Plánování nasazení vícefaktorového ověřování
Než začnete nasazovat vícefaktorové ověřování Microsoft Entra, měli byste se rozhodnout několik věcí.
Nejprve zvažte možnost zavedení vícefaktorového ověřování v několika vlnách. Začněte malou skupinou uživatelů, abyste mohli vyhodnotit složitost vašeho prostředí a identifikovat případné problémy s nastavením nebo nepodporovanými aplikacemi či zařízeními. Potom tuto skupinu rozšiřte v průběhu času a vyhodnoťte výsledky s každým průchodem, dokud nebude zaregistrovaná celá společnost.
Dále nezapomeňte vytvořit úplný komunikační plán. Vícefaktorové ověřování Microsoft Entra má několik požadavků na interakci uživatele, včetně procesu registrace. Udržujte uživatele informovanými o každém kroku cesty. Dejte jim vědět, co je potřeba udělat, důležitá data a jak získat odpovědi na otázky, pokud mají potíže. Microsoft poskytuje šablony komunikace, které vám pomůžou s konceptem komunikace, včetně plakátů a e-mailových šablon.
Zásady vícefaktorového ověřování Microsoft Entra
Vícefaktorové ověřování Microsoft Entra se vynucuje pomocí zásad podmíněného přístupu . Zásady podmíněného přístupu jsou příkazy IF-THEN. POKUD chce uživatel přistupovat k prostředku, POTOM musí dokončit akci. Například správce mzdy chce získat přístup k aplikaci mzdy a vyžaduje pro přístup k ní vícefaktorové ověřování. Mezi další běžné žádosti o přístup, které by mohly vyžadovat MFA, patří:
- POKUD se přistupuje ke konkrétní cloudové aplikaci
- POKUD uživatel přistupuje ke konkrétní síti
- POKUD uživatel přistupuje ke konkrétní klientské aplikaci
- POKUD uživatel registruje nové zařízení
Rozhodování ohledně podporovaných metod ověřování
Když zapnete vícefaktorové ověřování Microsoft Entra, můžete zvolit metody ověřování, které chcete zpřístupnit. Vždy byste měli podporovat více než jednu metodu, aby uživatelé měli k dispozici záložní možnost, když jejich primární metoda nebude dostupná. Můžete si vybrat z následujících metod:
| Metoda | Popis |
|---|---|
| Ověřovací kód z mobilní aplikace | Aplikaci pro mobilní ověřování, jako je aplikace Microsoft Authenticator, se dá použít k načtení ověřovacího kódu OATH, který se pak zadá do přihlašovacího rozhraní. Tento kód se mění každých 30 sekund a aplikace funguje i v případě, že je připojení k internetu omezené. Tento přístup nefunguje v Číně na zařízeních s Androidem. |
| Oznámení mobilní aplikace | Azure může odesílat nabízená oznámení do mobilní ověřovací aplikace, jako je Microsoft Authenticator. Uživatel může vybrat nabízené oznámení a ověřit přihlášení. |
| Telefonní hovor | Azure může zavolat na zadané telefonní číslo. Uživatel pak ověřování schválí pomocí klávesnice. Tato metoda je upřednostňovaná pro zálohy. |
| Klíč zabezpečení FIDO2 | Klíče zabezpečení FIDO2 jsou metodou ověřování bez hesla, která je založená na standardech. Tyto klíče jsou obvykle USB zařízení, ale můžou také používat Bluetooth nebo NFC. |
| Windows Hello pro firmy | Windows Hello pro firmy nahrazuje hesla silným dvojúrovňovým ověřováním na zařízeních. Toto ověřování se skládá z typu přihlašovacích údajů uživatele, který je svázaný se zařízením a používá biometrický kód nebo PIN kód. |
| Tokeny OATH | Tokeny OATH můžou být softwarové aplikace, jako je aplikace Microsoft Authenticator a další ověřovací aplikace, nebo hardwarové tokeny, které si zákazníci můžou koupit od různých dodavatelů. |
Správa istrátory můžou povolit jednu nebo více těchto možností, pak se uživatelé můžou rozhodnout pro každou metodu ověřování podpory, kterou chtějí použít.
Výběr metody ověřování
Nakonec musíte rozhodnout, jak si uživatelé zaregistrují vybrané metody. Nejjednodušším přístupem je použít Microsoft Entra ID Protection. Pokud má vaše organizace licenci pro Službu Identity Protection, můžete ji nakonfigurovat tak, aby uživatele při příštím přihlášení požádala o registraci vícefaktorového ověřování.
Můžete také vyzvat uživatele, aby se zaregistrovali k vícefaktorovým ověřováním, když se pokusí použít aplikaci nebo službu, která vyžaduje vícefaktorové ověřování. Registraci můžete také vymáhat pomocí zásad podmíněného přístupu použitého na skupinu Azure obsahující všechny uživatele ve vaší organizace. Tento přístup vyžaduje, aby se skupina pravidelně ručně kontrolovala a odebírali se registrovaní uživatelé. Některé užitečné skripty pro automatizaci některých z tohoto procesu najdete v tématu Plánování nasazení vícefaktorového ověřování Microsoft Entra.