno blokovaného uživatele ve formátu
username@domain.com
a do pole Důvod zadejte komentář. - Výběrem možnosti OK zablokujte uživatele.
Odblokování uživatele
Pokud chcete uživatele odblokovat, proveďte následující kroky:
- Přejděte na Blok>vícefaktorového ověřování>nebo odblokujte uživatele.
- Ve sloupci Akce vedle uživatele vyberte Odblokovat.
- Do pole Důvod odblokování zadejte komentář.
- Pokud chcete uživatele odblokovat, vyberte OK .
Oznámení
Nahlásit podezřelou aktivitu nahrazuje oznámení z důvodu integrace se službou Microsoft Entra ID Protection pro nápravu řízenou rizikem, lepšími možnostmi vytváření sestav a nejméně privilegovanou správou. Funkce Oznámení se odebere 1. března 2025.
Microsoft Entra ID můžete nakonfigurovat tak, aby odesílala e-mailová oznámení, když uživatelé hlásí upozornění na podvody. Tato oznámení se obvykle posílají správcům identit, protože přihlašovací údaje účtu uživatele jsou pravděpodobně ohroženy. Následující příklad ukazuje, jak e-mail s oznámením o podvodech vypadá:
Konfigurace oznámení upozornění na podvody:
- Přejděte na Oznámení o vícefaktorové ověřování ochrany>>.
- Zadejte e-mailovou adresu, na kterou chcete oznámení odeslat.
- Pokud chcete odebrat existující e-mailovou adresu, vyberte ... vedle e-mailové adresy a pak vyberte Odstranit.
- Zvolte Uložit.
Tokeny OATH
Microsoft Entra ID podporuje použití tokenů SHA-1 OATH, které aktualizují kódy každých 30 nebo 60 sekund. Tyto tokeny si můžete zakoupit od dodavatele podle vašeho výběru.
Hardwarové tokeny OATH TOTP obvykle obsahují tajný kód (počáteční kód) předem naprogramovaný v tokenu. Tyto klíče musíte zadat do ID Microsoft Entra, jak je popsáno v následujících krocích. Tajné klíče jsou omezené na 128 znaků, což nemusí být kompatibilní se všemi tokeny. Tajný klíč může obsahovat pouze znaky a-z nebo A-Z a číslice 1-7. Musí být kódován v Base32.
Hardwarové tokeny OATH TOTP, které je možné převést, je možné nastavit také pomocí Microsoft Entra ID v toku nastavení softwarového tokenu.
Hardwarové tokeny OATH jsou podporovány jako součást verze Public Preview. Další informace o verzích Preview najdete v dodatečných podmínkách použití systémů Microsoft Azure Preview.
Po získání tokenů je potřeba je nahrát ve formátu souboru s oddělovači (CSV). Uveďte hlavní název uživatele (UPN), sériové číslo, tajný klíč, časový interval, výrobce a model, jak je znázorněno v tomto příkladu:
upn,serial number,secret key,time interval,manufacturer,model
Helga@contoso.com,1234567,1234567abcdef1234567abcdef,60,Contoso,HardwareKey
Poznámka:
Nezapomeňte do souboru CSV zahrnout řádek záhlaví.
- Přihlaste se do Centra pro správu Microsoft Entra jako globální správce.
- Přejděte na Vícefaktorové>ověřování>tokenů OATH a nahrajte soubor CSV.
V závislosti na velikosti souboru CSV může zpracování trvat několik minut. Stav získáte výběrem možnosti Aktualizovat . Pokud v souboru dojde k nějakým chybám, můžete si stáhnout soubor CSV se seznamem. Názvy polí ve staženého souboru CSV se liší od polí v nahrané verzi.
Po vyřešení jakýchkoli chyb může správce aktivovat každý klíč výběrem možnosti Aktivovat token a zadáním jednorázového hesla zobrazeného v tokenu.
Uživatelé můžou mít kombinaci až pěti hardwarových tokenů OATH nebo ověřovacích aplikací, jako je aplikace Microsoft Authenticator, nakonfigurovaných pro použití kdykoli.
Důležité
Nezapomeňte každému tokenu přiřadit pouze jednomu uživateli. V budoucnu se podpora přiřazení jednoho tokenu více uživatelům zastaví, aby se zabránilo bezpečnostnímu riziku.
Nastavení telefonních hovorů
Pokud uživatelé dostanou telefonní hovory pro výzvy vícefaktorového ověřování, můžete nakonfigurovat jejich prostředí, jako je ID volajícího nebo hlasový pozdrav, který uslyší.
Pokud jste v USA nenakonfigurovali ID volajícího vícefaktorového ověřování, hlasové hovory od Microsoftu pocházejí z následujících čísel. Uživatelé s filtry spamu by tato čísla měli vyloučit.
Výchozí číslo: +1 (855) 330-8653
Následující tabulka uvádí více čísel pro různé země.
Země/oblast | Čísla |
---|---|
Rakousko | +43 6703062076 |
Bangladéš | +880 9604606026 |
Čína | +44 1235619418, +44 1235619536, +44 1235619537, +44 1235619538, +44 1235619539, +44 1235619535, +44 7897087681, +44 7897087690, +44 7897087692, +66 977832930 |
Chorvatsko | +385 15507766 |
Ekvádor | +593 964256042 |
Estonsko | +372 6712726 |
Francie | +33 744081468 |
Ghana | +233 308250245 |
Řecko | +30 2119902739 |
Guatemala | +502 23055056 |
Hongkong – zvláštní administrativní oblast | +852 25716964 |
Indie | +91 3371568300, +91 1205089400, +91 4471566601, +91 2271897557, +91 1203524400, +91 3335105700, +91 2235544120, +91 4435279600 |
Jordánsko | +962 797639442 |
Keňa | +254 709605276 |
Nizozemsko | +31 202490048 |
Nigérie | +234 7080627886 |
Pákistán | +92 4232618686, +44 7897087681, +44 7897087690, +44 7897087692, +66 977832930 |
Polsko | +48 699740036 |
Saúdská Arábie | +966 115122726 |
Jižní Afrika | +27 872405062 |
Španělsko | +34 913305144 |
Srí Lanka | +94 117750440 |
Švédsko | +46 701924176 |
Tchaj-wan | +886 277515260, +886 255686508 |
Turecko | +90 8505404893 |
Ukrajina | +380 443332393 |
Spojené arabské emiráty | +971 44015046 |
Vietnam | +84 2039990161 |
Poznámka:
Když jsou volání vícefaktorového ověřování Microsoft Entra umístěna prostřednictvím veřejné telefonní sítě, někdy se volání směrují přes operátora, který nepodporuje ID volajícího. Z tohoto důvodu není ID volajícího zaručeno, i když microsoft Entra vícefaktorové ověřování vždy odesílá. To platí jak pro telefonní hovory, tak textové zprávy poskytované vícefaktorovým ověřováním Microsoft Entra. Pokud potřebujete ověřit, že textová zpráva pochází z vícefaktorového ověřování Microsoft Entra, přečtěte si, jaké krátké kódy se používají k odesílání zpráv?
Pokud chcete nakonfigurovat vlastní číslo ID volajícího, proveďte následující kroky:
- Přejděte na Nastavení> vícefaktorového telefonního hovoru pro vícefaktorové ověřování.>
- Nastavte číslo ID volajícího MFA na číslo, které mají uživatelé vidět na svých telefonech. Jsou povolena pouze čísla založená na USA.
- Zvolte Uložit.
Poznámka:
Když jsou volání vícefaktorového ověřování Microsoft Entra umístěna prostřednictvím veřejné telefonní sítě, někdy se volání směrují přes operátora, který nepodporuje ID volajícího. Z tohoto důvodu není ID volajícího zaručeno, i když microsoft Entra vícefaktorové ověřování vždy odesílá. To platí jak pro telefonní hovory, tak textové zprávy poskytované vícefaktorovým ověřováním Microsoft Entra. Pokud potřebujete ověřit, že textová zpráva pochází z vícefaktorového ověřování Microsoft Entra, přečtěte si, jaké krátké kódy se používají k odesílání zpráv?
Vlastní hlasové zprávy
Pro vícefaktorové ověřování Microsoft Entra můžete použít vlastní nahrávky nebo pozdravy. Tyto zprávy je možné použít kromě výchozích nahrávek Microsoftu nebo je nahradit.
Než začnete, mějte na paměti následující omezení:
- Podporované formáty souborů jsou .wav a .mp3.
- Limit velikosti souboru je 1 MB.
- Ověřovací zprávy by měly být kratší než 20 sekund. Zprávy delší než 20 sekund můžou způsobit selhání ověření. Pokud uživatel neodpoví, než se zpráva dokončí, vyprší časový limit ověření.
Vlastní chování jazyka zpráv
Když se uživateli přehraje vlastní hlasová zpráva, závisí jazyk zprávy na následujících faktorech:
- Jazyk uživatele.
- Jazyk zjištěný prohlížečem uživatele.
- Jiné scénáře ověřování se můžou chovat jinak.
- Jazyk všech dostupných vlastních zpráv.
- Tento jazyk zvolí správce při přidání vlastní zprávy.
Pokud je například jenom jedna vlastní zpráva a je v němčině:
- Uživatel, který se ověřuje v německém jazyce, uslyší vlastní německou zprávu.
- Uživatel, který se ověřuje v angličtině, uslyší standardní anglickou zprávu.
Výchozí hodnoty vlastních hlasových zpráv
K vytvoření vlastních zpráv můžete použít následující ukázkové skripty. Tyto fráze jsou výchozí, pokud nenakonfigurujete vlastní zprávy.
Název zprávy | Skript |
---|---|
Úspěšné ověření | Vaše přihlášení bylo úspěšně ověřeno. Nashledanou. |
Výzva k rozšíření | Děkujeme, že jste používali systém ověřování přihlašování od Microsoftu. Pokračujte stisknutím libry. |
Potvrzení podvodu | Bylo odesláno upozornění na podvod. Pokud chcete účet odblokovat, obraťte se prosím na technickou podporu IT vaší společnosti. |
Pozdrav podvodu (standardní) | Děkujeme, že jste používali systém ověřování přihlašování od Microsoftu. Dokončete ověření stisknutím křížku. Pokud jste toto ověření nezahájili, může se někdo pokusit o přístup k vašemu účtu. Pokud chcete odeslat upozornění na podvod, stiskněte nula liber. Tím oznámíte IT týmu vaší společnosti a zablokuje se další pokusy o ověření. |
Nahlášené podvody | Bylo odesláno upozornění na podvod. Pokud chcete účet odblokovat, obraťte se prosím na technickou podporu IT vaší společnosti. |
Aktivace | Děkujeme, že jste používali ověřovací systém přihlašování Microsoftu. Dokončete ověření stisknutím křížku. |
Opakované pokusy o odepření ověřování | Ověření bylo zamítnuto. |
Opakování (standard) | Děkujeme, že jste používali ověřovací systém přihlašování Microsoftu. Dokončete ověření stisknutím křížku. |
Pozdrav (standardní) | Děkujeme, že jste používali ověřovací systém přihlašování Microsoftu. Dokončete ověření stisknutím křížku. |
Pozdrav (PIN) | Děkujeme, že jste používali systém ověřování přihlašování od Microsoftu. Zadejte svůj PIN kód následovaný klíčem libry a dokončete ověření. |
Pozdrav podvodu (PIN) | Děkujeme, že jste používali systém ověřování přihlašování od Microsoftu. Zadejte svůj PIN kód následovaný klíčem libry a dokončete ověření. Pokud jste toto ověření nezahájili, může se někdo pokusit o přístup k vašemu účtu. Pokud chcete odeslat upozornění na podvod, stiskněte nula liber. Tím oznámíte IT týmu vaší společnosti a zablokuje se další pokusy o ověření. |
Opakovat (PIN) | Děkujeme, že jste používali systém ověřování přihlašování od Microsoftu. Zadejte svůj PIN kód následovaný klíčem libry a dokončete ověření. |
Výzva k rozšíření za číslicemi | Pokud už v tomto rozšíření, pokračujte stisknutím libry. |
Ověřování bylo odepřeno. | Omlouvám se, ale v tuto chvíli vás nemůžeme přihlásit. Zkuste to později. |
Pozdrav aktivace (standardní) | Děkujeme, že jste používali ověřovací systém přihlašování Microsoftu. Dokončete ověření stisknutím křížku. |
Opakování aktivace (standard) | Děkujeme, že jste používali ověřovací systém přihlašování Microsoftu. Dokončete ověření stisknutím křížku. |
Pozdrav aktivace (PIN) | Děkujeme, že jste používali systém ověřování přihlašování od Microsoftu. Zadejte svůj PIN kód následovaný klíčem libry a dokončete ověření. |
Výzva k rozšíření před číslicemi | Děkujeme, že jste používali systém ověřování přihlašování od Microsoftu. Přepošli prosím toto volání na rozšíření rozšíření<>. |
Nastavení vlastní zprávy
Pokud chcete používat vlastní zprávy, proveďte následující kroky:
- Přejděte na Nastavení> vícefaktorového telefonního hovoru pro vícefaktorové ověřování.>
- Vyberte Přidat pozdrav.
- Zvolte typ pozdravu, například Pozdrav (standardní) nebo Ověření bylo úspěšné.
- Vyberte jazyk. Viz předchozí část o chování jazyka vlastních zpráv.
- Vyhledejte a vyberte .mp3 nebo .wav zvukový soubor, který chcete nahrát.
- Vyberte Přidat a pak Uložit.
Nastavení služby MFA
Nastavení hesel aplikací, důvěryhodných IP adres, možností ověření a zapamatování vícefaktorového ověřování na důvěryhodných zařízeních jsou k dispozici v nastavení služby. Toto je starší verze portálu.
K nastavení služby se dostanete z Centra pro správu Microsoft Entra tak, že přejdete do části Začínáme s>vícefaktorovým ověřováním s vícefaktorovým>ověřováním– Konfigurace>dalších cloudových nastavení vícefaktorového ověřování.> Otevře se okno nebo karta s dalšími možnostmi nastavení služby.
Důvěryhodné IP adresy
Podmínky umístění představují doporučený způsob konfigurace vícefaktorového ověřování s podmíněným přístupem kvůli podpoře protokolu IPv6 a dalším vylepšením. Další informace o podmínkách umístění najdete v tématu Použití podmínky umístění v zásadách podmíněného přístupu. Postup definování umístění a vytvoření zásady podmíněného přístupu najdete v tématu Podmíněný přístup: Blokování přístupu podle umístění.
Funkce důvěryhodných IP adres vícefaktorového ověřování Microsoft Entra také obchází výzvy vícefaktorového ověřování pro uživatele, kteří se přihlašují z definovaného rozsahu IP adres. Pro vaše místní prostředí můžete nastavit důvěryhodné rozsahy IP adres. Pokud jsou uživatelé v některém z těchto umístění, nezobrazuje se výzva vícefaktorového ověřování Microsoft Entra. Funkce důvěryhodných IP adres vyžaduje edici Microsoft Entra ID P1.
Poznámka:
Důvěryhodné IP adresy můžou obsahovat rozsahy privátních IP adres jenom v případech, kdy používáte MFA Server. Pro cloudové vícefaktorové ověřování Microsoft Entra můžete použít pouze rozsahy veřejných IP adres.
Rozsahy IPv6 jsou podporovány v pojmenovaných umístěních.
Pokud vaše organizace používá rozšíření NPS k poskytování vícefaktorového ověřování místním aplikacím, bude se zdrojová IP adresa vždy zobrazovat jako server NPS, přes který probíhá pokus o ověření.
Typ tenanta Microsoft Entra | Možnosti funkce důvěryhodné IP adresy |
---|---|
Spravované | Konkrétní rozsah IP adres: Správci určují rozsah IP adres, které můžou obejít vícefaktorové ověřování pro uživatele, kteří se přihlašují z intranetu společnosti. Je možné nakonfigurovat maximálně 50 důvěryhodných rozsahů IP adres. |
Federovaní | Všichni federovaní uživatelé: Všichni federovaní uživatelé, kteří se přihlašují z organizace, můžou obejít vícefaktorové ověřování. Uživatelé obejdou ověření pomocí deklarace identity vydané službou Active Directory Federation Services (AD FS) (AD FS). Konkrétní rozsah IP adres: Správci určují rozsah IP adres, které můžou obejít vícefaktorové ověřování pro uživatele, kteří se přihlašují z podnikového intranetu. |
Obcházení důvěryhodných IP adres funguje jenom v intranetu společnosti. Pokud vyberete možnost Všichni federovaní uživatelé a uživatel se přihlásí mimo firemní intranet, musí se uživatel ověřit pomocí vícefaktorového ověřování. Proces je stejný i v případě, že uživatel prezentuje deklaraci identity služby AD FS.
Poznámka:
Pokud jsou v tenantovi nakonfigurované zásady vícefaktorového ověřování pro jednotlivé uživatele i zásady podmíněného přístupu, musíte přidat důvěryhodné IP adresy do zásad podmíněného přístupu a aktualizovat nastavení služby MFA.
Uživatelské prostředí v podnikové síti
Pokud je funkce důvěryhodných IP adres zakázaná, vyžaduje se pro toky prohlížeče vícefaktorové ověřování. Hesla aplikací se vyžadují pro starší plnohodnotné klientské aplikace.
Při použití důvěryhodných IP adres se pro toky prohlížeče nevyžaduje vícefaktorové ověřování. Pokud uživatel nevytvořil heslo aplikace, nevyžaduje se pro starší plnohodnotné klientské aplikace. Po použití hesla aplikace se vyžaduje heslo.
Uživatelské prostředí mimo podnikovou síť
Bez ohledu na to, jestli jsou definované důvěryhodné IP adresy, se pro toky prohlížeče vyžaduje vícefaktorové ověřování. Hesla aplikací se vyžadují pro starší plnohodnotné klientské aplikace.
Povolení pojmenovaných umístění pomocí podmíněného přístupu
Pravidla podmíněného přístupu můžete použít k definování pojmenovaných umístění pomocí následujícího postupu:
- Přihlaste se do Centra pro správu Microsoft Entra s úrovní minimálně jako Správce podmíněného přístupu.
- Přejděte k pojmenovaným umístěním> podmíněného přístupu ochrany.>
- Vyberte Nové umístění.
- Zadejte název umístění.
- Vyberte Označit jako důvěryhodné umístění.
- Do zápisu CIDR zadejte rozsah IP adres pro vaše prostředí. Například 40.77.182.32/27.
- Vyberte Vytvořit.
Povolení funkce důvěryhodných IP adres s využitím podmíněného přístupu
Pokud chcete povolit důvěryhodné IP adresy pomocí zásad podmíněného přístupu, proveďte následující kroky:
Přihlaste se do Centra pro správu Microsoft Entra s úrovní minimálně jako Správce podmíněného přístupu.
Přejděte k pojmenovaným umístěním> podmíněného přístupu ochrany.>
Vyberte Konfigurovat důvěryhodné IP adresy vícefaktorového ověřování.
Na stránce Nastavení služby v části Důvěryhodné IP adresy zvolte jednu z těchto možností:
U žádostí od federovaných uživatelů pocházejících z mého intranetu: Chcete-li vybrat tuto možnost, zaškrtněte políčko. Všichni federovaní uživatelé, kteří se přihlašují z podnikové sítě, obcházejí vícefaktorové ověřování pomocí deklarace identity vydané službou AD FS. Ujistěte se, že služba AD FS má pravidlo pro přidání deklarace intranetu do příslušného provozu. Pokud pravidlo neexistuje, vytvořte ve službě AD FS následující pravidlo:
c:[Type== "https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork"] => issue(claim = c);
Poznámka:
Možnost Přeskočit vícefaktorové ověřování pro požadavky federovaných uživatelů na mém intranetu ovlivní vyhodnocení podmíněného přístupu pro umístění. Všechny požadavky s deklarací identity insidecorporatenetwork by byly považovány za přicházející z důvěryhodného umístění, pokud je tato možnost vybrána.
Pro žádosti z konkrétního rozsahu veřejných IP adres: Tuto možnost zvolíte tak, že do textového pole zadáte IP adresy v zápisu CIDR.
- Pro IP adresy, které jsou v rozsahu xxx.xxx.xxx.1 až xxx.xxx.xxx.254, použijte notaci jako xxx.xxx.xxx.0/24.
- Pro jednu IP adresu použijte notaci, jako je xxx.xxx.xxx.xxx/32.
- Zadejte až 50 rozsahů IP adres. Uživatelé, kteří se z těchto IP adres přihlašují, obcházejí vícefaktorové ověřování.
Zvolte Uložit.
Povolení funkce důvěryhodných IP adres s využitím nastavení služby
Pokud nechcete používat zásady podmíněného přístupu k povolení důvěryhodných IP adres, můžete nakonfigurovat nastavení služby pro vícefaktorové ověřování Microsoft Entra pomocí následujícího postupu:
Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce zásad ověřování.
Přejděte do části Ochrana>Vícefaktorového ověřování Další cloudová nastavení vícefaktorového>ověřování.
Na stránce Nastavení služby v části Důvěryhodné IP adresy zvolte jednu nebo obě z následujících možností:
U žádostí federovaných uživatelů na mém intranetu: Pokud chcete vybrat tuto možnost, zaškrtněte políčko. Všichni federovaní uživatelé, kteří se přihlašují z podnikové sítě, obcházejí vícefaktorové ověřování pomocí deklarace identity vydané službou AD FS. Ujistěte se, že služba AD FS má pravidlo pro přidání deklarace intranetu do příslušného provozu. Pokud pravidlo neexistuje, vytvořte ve službě AD FS následující pravidlo:
c:[Type== "https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork"] => issue(claim = c);
Pro požadavky ze zadaného rozsahu podsítí IP adres: Tuto možnost zvolíte tak, že do textového pole zadáte IP adresy v zápisu CIDR.
- Pro IP adresy, které jsou v rozsahu xxx.xxx.xxx.1 až xxx.xxx.xxx.254, použijte notaci jako xxx.xxx.xxx.0/24.
- Pro jednu IP adresu použijte notaci, jako je xxx.xxx.xxx.xxx/32.
- Zadejte až 50 rozsahů IP adres. Uživatelé, kteří se z těchto IP adres přihlašují, obcházejí vícefaktorové ověřování.
Zvolte Uložit.
Metody ověřování
Na portálu nastavení služby můžete zvolit metody ověřování, které jsou pro uživatele k dispozici. Když uživatelé zaregistrují své účty pro vícefaktorové ověřování Microsoft Entra, vyberou si upřednostňovanou metodu ověření z možností, které jste povolili. Pokyny k procesu registrace uživatele najdete v části Nastavení účtu pro vícefaktorové ověřování.
Důležité
V březnu 2023 jsme oznámili vyřazení metod ověřování ve starších zásadách vícefaktorového ověřování a samoobslužného resetování hesla (SSPR). Od 30. září 2025 nejde v těchto starších zásadách MFA a SSPR spravovat metody ověřování. Zákazníkům doporučujeme použít řízení ruční migrace k migraci na zásady metod ověřování podle data vyřazení. Nápovědu k řízení migrace najdete v tématu Postup migrace nastavení zásad MFA a SSPR na zásady ověřování pro Microsoft Entra ID.
K dispozici jsou následující metody ověřování:
metoda | Popis |
---|---|
Telefonní hovor | Umístí automatizovaný hlasový hovor. Uživatel odpoví na hovor a stisknutím klávesy # na telefonu se ověří. Telefonní číslo se nesynchronuje s místní Active Directory. |
Textová zpráva na telefon | Odešle textovou zprávu obsahující ověřovací kód. Uživateli se zobrazí výzva k zadání ověřovacího kódu do přihlašovacího rozhraní. Tento proces se nazývá jednosměrná sms. Obousměrná sms znamená, že uživatel musí textovat zpět konkrétní kód. Obousměrná zpráva SMS je zastaralá a po 14. listopadu 2018 se nepodporuje. Správci by měli uživatelům, kteří dříve používali obousměrnou sms, povolit jinou metodu. |
Oznámení přes mobilní aplikaci | Odešle nabízené oznámení na telefon nebo registrované zařízení uživatele. Uživatel zobrazí oznámení a vybere Ověřit , aby se dokončilo ověření. Aplikace Microsoft Authenticator je dostupná pro Windows Phone, Android a iOS. |
Ověřovací kód z mobilní aplikace nebo hardwarového tokenu | Aplikace Microsoft Authenticator každých 30 sekund vygeneruje nový ověřovací kód OATH. Uživatel zadá ověřovací kód do přihlašovacího rozhraní. Aplikace Microsoft Authenticator je dostupná pro Windows Phone, Android a iOS. |
Další informace naleznete v tématu Jaké metody ověřování a ověřování jsou k dispozici v Microsoft Entra ID?.
Povolení a zakázání metod ověřování
Pokud chcete povolit nebo zakázat metody ověřování, proveďte následující kroky:
- Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce zásad ověřování.
- Přejděte na Uživatele identity>.
- Vyberte Vícefaktorové ověřování pro jednotlivé uživatele.
- V části Vícefaktorové ověřování v horní části stránky vyberte Nastavení služby.
- Na stránce Nastavení služby v části Možnosti ověření zaškrtněte nebo zrušte zaškrtnutí příslušných políček.
- Zvolte Uložit.
Pamatovat si vícefaktorové ověřování
Funkce pamatovat si vícefaktorové ověřování umožňuje uživatelům obejít následná ověření po zadaný počet dní po úspěšném přihlášení k zařízení pomocí vícefaktorového ověřování. Pokud chcete zvýšit použitelnost a minimalizovat počet, kolikrát uživatel musí na daném zařízení provádět vícefaktorové ověřování, vyberte dobu trvání 90 dnů nebo více.
Důležité
Pokud dojde k ohrožení zabezpečení účtu nebo zařízení, mějte na paměti vícefaktorové ověřování pro důvěryhodná zařízení. Pokud dojde k ohrožení podnikového účtu nebo dojde ke ztrátě nebo odcizení důvěryhodného zařízení, měli byste odvolat relace MFA.
Akce odvolání odvolá důvěryhodný stav ze všech zařízení a uživatel musí znovu provést vícefaktorové ověřování. Můžete také dát uživatelům pokyn, aby obnovili původní stav vícefaktorového ověřování na vlastních zařízeních, jak je uvedeno v části Správa nastavení pro vícefaktorové ověřování.
Jak funkce funguje
Funkce vícefaktorového ověřování nastaví v prohlížeči trvalý soubor cookie, když uživatel při přihlášení vybere možnost Neptat se znovu na X dní . Dokud nevyprší platnost souboru cookie, nezobrazí se uživateli výzva k opětovnému zadání vícefaktorového ověřování z daného prohlížeče. Pokud uživatel na stejném zařízení otevře jiný prohlížeč nebo vymaže soubory cookie, zobrazí se znovu výzva k ověření.
V aplikacích, které nejsou prohlížečem, se možnost Nepožádejte znovu o X dní , bez ohledu na to, jestli aplikace podporuje moderní ověřování. Tyto aplikace používají obnovovací tokeny , které poskytují nové přístupové tokeny každou hodinu. Při ověření obnovovacího tokenu microsoft Entra ID zkontroluje, že během zadaného počtu dnů došlo k poslednímu vícefaktorovém ověřování.
Tato funkce snižuje počet ověřování ve webových aplikacích, které se obvykle pokaždé zobrazí výzva. Tato funkce může zvýšit počet ověřování pro moderní klienty ověřování, kteří se obvykle každých 180 dnů vyzve, pokud je nakonfigurovaná nižší doba trvání. Může také zvýšit počet ověřování v kombinaci se zásadami podmíněného přístupu.
Důležité
Zapamatovat si funkci vícefaktorového ověřování není kompatibilní s funkcí zůstat přihlášeni ke službě AD FS, když uživatelé provádějí vícefaktorové ověřování pro službu AD FS prostřednictvím MFA Serveru nebo vícefaktorového řešení ověřování třetí strany.
Pokud vaši uživatelé vyberou , aby mě přihlásili ke službě AD FS a označili své zařízení jako důvěryhodné pro MFA, uživatel se po vypršení počtu dní, kdy vyprší platnost vícefaktorového ověřování , automaticky neověří. Microsoft Entra ID požaduje nové vícefaktorové ověřování, ale služba AD FS vrátí token s původní deklarací identity vícefaktorového ověřování a datem místo opětovného provádění vícefaktorového ověřování. Tato reakce nastaví ověřovací smyčku mezi ID Microsoft Entra a AD FS.
Funkce vícefaktorového ověřování není kompatibilní s uživateli B2B a při přihlášení k pozvaným tenantům se uživatelům B2B nezobrazí.
Funkce pamatovat si vícefaktorové ověřování není kompatibilní s řízením podmíněného přístupu frekvence přihlašování. Další informace najdete v tématu Konfigurace správy relací ověřování pomocí podmíněného přístupu.
Povolení vícefaktorového ověřování
Pokud chcete povolit a nakonfigurovat možnost povolit uživatelům zapamatovat si jejich stav vícefaktorového ověřování a obejít výzvy, proveďte následující kroky:
- Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce zásad ověřování.
- Přejděte na Uživatele identity>.
- Vyberte Vícefaktorové ověřování pro jednotlivé uživatele.
- V části Vícefaktorové ověřování v horní části stránky vyberte nastavení služby.
- Na stránce nastavení služby v části Pamatovat vícefaktorové ověřování vyberte Povolit uživatelům zapamatovat vícefaktorové ověřování na zařízeních, kterým důvěřují.
- Nastavte počet dní, aby důvěryhodná zařízení mohla obejít vícefaktorové ověřování. Pro optimální uživatelské prostředí prodlužte dobu trvání na 90 nebo více dnů.
- Zvolte Uložit.
Označení zařízení jako důvěryhodné
Po povolení funkce pamatovat si vícefaktorové ověřování můžou uživatelé zařízení označit jako důvěryhodné, když se přihlásí, a to tak , že znovu vyberou Možnost Nepožádejte se.
Další kroky
Další informace najdete v tématu Jaké metody ověřování a ověřování jsou k dispozici v Microsoft Entra ID?