Sdílet prostřednictvím

Kurz: Zabezpečení událostí přihlašování uživatelů pomocí vícefaktorového ověřování Microsoft Entra

  • Článek

Vícefaktorové ověřování je proces, při kterém se uživateli během přihlášení zobrazí výzva k zadání dalších forem identifikace. Například výzva může být zadání kódu na mobilním telefonu nebo poskytnutí otisku prstu. Pokud požadujete druhou formu identifikace, zvyšuje se zabezpečení, protože tento dodatečný faktor není snadný, aby útočník získal nebo duplikuje.

Vícefaktorové ověřování Microsoft Entra a zásady podmíněného přístupu umožňují flexibilně vyžadovat vícefaktorové ověřování od uživatelů pro konkrétní události přihlášení.

Důležité

V tomto kurzu se dozvíte, jak povolit vícefaktorové ověřování Microsoft Entra. Pokud chcete procházet vícefaktorové ověřování jako uživatel, přečtěte si téma Přihlášení k pracovnímu nebo školnímu účtu pomocí dvoustupňové metody ověřování.

Pokud váš IT tým nepovolil možnost používat vícefaktorové ověřování Microsoft Entra nebo pokud máte problémy při přihlašování, obraťte se na helpdesk a požádejte ho o další pomoc.

V tomto kurzu se naučíte:

  • Vytvořte zásadu podmíněného přístupu pro povolení vícefaktorového ověřování Microsoft Entra pro skupinu uživatelů.
  • Nakonfigurujte podmínky zásad, které se zobrazí výzva k vícefaktorovém ověřování.
  • Otestujte konfiguraci a použití vícefaktorového ověřování jako uživatel.

Požadavky

K dokončení tohoto kurzu potřebujete následující prostředky a oprávnění:

  • Funkční tenant Microsoft Entra s povolenými licencemi Microsoft Entra ID P1 nebo zkušební verze.

  • Účet s alespoň rolí Správce podmíněného přístupu. Některá nastavení vícefaktorového ověřování může spravovat také správce zásad ověřování.

  • Účet bez oprávnění správce s heslem, které znáte. Pro účely tohoto kurzu jsme vytvořili takový účet s názvem testuser. V tomto kurzu otestujete prostředí koncového uživatele při konfiguraci a používání vícefaktorového ověřování Microsoft Entra.

  • Skupina, ve které je uživatel bez oprávnění správce členem. Pro účely tohoto kurzu jsme vytvořili takovou skupinu s názvem MFA-Test-Group. V tomto kurzu povolíte vícefaktorové ověřování Microsoft Entra pro tuto skupinu.

Vytvořte zásady podmíněného přístupu

Tip

Postup v tomto článku se může mírně lišit v závislosti na portálu, od který začínáte.

Doporučený způsob povolení a používání vícefaktorového ověřování Microsoft Entra je se zásadami podmíněného přístupu. Podmíněný přístup umožňuje vytvářet a definovat zásady, které reagují na události přihlášení a které před udělením přístupu uživatele k aplikaci nebo službě požadují další akce.

Přehled fungování podmíněného přístupu pro zabezpečení procesu přihlašování

Zásady podmíněného přístupu se dají použít pro konkrétní uživatele, skupiny a aplikace. Cílem je chránit vaši organizaci a zároveň poskytovat správné úrovně přístupu uživatelům, kteří ho potřebují.

V tomto kurzu vytvoříme základní zásady podmíněného přístupu, které při přihlášení uživatele zobrazí výzvu k vícefaktorovém ověřování. V pozdějším kurzu této série nakonfigurujeme vícefaktorové ověřování Microsoft Entra pomocí zásad podmíněného přístupu na základě rizika.

Nejprve vytvořte zásadu podmíněného přístupu a následujícím způsobem přiřaďte testovací skupinu uživatelů:

  1. Přihlaste se do Centra pro správu Microsoft Entra s úrovní minimálně jako Správce podmíněného přístupu.

  2. Přejděte do části Podmíněný přístup ochrany>, vyberte + Nové zásady a pak vyberte Vytvořit novou zásadu.

    Snímek obrazovky se stránkou Podmíněný přístup, kde vyberete Nová zásada a pak Vytvořit novou zásadu.

  3. Zadejte název zásady, například pilotní nasazení vícefaktorového ověřování.

  4. V části Přiřazení vyberte aktuální hodnotu v části Uživatelé nebo identity úloh.

    Snímek obrazovky se stránkou Podmíněného přístupu, kde vyberete aktuální hodnotu v části Uživatelé nebo identity úloh

  5. V části Na co se tato zásada vztahuje?, ověřte, že je vybraná možnost Uživatelé a skupiny .

  6. V části Zahrnout zvolte Vybrat uživatele a skupiny a pak vyberte Uživatelé a skupiny.

    Snímek obrazovky se stránkou pro vytvoření nové zásady, kde vyberete možnosti pro zadání uživatelů a skupin

    Vzhledem k tomu, že nikdo ještě není přiřazený, otevře se automaticky seznam uživatelů a skupin (zobrazený v dalším kroku).

  7. Vyhledejte a vyberte skupinu Microsoft Entra, například MFA-Test-Group, a pak zvolte Vybrat.

    Snímek obrazovky se seznamem uživatelů a skupin s výsledky filtrovanými podle písmen M F A a vybranou možností MFA-Test-Group

Vybrali jsme skupinu, na které se mají zásady použít. V další části nakonfigurujeme podmínky, za kterých se mají zásady použít.

Konfigurace podmínek pro vícefaktorové ověřování

Teď, když se vytvoří zásada podmíněného přístupu a přiřadí se testovací skupina uživatelů, definujte cloudové aplikace nebo akce, které zásadu aktivují. Tyto cloudové aplikace nebo akce jsou scénáře, které se rozhodnete vyžadovat další zpracování, jako je například výzva k vícefaktorovém ověřování. Můžete se například rozhodnout, že přístup k finanční aplikaci nebo použití nástrojů pro správu vyžaduje další výzvu k ověření.

Konfigurace aplikací vyžadujících vícefaktorové ověřování

Pro účely tohoto kurzu nakonfigurujte zásady podmíněného přístupu tak, aby při přihlášení uživatele vyžadovaly vícefaktorové ověřování.

  1. Vyberte aktuální hodnotu v části Cloudové aplikace nebo akce a potom v části Vyberte, na co se tato zásada vztahuje, ověřte, že jsou vybrané cloudové aplikace .

  2. V části Zahrnout zvolte Vybrat aplikace.

    Vzhledem k tomu, že ještě nejsou vybrané žádné aplikace, otevře se automaticky seznam aplikací (zobrazený v dalším kroku).

    Tip

    Můžete se rozhodnout použít zásady podmíněného přístupu pro všechny cloudové aplikace nebo vybrat aplikace. Pokud chcete zajistit flexibilitu, můžete z těchto zásad také vyloučit určité aplikace.

  3. Projděte si seznam dostupných událostí přihlašování, které je možné použít. Pro účely tohoto kurzu vyberte rozhraní API služby Windows Azure Service Management, aby se zásady vztahovaly na události přihlášení. Poté zvolte Vybrat.

    Snímek obrazovky se stránkou Podmíněný přístup, kde vyberete aplikaci, rozhraní API pro správu služeb Windows Azure, na kterou se nová zásada použije.

Konfigurace vícefaktorového ověřování pro přístup

Dále nakonfigurujeme řízení přístupu. Řízení přístupu umožňují definovat požadavky na udělení přístupu uživateli. Můžou být potřeba použít schválenou klientskou aplikaci nebo zařízení, které je hybridní připojené k ID Microsoft Entra.

V tomto kurzu nakonfigurujte řízení přístupu tak, aby vyžadovalo vícefaktorové ověřování během události přihlášení.

  1. V části Řízení přístupu vyberte aktuální hodnotu v části Udělení a pak vyberte Udělit přístup.

    Snímek obrazovky se stránkou podmíněného přístupu, kde vyberete Udělit a pak vyberete Udělit přístup.

  2. Vyberte Vyžadovat vícefaktorové ověřování a pak zvolte Vybrat.

    Snímek obrazovky s možnostmi udělení přístupu, kde vyberete Vyžadovat vícefaktorové ověřování

Aktivace zásady

Zásady podmíněného přístupu je možné nastavit jenom v případě, že chcete zjistit, jak by konfigurace ovlivnila uživatele, nebo vypnuto, pokud nechcete zásady použití použít právě teď. Vzhledem k tomu, že pro účely tohoto kurzu cílí testovací skupina uživatelů, povolíme zásadu a pak otestujeme vícefaktorové ověřování Microsoft Entra.

  1. V části Povolit zásadu vyberte Zapnuté.

    Snímek obrazovky ovládacího prvku, který je v dolní části webové stránky, kde určíte, jestli je zásada povolená.

  2. Pokud chcete použít zásady podmíněného přístupu, vyberte Vytvořit.

Testování vícefaktorového ověřování Microsoft Entra

Pojďme se podívat na zásady podmíněného přístupu a vícefaktorové ověřování Microsoft Entra v akci.

Nejprve se přihlaste k prostředku, který nevyžaduje vícefaktorové ověřování:

  1. Otevřete nové okno prohlížeče v režimu InPrivate nebo Incognito a přejděte na adresu https://account.activedirectory.windowsazure.com.

    Použití privátního režimu pro váš prohlížeč brání všem existujícím přihlašovacím údajům v ovlivnění této události přihlášení.

  2. Přihlaste se pomocí testovacího uživatele bez oprávnění správce, jako je testuser. Nezapomeňte zahrnout @ a název domény pro uživatelský účet.

    Pokud se jedná o první instanci přihlášení pomocí tohoto účtu, zobrazí se výzva ke změně hesla. Není však k dispozici žádná výzva ke konfiguraci nebo použití vícefaktorového ověřování.

  3. Zavřete okno prohlížeče.

Nakonfigurovali jste zásady podmíněného přístupu tak, aby vyžadovaly další ověřování pro přihlášení. Kvůli této konfiguraci se zobrazí výzva k použití vícefaktorového ověřování Microsoft Entra nebo ke konfiguraci metody, pokud jste to ještě neudělali. Otestujte tento nový požadavek přihlášením do Centra pro správu Microsoft Entra:

  1. Otevřete nové okno prohlížeče v režimu InPrivate nebo anonymním režimu a přihlaste se do Centra pro správu Microsoft Entra.

  2. Přihlaste se pomocí testovacího uživatele bez oprávnění správce, jako je testuser. Nezapomeňte zahrnout @ a název domény pro uživatelský účet.

    Musíte se zaregistrovat a používat vícefaktorové ověřování Microsoft Entra.

    Výzva s informacemi o tom, že jsou požadovány další informace. Toto je výzva ke konfiguraci metody vícefaktorového ověřování pro tohoto uživatele.

  3. Výběrem možnosti Další zahájíte proces.

    Můžete nakonfigurovat telefon pro ověřování, telefon do kanceláře nebo mobilní aplikaci pro ověřování. Ověřovací telefon podporuje textové zprávy a telefonní hovory, telefon do kanceláře podporuje hovory na čísla, která mají příponu, a mobilní aplikace podporuje používání mobilní aplikace k přijímání oznámení o ověření nebo generování ověřovacích kódů.

    Zobrazí se výzva

  4. Dokončete pokyny na obrazovce a nakonfigurujte metodu vícefaktorového ověřování, kterou jste vybrali.

  5. Zavřete okno prohlížeče a znovu se přihlaste do Centra pro správu Microsoft Entra a otestujte metodu ověřování, kterou jste nakonfigurovali. Pokud jste například nakonfigurovali mobilní aplikaci pro ověřování, měla by se zobrazit výzva podobná následující.

    Pokud se chcete přihlásit, postupujte podle pokynů v prohlížeči a potom na zařízení, které jste zaregistrovali pro vícefaktorové ověřování.

  6. Zavřete okno prohlížeče.

Vyčištění prostředků

Pokud už nechcete používat zásady podmíněného přístupu, které jste nakonfigurovali v rámci tohoto kurzu, pomocí následujících kroků zásad odstraňte:

  1. Přihlaste se do Centra pro správu Microsoft Entra s úrovní minimálně jako Správce podmíněného přístupu.

  2. Přejděte do části Podmíněný přístup ochrany> a vyberte zásady, které jste vytvořili, například pilotní nasazení vícefaktorového ověřování.

  3. vyberte Odstranit a potvrďte, že chcete zásadu odstranit.

    Pokud chcete odstranit zásady podmíněného přístupu, které jste otevřeli, vyberte Odstranit, která se nachází pod názvem zásady.

Další kroky

V tomto kurzu jste povolili vícefaktorové ověřování Microsoft Entra pomocí zásad podmíněného přístupu pro vybranou skupinu uživatelů. Naučili jste se:

  • Vytvořte zásadu podmíněného přístupu pro povolení vícefaktorového ověřování Microsoft Entra pro skupinu uživatelů Microsoft Entra.
  • Nakonfigurujte podmínky zásad, které se zobrazí výzva k vícefaktorovém ověřování.
  • Otestujte konfiguraci a použití vícefaktorového ověřování jako uživatel.

Povolení zpětného zápisu hesla pro samoobslužné resetování hesla (SSPR)