Konfigurace metod vícefaktorového ověřování
Jak jsme zmínili dříve v tomto modulu, doporučujeme, aby uživatelé mohli vybrat více než jednu metodu ověřování v případě, že jejich primární metoda není dostupná.
Když se uživatel poprvé přihlásí ke službě, která vyžaduje vícefaktorové ověřování, zobrazí se výzva k registraci preferované metody vícefaktorového ověřování, jak je znázorněno na následujícím snímku obrazovky:
Tip
Pokud jste postupovali podle předchozího cvičení a zapnuli vícefaktorové ověřování pro účet a aplikaci, můžete zkusit získat přístup k této aplikaci pomocí daného uživatelského účtu. Měl by se zobrazit předchozí tok.
Po registraci se při každém přihlášení uživatelů ke službě nebo aplikaci, která vyžaduje vícefaktorové ověřování, zobrazí přihlašovací proces Azure výzvu k zadání ověřovacích informací, jak je znázorněno na následujícím obrázku:
Metody ověřování Azure
Jak jste viděli dříve, existuje několik možných metod ověřování, které může správce nastavit. Některé z nich také podporují samoobslužné resetování hesla (SSPR), které uživatelům umožňuje resetovat heslo zadáním sekundární formy ověřování. Tuto službu můžete spojit s vícefaktorovým ověřováním Microsoft Entra, abyste usnadnili zátěž pracovníkům IT.
V následující tabulce jsou uvedené metody ověřování a služby, které je mohou používat.
| Metoda ověřování | Služby |
|---|---|
| Heslo | Vícefaktorové ověřování Microsoft Entra a SSPR |
| Bezpečnostní otázky | SSPR |
| E-mailová adresa | SSPR |
| Windows Hello pro firmy | Vícefaktorové ověřování Microsoft Entra a SSPR |
| Klíč zabezpečení FIDO2 | Vícefaktorové ověřování Microsoft Entra a SSPR |
| Aplikace Microsoft Authenticator | Vícefaktorové ověřování Microsoft Entra a SSPR |
| Hardwarový token OATH | Vícefaktorové ověřování Microsoft Entra a SSPR |
| Softwarový token OATH | Vícefaktorové ověřování Microsoft Entra a SSPR |
| Textová zpráva | Vícefaktorové ověřování Microsoft Entra a SSPR |
| Hlasový hovor | Vícefaktorové ověřování Microsoft Entra a SSPR |
| Hesla aplikací | Vícefaktorové ověřování Microsoft Entra v určitých případech |
Password
Tato metoda je jediná, kterou nemůžete zakázat.
Bezpečnostní otázky
Tato metoda je k dispozici pouze pro účty bez oprávnění správce, které používají samoobslužné resetování hesla.
Azure ukládá bezpečnostní otázky soukromě a zabezpečeným způsobem do objektu uživatele v adresáři. Na otázky můžou odpovědět jenom uživatelé a pouze během registrace. Správce nemůže přečíst nebo změnit otázky nebo odpovědi uživatele.
Azure nabízí 35 předdefinovaných otázek. Všechny jsou přeložené a lokalizované na základě národního prostředí prohlížeče.
Otázky můžete přizpůsobit pomocí rozhraní pro správu. Azure je zobrazí v zadaném jazyce. Maximální délka je 200 znaků.
E-mailová adresa
Tato metoda je k dispozici pouze u samoobslužného resetování hesla (SSPR). Doporučujeme, abyste se vyhnuli použití e-mailového účtu, který nevyžaduje přístup k heslu Microsoft Entra uživatelům.
Windows Hello pro firmy
Windows Hello pro firmy poskytuje spolehlivé, plně integrované biometrické ověřování na základě rozpoznávání obličeje nebo párování otisků prstů. Windows Hello pro firmy, klíče zabezpečení FIDO2 a Microsoft Authenticator jsou řešení bez hesla.
Klíče zabezpečení FIDO2
Klíče zabezpečení FIDO2 jsou nephishable, metoda ověřování bez hesla založená na standardech, která může přijít v jakémkoliv provedení. Fast Identity Online (FIDO) je otevřený standard pro ověřování bez hesla.
Uživatelé se můžou zaregistrovat a pak jako hlavní způsob ověřování vybrat klíč zabezpečení FIDO2 v přihlašovacím rozhraní. Tyto klíče zabezpečení FIDO2 jsou obvykle USB zařízení, ale můžou také používat Bluetooth nebo NFC.
Klíče zabezpečení FIDO2 se dají použít k přihlášení ke svému ID Microsoft Entra nebo zařízením s Windows 10 hybridním připojením Microsoft Entra a získat jednotné přihlašování ke svým cloudovým a místním prostředkům. Uživatelé se také můžou přihlásit k podporovaným prohlížečům.
Aplikace Microsoft Authenticator
Tato metoda je k dispozici pro systémy Android a iOS. Uživatelé si mohou zaregistrovat svou mobilní aplikaci na adrese https://aka.ms/mfasetup.
Aplikace Microsoft Authenticator pomáhá zabránit neoprávněnému přístupu k účtům a pomáhá zastavit podvodné transakce odesláním oznámení do vašeho smartphonu nebo tabletu. Uživatelé si zobrazí oznámení a potvrdí nebo zamítnou žádost.
Uživatelé mohou k vytvoření ověřovacího kódu OATH použít jako softwarový token aplikaci Microsoft Authenticator nebo aplikaci třetí strany. Jakmile uživatel zadá uživatelské jméno a heslo, uživatel zadá kód poskytnutý aplikací na přihlašovací obrazovce. Ověřovací kód poskytuje druhý způsob ověřování. Uživatelé můžou také nastavit aplikaci Microsoft Authenticator tak, aby doručili nabízené oznámení, že ho vyberou a schválí, aby se přihlásili.
Hardwarové tokeny OATH
OATH je otevřený standard, který určuje, jak se mají generovat jednorázová hesla. Microsoft Entra ID podporuje použití tokenů OATH-TOTP SHA-1 30sekundových nebo 60sekundových. Zákazníci mohou tyto tokeny získat od dodavatele dle svého výběru. Tajné klíče jsou omezené na 128 znaků, což nemusí být kompatibilní se všemi tokeny.
Softwarové tokeny OATH
Softwarové tokeny OAUTH jsou obvykle aplikace, jako jsou aplikace Microsoft Authenticator a další ověřovací aplikace. Microsoft Entra ID vygeneruje tajný kód, neboli seed, který se vloží do aplikace a použije k vygenerování jednorázového hesla.
Textová zpráva
Azure pošle ověřovací kód na mobilní telefon pomocí SMS. Aby bylo možné pokračovat, musí uživatel do prohlížeče v zadaném časovém období zadat tento kód.
Hlasový hovor
K volání tohoto čísla používá Azure automatizovaný hlasový systém. Vlastník použije k potvrzení ověření klávesnici. Tato možnost není dostupná pro bezplatnou nebo zkušební úroveň Microsoft Entra.
Heslo aplikace
Některé neporušující aplikace nepodporují vícefaktorové ověřování Microsoft Entra. Pokud jsou uživatelé povoleni pro vícefaktorové ověřování Microsoft Entra a pokusí se používat nepovolené aplikace, nemůžou se ověřit. Heslo aplikace umožňuje uživatelům pokračovat k ověřování.
Adaptace Sledování
Id Microsoft Entra obsahuje zobrazení Využití a přehledy v části Monitorování , kde můžete monitorovat aktivitu metod ověřování. Tady si můžete prohlédnout využití MFA a SSPR:
Kromě celkových čísel o registracích tady můžete vidět úspěšné a neúspěšné registrace pro jednotlivé metody ověřování. Tato skutečnost vám umožňuje pochopit, které metody ověřování uživatelé nejčastěji zaregistrovali a které metody jsou pro ně snadné zaregistrovat. Tato data se počítají pomocí protokolů auditu z informací registrací kombinovaného zabezpečení a registrací samoobslužného resetování hesla za posledních 30 dnů.
Kliknutím na graf můžete přejít k podrobnostem a zobrazit nejnovější informace o auditu registrace pro každého uživatele.
Další informace o využití SSPR ve vaší organizaci najdete také na kartě Využití v hlavním zobrazení, jak je znázorněno na následujícím obrázku:
