Popis vícefaktorového ověřování

  • 5 min

Vícefaktorové ověřování je proces, ve kterém se uživatelům během procesu přihlašování zobrazí výzva k zadání jiné formy identifikace. Pokud k ověření uživatele použijete jenom heslo, ponechá nezabezpečený vektor útoku. Pokud je heslo slabé nebo vystavené jinde, útočník ho může použít k získání přístupu. Pokud vyžadujete druhou formu ověřování, zvyšuje se zabezpečení, protože tento dodatečný faktor není něco, co útočník snadno získá nebo duplikuje.

Vícefaktorové ověřování Microsoft Entra funguje tak, že vyžaduje dvě nebo více následujících metod ověřování:

  • Něco, co znáte – obvykle heslo nebo PIN kód a
  • Něco, co máte – například důvěryhodné zařízení, které není snadno duplikované, například telefon nebo hardwarový klíč nebo
  • Něco, co jste – biometrické údaje, jako je otisk prstu nebo sken obličeje.

Výzvy k ověření vícefaktorového ověřování jsou součástí události přihlášení Microsoft Entra. Microsoft Entra ID automaticky požaduje a zpracovává vícefaktorové ověřování, aniž byste museli provádět změny aplikací nebo služeb. Když se uživatel přihlásí, obdrží výzvu k vícefaktorovém ověřování a může si vybrat z některého z dalších ověřovacích formulářů, které zaregistroval. Správce může vyžadovat určité metody ověření nebo uživatel má přístup ke svému účtu MyAccount, aby mohl upravit nebo přidat metody ověření.

Dostupné metody ověřování

S vícefaktorovým ověřováním Microsoft Entra lze použít následující formy ověření:

  • Microsoft Authenticator
  • Authenticator Lite (v Outlooku)
  • Windows Hello pro firmy
  • Přístupový klíč (FIDO2)
  • Přístupový klíč v Microsoft Authenticatoru
  • Ověřování na základě certifikátů (při konfiguraci pro vícefaktorové ověřování)
  • Metody externího ověřování
  • Dočasný přístupový průkaz (TAP)
  • Hardwarový token OATH
  • Softwarový token OATH
  • Krátká služba zpráv (SMS)
  • Hlasový hovor

Snímek obrazovky znázorňující způsoby ověření identity během přihlašování

Výchozí nastavení zabezpečení a vícefaktorové ověřování

Výchozí nastavení zabezpečení jsou sada základních mechanismů zabezpečení identit, které doporučuje Microsoft. Pokud je tato doporučení povolená, vynucují se ve vaší organizaci automaticky. Cílem je zajistit, aby všechny organizace měly základní úroveň zabezpečení povolenou bez dalších poplatků.

Na základě učení Microsoftu se zastaví více než 99,9% běžných útoků souvisejících s identitami pomocí vícefaktorového ověřování a blokováním starší verze ověřování. Mezi výchozí nastavení zabezpečení patří:

  • Vyžadování registrace pro vícefaktorové ověřování Microsoft Entra všemi uživateli
  • Vyžadování, aby správci mohli provádět vícefaktorové ověřování.
  • Vyžadování, aby všichni uživatelé v případě potřeby dokončili vícefaktorové ověřování.
  • Blokování starších ověřovacích protokolů
  • Ochrana privilegovaných aktivit, jako je přístup k webu Azure Portal.

Výchozí nastavení zabezpečení jsou skvělou volbou pro organizace, které chtějí zvýšit stav zabezpečení, ale nevíte, kde začít, nebo pro organizace používající bezplatnou úroveň licencování Microsoft Entra ID. Výchozí nastavení zabezpečení jsou ve výchozím nastavení povolená pro nové tenanty.

Když se uživatelé přihlásí a zobrazí se výzva k provedení vícefaktorového ověřování ve výchozím nastavení zabezpečení, zobrazí se jim obrazovka s číslem, které se má zadat do aplikace Microsoft Authenticator. Toto opatření pro porovnávání čísel pomáhá zabránit uživatelům, aby se stali obětí útoků vyčerpání vícefaktorového ověřování.

Podmíněný přístup a vícefaktorové ověřování

Pro organizace s složitějšími požadavky na zabezpečení poskytují zásady podmíněného přístupu Microsoft Entra podrobnější kontrolu. Podmíněný přístup umožňuje správcům definovat zásady, které vyžadují vícefaktorové ověřování na základě konkrétních podmínek, jako je umístění uživatele, stav zařízení, úroveň rizika nebo citlivost aplikace, ke které se přistupuje. Zásada může například povolit pravidelné přihlašování, když je uživatel v podnikové síti, ale vyžaduje dodatečné ověření, když je uživatel vzdálený nebo na osobním zařízení. Podmíněný přístup vyžaduje licence Microsoft Entra ID P1 nebo P2.

Poznámka:

Podmíněný přístup, včetně silných stránek autentizace a ochrany služeb AI pomocí vícefaktorového ověřování, je podrobněji popsán v modulu Popis možností správy přístupu Microsoft Entra.