Povolení vícefaktorového ověřování Microsoft Entra pro jednotlivé uživatele za účelem zabezpečení událostí přihlašování
Pokud chcete zabezpečit události přihlašování uživatelů v Microsoft Entra ID, můžete vyžadovat vícefaktorové ověřování. Povolení vícefaktorového ověřování Microsoft Entra pomocí zásad podmíněného přístupu je doporučeným přístupem k ochraně uživatelů. Podmíněný přístup je funkce Microsoft Entra ID P1 nebo P2, která umožňuje použít pravidla, která vyžadují vícefaktorové ověřování podle potřeby v určitých scénářích. Pokud chcete začít používat podmíněný přístup, přečtěte si kurz : Zabezpečení událostí přihlašování uživatelů pomocí vícefaktorového ověřování Microsoft Entra.
V případě tenantů Bezplatného ID Microsoftu bez podmíněného přístupu můžete k ochraně uživatelů použít výchozí nastavení zabezpečení. Uživatelům se zobrazí výzva k zadání vícefaktorového ověřování podle potřeby, ale nemůžete definovat vlastní pravidla pro řízení chování.
V případě potřeby můžete místo toho povolit každý účet pro vícefaktorové ověřování Microsoft Entra pro jednotlivé uživatele. Když jsou uživatelé povoleni jednotlivě, provádějí vícefaktorové ověřování při každém přihlášení (s některými výjimkami, například při přihlašování z důvěryhodných IP adres nebo při zapnuté funkci MFA na důvěryhodných zařízeních ).
Změna stavů uživatelů se nedoporučuje, pokud vaše licence Microsoft Entra ID nezahrnují podmíněný přístup a nechcete používat výchozí nastavení zabezpečení. Další informace o různých způsobech povolení vícefaktorového ověřování najdete v tématu Funkce a licence pro vícefaktorové ověřování Microsoft Entra.
Důležité
Tento článek podrobně popisuje, jak zobrazit a změnit stav vícefaktorového ověřování Microsoft Entra pro jednotlivé uživatele. Pokud používáte výchozí nastavení podmíněného přístupu nebo zabezpečení, nekontrolujete nebo nepovolujete uživatelské účty pomocí tohoto postupu.
Povolení vícefaktorového ověřování Microsoft Entra prostřednictvím zásad podmíněného přístupu nemění stav uživatele. Pokud se uživatelé zobrazují jako zakázaní, nebudějte varovní. Podmíněný přístup nezmění stav.
Nepovolujte ani nevynucujte vícefaktorové ověřování Microsoft Entra pro jednotlivé uživatele, pokud používáte zásady podmíněného přístupu.
Stavy uživatelů vícefaktorového ověřování Microsoft Entra
Stav uživatele odráží, jestli je správce zaregistroval do vícefaktorového ověřování Microsoft Entra pro jednotlivé uživatele. Uživatelské účty v vícefaktorovém ověřování Microsoft Entra mají následující tři různé stavy:
Stát | Popis | Ovlivněné starší verze ověřování | Ovlivněné aplikace prohlížeče | Ovlivněné moderní ověřování |
---|---|---|---|---|
Zakázáno | Výchozí stav uživatele, který není zaregistrovaný v vícefaktorovém ověřování Microsoft Entra pro jednotlivé uživatele. | No | No | Ne |
Povoleno | Uživatel je zaregistrovaný v vícefaktorovém ověřování Microsoft Entra pro jednotlivé uživatele, ale může stále používat své heslo pro starší ověřování. Pokud uživatel ještě nezaregistroval metody vícefaktorového ověřování, zobrazí se mu výzva k registraci při příštím přihlášení pomocí moderního ověřování (například přes webový prohlížeč). | Ne. Starší verze ověřování nadále funguje, dokud se proces registrace nedokončil. | Ano. Po vypršení platnosti relace se vyžaduje registrace vícefaktorového ověřování Microsoft Entra. | Ano. Po vypršení platnosti přístupového tokenu se vyžaduje registrace vícefaktorového ověřování Microsoft Entra. |
Vynucené | Uživatel je zaregistrovaný pro jednotlivé uživatele v vícefaktorovém ověřování Microsoft Entra. Pokud uživatel ještě nezaregistroval metody ověřování, zobrazí se mu výzva k registraci při příštím přihlášení pomocí moderního ověřování (například přes webový prohlížeč). Uživatelé, kteří dokončí registraci ve stavu Povoleno, se automaticky přesunou do stavu Vynuceno. | Ano. Aplikace vyžadují hesla aplikací. | Ano. Při přihlášení se vyžaduje vícefaktorové ověřování Microsoft Entra. | Ano. Při přihlášení se vyžaduje vícefaktorové ověřování Microsoft Entra. |
Všichni uživatelé začínají vypnuto. Při registraci uživatelů do vícefaktorového ověřování Microsoft Entra pro jednotlivé uživatele se jejich stav změní na Povoleno. Když se uživatelé aktivovali a dokončili proces registrace, změní se jejich stav na Vynuceno. Správci můžou přesouvat uživatele mezi stavy, včetně vynucení na Povoleno nebo Zakázáno.
Poznámka:
Pokud je u uživatele znovu povolené vícefaktorové ověřování pro jednotlivé uživatele a uživatel se znovu neregistruje, jeho stav vícefaktorového ověřování se v uživatelském rozhraní pro správu vícefaktorového ověřování nepřechází z povoleného na vynucené . Správce musí uživatele přesunout přímo do vynucení.
Zobrazení stavu uživatele
Pokud chcete zobrazit a spravovat stavy uživatelů, proveďte následující kroky:
- Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce ověřování.
- Přejděte do části Identita>Uživatelé>Všichni uživatelé.
- Vyberte Vícefaktorové ověřování pro jednotlivé uživatele.
- Otevře se nová stránka, která zobrazí stav uživatele, jak je znázorněno v následujícím příkladu.
Změna stavu uživatele
Pokud chcete pro uživatele změnit stav vícefaktorového ověřování uživatele microsoft Entra, proveďte následující kroky:
Pomocí předchozích kroků zobrazíte stav uživatele, který se dostane na stránku uživatelů vícefaktorového ověřování Microsoft Entra.
Vyhledejte uživatele, kterého chcete povolit pro vícefaktorové ověřování Microsoft Entra pro jednotlivé uživatele. Možná budete muset změnit zobrazení v horní části na uživatele.
Pokud chcete změnit stav uživatele, zaškrtněte políčko vedle jmen.
Na pravé straně v části Rychlé kroky zvolte Povolit nebo Zakázat. V následujícím příkladu má uživatel John Smith vedle jména kontrolu a je povolený pro použití:
Tip
Povolené uživatele se při registraci k vícefaktorovým ověřováním Microsoft Entra automaticky přepnou na vynucené . Neměňte ručně stav uživatele na Vynuceno , pokud není uživatel již zaregistrovaný nebo pokud je přijatelné, aby uživatel zaznamenal přerušení připojení ke starším ověřovacím protokolům.
Potvrďte výběr v automaticky otevíraných otevíraných oknech, které se otevře.
Jakmile povolíte uživatele, pošlete jim e-mailem upozornění. Řekněte uživatelům, že se zobrazí výzva, aby se jim při příštím přihlášení zobrazila výzva k registraci. Pokud vaše organizace používá aplikace, které nepodporují moderní ověřování, musí také vytvářet hesla aplikací. Další informace najdete v příručce Microsoft Entra multifactor authentication end-user guide , která jim pomůže začít.
Použití Microsoft Graphu ke správě vícefaktorového ověřování pro jednotlivé uživatele
Nastavení vícefaktorového ověřování pro jednotlivé uživatele můžete spravovat pomocí rozhraní Microsoft Graph REST API Beta. Typ prostředku ověřování můžete použít k zveřejnění stavů metod ověřování pro uživatele.
Pokud chcete spravovat vícefaktorové ověřování pro jednotlivé uživatele, použijte vlastnost perUserMfaState v rámci users/id/authentication/requirements. Další informace naleznete v tématu strongAuthenticationRequirements typ prostředku.
Zobrazení stavu vícefaktorového ověřování pro jednotlivé uživatele
Načtení stavu vícefaktorového ověřování pro jednotlivé uživatele pro uživatele:
GET /users/{id | userPrincipalName}/authentication/requirements
Příklad:
GET https://graph.microsoft.com/beta/users/071cc716-8147-4397-a5ba-b2105951cc0b/authentication/requirements
Pokud je pro uživatele povolené vícefaktorové ověřování pro jednotlivé uživatele, bude odpověď následující:
HTTP/1.1 200 OK
Content-Type: application/json
{
"perUserMfaState": "enforced"
}
Další informace naleznete v tématu Získání stavů metody ověřování.
Změna stavu vícefaktorového ověřování pro uživatele
Pokud chcete u uživatele změnit stav vícefaktorového ověřování, použijte strongAuthenticationRequirements uživatele. Příklad:
PATCH https://graph.microsoft.com/beta/users/071cc716-8147-4397-a5ba-b2105951cc0b/authentication/requirements
Content-Type: application/json
{
"perUserMfaState": "disabled"
}
V případě úspěchu je odpověď následující:
HTTP/1.1 204 No Content
Další informace naleznete v tématu Aktualizace stavů metody ověřování.
Další kroky
Informace o konfiguraci nastavení vícefaktorového ověřování Microsoft Entra najdete v tématu Konfigurace nastavení vícefaktorového ověřování Microsoft Entra.
Pokud chcete spravovat uživatelská nastavení pro vícefaktorové ověřování Microsoft Entra, přečtěte si téma Správa uživatelských nastavení pomocí vícefaktorového ověřování Microsoft Entra.
Informace o tom, proč se uživateli zobrazila výzva k provedení vícefaktorového ověřování, najdete v sestavách vícefaktorového ověřování Microsoft Entra.