Sdílet prostřednictvím

Kurz: Migrace zásad přihlašování Okta do podmíněného přístupu Microsoft Entra

  • Článek

V tomto kurzu se naučíte migrovat organizaci z globálních zásad přihlašování nebo zásad přihlašování na úrovni aplikace v podmíněném přístupu Okta v Microsoft Entra ID. Zásady podmíněného přístupu zabezpečí uživatelský přístup v Microsoft Entra ID a připojených aplikacích.

Další informace: Co je podmíněný přístup?

V tomto kurzu se předpokládá, že máte:

  • Tenant Office 365 federovaný do Okty pro přihlášení a vícefaktorové ověřování
  • Server Microsoft Entra Connect nebo agenti zřizování cloudu Microsoft Entra Connect nakonfigurovaní pro zřizování uživatelů pro ID Microsoft Entra

Požadavky

Požadavky na licencování a přihlašovací údaje najdete v následujících dvou částech.

Povolující

Pokud přepnete z okty na podmíněný přístup, existují licenční požadavky. Tento proces vyžaduje licenci Microsoft Entra ID P1 k povolení registrace pro vícefaktorové ověřování Microsoft Entra.

Další informace: Přiřazení nebo odebrání licencí v Centru pro správu Microsoft Entra

Přihlašovací údaje podnikového správce

Pokud chcete nakonfigurovat záznam spojovacího bodu služby (SCP), ujistěte se, že máte v místní doménové struktuře přihlašovací údaje podnikového správce.

Vyhodnocení zásad přihlašování okta pro přechod

Vyhledejte a vyhodnoťte zásady přihlašování okta, abyste zjistili, co se převedou na ID Microsoft Entra.

  1. V Oktě přejděte do přihlášení k ověřování>zabezpečení>.

    Snímek obrazovky s položkami zásad globálního přihlašování K vícefaktorového ověřování na stránce Ověřování

  2. Přejděte na Aplikace.

  3. V podnabídce vyberte Aplikace.

  4. V seznamu Aktivní aplikace vyberte systém Microsoft Office 365 připojené instance.

    Snímek obrazovky s nastavením v části Přihlásit se pro systém Microsoft Office 365

  5. Vyberte Přihlásit se.

  6. Posuňte se do dolní části stránky.

Zásady přihlašování k aplikacím systém Microsoft Office 365 mají čtyři pravidla:

  • Vynucení vícefaktorového ověřování pro mobilní relace – vyžaduje vícefaktorové ověřování z moderních relací ověřování nebo prohlížečů v iOSu nebo Androidu.
  • Povolit důvěryhodná zařízení s Windows – zabrání zbytečným ověřením nebo výzvy k faktoru pro důvěryhodná zařízení Okta.
  • Vyžadovat vícefaktorové ověřování z nedůvěryhodných zařízení s Windows – vyžaduje vícefaktorové ověřování z moderních relací ověřování nebo prohlížeče na nedůvěryhodných zařízeních s Windows.
  • Blokování starší verze ověřování – zabrání klientům starší verze ověřování v připojení ke službě.

Následující snímek obrazovky je podmínky a akce pro čtyři pravidla na obrazovce Přihlásit se zásadami.

Snímek obrazovky s podmínkami a akcemi pro čtyři pravidla na obrazovce Přihlásit se zásadami

Konfigurace zásad podmíněného přístupu

Nakonfigurujte zásady podmíněného přístupu tak, aby odpovídaly podmínkám Okta. V některých scénářích ale možná budete potřebovat další nastavení:

  • Síťová umístění okta do pojmenovaných umístění v Microsoft Entra ID
  • Vztah důvěryhodnosti zařízení Okta s podmíněným přístupem na základě zařízení (dvě možnosti vyhodnocení uživatelských zařízení):
    • Viz následující část Konfigurace hybridního připojení Microsoft Entra pro synchronizaci zařízení s Windows, jako jsou Windows 10, Windows Server 2016 a 2019, do Microsoft Entra ID
    • Viz následující část Konfigurace dodržování předpisů zařízením
    • Viz, Použití hybridního připojení Microsoft Entra, funkce na serveru Microsoft Entra Connect, která synchronizuje zařízení s Windows, jako jsou Windows 10, Windows Server 2016 a Windows Server 2019, s Microsoft Entra ID
    • Přečtěte si téma Registrace zařízení v Microsoft Intune a přiřazení zásad dodržování předpisů.

Konfigurace hybridního připojení Microsoft Entra

Pokud chcete povolit hybridní připojení Microsoft Entra na serveru Microsoft Entra Connect, spusťte průvodce konfigurací. Po konfiguraci zaregistrujte zařízení.

Poznámka

Hybridní připojení Microsoft Entra se u agentů zřizování cloudu Microsoft Entra Connect nepodporuje.

  1. Nakonfigurujte hybridní připojení Microsoft Entra.

  2. Na stránce konfigurace SCP vyberte rozevírací seznam Ověřovací služba.

    Snímek obrazovky s rozevíracím seznamem Ověřovací služba v dialogovém okně Microsoft Entra Connect

  3. Vyberte adresu URL zprostředkovatele federace Okta.

  4. Vyberte Přidat.

  5. Zadejte přihlašovací údaje místního podnikového správce.

  6. Vyberte Další.

    Spropitné

    Pokud jste v globálních zásadách přihlašování nebo na úrovni aplikace zablokovali starší ověřování na klientech Windows, vytvořte pravidlo, které umožňuje dokončit proces hybridního připojení Microsoft Entra. Povolte starší sadu ověřování pro klienty Windows.
    Pokud chcete povolit vlastní klientské řetězce v zásadách aplikací, obraťte se na Centrum nápovědy Okta.

Konfigurace dodržování předpisů zařízením

Hybridní připojení Microsoft Entra je náhradou za vztah důvěryhodnosti zařízení Okta ve Windows. Zásady podmíněného přístupu rozpoznávají dodržování předpisů pro zařízení zaregistrovaná v Microsoft Intune.

Zásady dodržování předpisů zařízením

Registrace zařízení s Windows 10/11, iOS, iPadOS a Androidem

Pokud jste nasadili hybridní připojení Microsoft Entra, můžete nasadit další zásady skupiny pro dokončení automatické registrace těchto zařízení v Intune.

Konfigurace nastavení tenanta vícefaktorového ověřování Microsoft Entra

Spropitné

Postup v tomto článku se může mírně lišit v závislosti na portálu, od který začínáte.

Před převodem na podmíněný přístup potvrďte základní nastavení tenanta vícefaktorového ověřování pro vaši organizaci.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako správce hybridní identity.

  2. Přejděte k identitě>Uživatelé>Všichni uživatelé.

  3. V horní nabídce podokna Uživatelé vyberte MFA pro jednotlivé uživatele.

  4. Zobrazí se starší verze vícefaktorového ověřovacího portálu Microsoft Entra. Nebo vyberte vícefaktorový ověřovací portál Microsoft Entra.

    Snímek obrazovky s vícefaktorovým ověřováním

  5. Ověřte, že pro starší verzi vícefaktorového ověřování nejsou povoleni žádní uživatelé: V nabídce Vícefaktorové ověřování ve stavu vícefaktorového ověřování vyberte Povoleno a Vynuceno. Pokud tenant obsahuje uživatele v následujících zobrazeních, zakažte je v nabídce starší verze.

    Snímek obrazovky s vícefaktorovým ověřováním se zvýrazněnou funkcí vyhledávání

  6. Ujistěte se, že je pole Vynuceno prázdné.

  7. Vyberte možnost Nastavení služby.

  8. Změňte výběr hesel aplikací na Nepovolit uživatelům vytvářet hesla aplikací pro přihlášení k aplikacím bez prohlížeče.

    Snímek obrazovky s vícefaktorovým ověřováním se zvýrazněným nastavením služby

  9. Zrušte zaškrtnutí políček pro přeskočení vícefaktorového ověřování pro požadavky federovaných uživatelů na mém intranetu a Povolit uživatelům pamatovat vícefaktorové ověřování na zařízeních, kterým důvěřují (mezi 1 a 365 dny).

  10. Vyberte Uložit.

    Snímek obrazovky s nezaškrtovanými zaškrtávacími políčky na obrazovce Vyžadovat důvěryhodná zařízení pro přístup

    Poznámka

    Viz Optimalizace výzvy k opětovnému ověření a vysvětlení životnosti relace pro vícefaktorové ověřování Microsoft Entra.

Vytvoření zásady podmíněného přístupu

Pokud chcete nakonfigurovat zásady podmíněného přístupu, přečtěte si osvědčené postupy pro nasazení a návrh podmíněného přístupu.

Po nakonfigurování požadavků a zavedených základních nastavení můžete vytvořit zásady podmíněného přístupu. Zásady můžou být cílené na aplikaci, testovací skupinu uživatelů nebo obojí.

Než začnete:

  1. Přihlaste se do Centra pro správu Microsoft Entra.

  2. Přejděte na Identitu.

  3. Pokud chcete zjistit, jak vytvořit zásadu v Microsoft Entra ID. Viz běžné zásady podmíněného přístupu: Vyžaduje vícefaktorové ověřování pro všechny uživatele.

  4. Vytvořte pravidlo podmíněného přístupu založeného na důvěryhodnosti zařízení.

    Snímek obrazovky s položkami Vyžadovat důvěryhodná zařízení pro přístup v části Podmíněný přístup

    Snímek obrazovky s dialogovým oknem Zabezpečení účtu a zprávou o úspěchu

  5. Po nakonfigurování zásad založených na poloze a zásad důvěryhodnosti zařízení zablokujte starší ověřování pomocí ID Microsoft Entra s podmíněným přístupem.

S těmito třemi zásadami podmíněného přístupu se původní prostředí zásad přihlašování okta replikuje v Microsoft Entra ID.

Registrace pilotních členů v MFA

Uživatelé se registrují pro metody MFA.

Pro individuální registraci uživatelé přejdou do podokna Přihlášení k Microsoftu.

Pokud chcete spravovat registraci, uživatelé přejdou na Microsoft My Sign-Ins | Bezpečnostní údaje.

Další informace: Povolení kombinované registrace bezpečnostních informací v Microsoft Entra ID.

Poznámka

Pokud jsou uživatelé zaregistrovaní, budou přesměrováni na stránku Moje zabezpečení po splnění vícefaktorového ověřování.

Povolení zásad podmíněného přístupu

  1. Pokud chcete testovat, změňte vytvořené zásady na Povoleno testovací přihlášení uživatele.

    Snímek obrazovky se zásadami na obrazovce Podmíněný přístup, Zásady

  2. V podokně přihlášení k Office 365 se testovacímu uživateli John Smith zobrazí výzva k přihlášení pomocí okta MFA a vícefaktorového ověřování Microsoft Entra.

  3. Dokončete ověřování vícefaktorového ověřování prostřednictvím Okta.

    Snímek obrazovky s ověřováním vícefaktorového ověřování prostřednictvím Okta

  4. Uživateli se zobrazí výzva k podmíněnému přístupu.

  5. Ujistěte se, že jsou zásady nakonfigurované tak, aby se aktivovaly pro vícefaktorové ověřování.

    Snímek obrazovky s ověřením vícefaktorového ověřování prostřednictvím Okta se zobrazila výzva k zadání podmíněného přístupu

Přidání členů organizace do zásad podmíněného přístupu

Po provedení testování pilotních členů přidejte zbývající členy organizace do zásad podmíněného přístupu po registraci.

Abyste se vyhnuli dvojité výzvě mezi vícefaktorovým ověřováním Microsoft Entra a vícefaktorovým ověřováním Okta, odhlaste se z okta MFA: upravte zásady přihlašování.

  1. Přejděte do konzoly pro správu Okta.

  2. Výběr možnosti Ověřování zabezpečení>

  3. Přejděte na Zásady přihlašování.

    Poznámka

    Pokud jsou všechny aplikace z Okty chráněné zásadami přihlašování aplikací, nastavte globální zásady na neaktivní .

  4. Nastavte zásadu Vynucení vícefaktorového ověřování na Neaktivní. Zásady můžete přiřadit nové skupině, která nezahrnuje uživatele Microsoft Entra.

    Snímek obrazovky globální zásady přihlašování K vícefaktorového ověřování jako neaktivní

  5. V podokně zásad přihlašování na úrovni aplikace vyberte možnost Zakázat pravidlo .

  6. Vyberte Neaktivní. Zásady můžete přiřadit nové skupině, která nezahrnuje uživatele Microsoft Entra.

  7. Ujistěte se, že je pro aplikaci povolená alespoň jedna zásada přihlašování na úrovni aplikace, která umožňuje přístup bez vícefaktorového ověřování.

    Snímek obrazovky s přístupem k aplikacím bez vícefaktorového ověřování

  8. Při příštím přihlášení se uživatelům zobrazí výzva k zadání podmíněného přístupu.

Další kroky