Milyen hitelesítési és ellenőrzési módszerek érhetők el az Azure Active Directoryban?

A Microsoft olyan jelszó nélküli hitelesítési módszereket javasol, mint a Windows Hello, a FIDO2 biztonsági kulcsok és a Microsoft Authenticator alkalmazás, mivel ezek biztosítják a legbiztonságosabb bejelentkezési élményt. Bár a felhasználó más gyakori módszerekkel, például felhasználónévvel és jelszóval is bejelentkezhet, a jelszavakat biztonságosabb hitelesítési módszerekre kell cserélni.

A Azure AD erősségeinek és előnyben részesített hitelesítési módszereinek ábrája.

Azure AD Multi-Factor Authentication (MFA) további biztonságot nyújt csak jelszó használata esetén, amikor egy felhasználó bejelentkezik. A felhasználótól további hitelesítési módok is kérhetők, például válaszolhatnak egy leküldéses értesítésre, beírhatnak egy kódot egy szoftverből vagy hardveres jogkivonatból, vagy válaszolhatnak SMS-ekre vagy telefonhívásokra.

A felhasználói bevezetés egyszerűsítése, valamint az MFA és az önkiszolgáló jelszóátállítás (SSPR) regisztrálása érdekében javasoljuk, hogy engedélyezze a kombinált biztonsági információk regisztrációját. A rugalmasság érdekében azt javasoljuk, hogy a felhasználóknak több hitelesítési módszert is regisztrálniuk kell. Ha a bejelentkezés vagy az SSPR során nem érhető el egyik módszer a felhasználó számára, dönthet úgy, hogy egy másik módszerrel hitelesíti magát. További információ: Rugalmas hozzáférés-vezérlési felügyeleti stratégia létrehozása Azure AD.

Az alábbi videó segítséget nyújt a szervezet biztonságának megőrzéséhez legjobb hitelesítési módszer kiválasztásában.

A hitelesítési módszer erőssége és biztonsága

Ha olyan funkciókat telepít, mint a Azure AD Multi-Factor Authentication a szervezetben, tekintse át az elérhető hitelesítési módszereket. Válassza ki azokat a módszereket, amelyek megfelelnek vagy túllépik a követelményeket a biztonság, a használhatóság és a rendelkezésre állás szempontjából. Ahol lehetséges, a legmagasabb szintű biztonsággal használjon hitelesítési módszereket.

Az alábbi táblázat az elérhető hitelesítési módszerek biztonsági szempontjait ismerteti. A rendelkezésre állás azt jelzi, hogy a felhasználó használhatja a hitelesítési módszert, nem pedig a szolgáltatás rendelkezésre állását Azure AD:

Hitelesítési módszer Biztonság Használhatóság Rendelkezésre állás
Vállalati Windows Hello Magas Magas Magas
A Microsoft Authenticator alkalmazás Magas Magas Magas
FIDO2 biztonsági kulcs Magas Magas Magas
Tanúsítványalapú hitelesítés (előzetes verzió) Magas Magas Magas
OATH hardvertokenek (előzetes verzió) Közepes Közepes Magas
OATH szoftverjogkivonatok Közepes Közepes Magas
SMS Közepes Magas Közepes
Hang Közepes Közepes Közepes
Jelszó Alacsony Magas Magas

A biztonsággal kapcsolatos legfrissebb információkért tekintse meg blogbejegyzéseinket:

Tipp

A rugalmasság és a használhatóság érdekében a Microsoft Authenticator alkalmazást javasoljuk. Ez a hitelesítési módszer biztosítja a legjobb felhasználói élményt és több módot, például a jelszó nélküli, az MFA leküldéses értesítéseket és az OATH-kódokat.

Az egyes hitelesítési módszerek működése

Bizonyos hitelesítési módszerek használhatók elsődleges tényezőként egy alkalmazásba vagy eszközre való bejelentkezéskor, például FIDO2 biztonsági kulcs vagy jelszó használatával. Más hitelesítési módszerek csak másodlagos tényezőként érhetők el, ha Azure AD Multi-Factor Authenticationt vagy SSPR-t használ.

Az alábbi táblázat azt ismerteti, hogy mikor használható hitelesítési módszer a bejelentkezési esemény során:

Metódus Elsődleges hitelesítés Másodlagos hitelesítés
Vállalati Windows Hello Yes MFA*
A Microsoft Authenticator alkalmazás Yes MFA és SSPR
FIDO2 biztonsági kulcs Yes MFA
Tanúsítványalapú hitelesítés (előzetes verzió) Igen Nem
OATH hardvertokenek (előzetes verzió) No MFA és SSPR
OATH szoftverjogkivonatok No MFA és SSPR
SMS Yes MFA és SSPR
Hanghívás No MFA és SSPR
Jelszó Yes

* Vállalati Windows Hello önmagában nem szolgál lépésenkénti MFA-hitelesítő adatként. Például egy MFA-feladvány a bejelentkezési gyakoriságból vagy a forceAuthn=true értéket tartalmazó SAML-kérelemből. Vállalati Windows Hello a FIDO2-hitelesítésben való használat révén többtényezős hitelesítést végezhet. Ehhez engedélyezni kell a felhasználók számára a FIDO2-hitelesítés sikeres működését.

Mindezek a hitelesítési módszerek konfigurálhatók a Azure Portal, és egyre inkább a Microsoft Graph REST API-t használják.

Az egyes hitelesítési módszerek működésével kapcsolatos további információkért tekintse meg az alábbi fogalmi cikkeket:

Megjegyzés

A Azure AD gyakran a jelszó az elsődleges hitelesítési módszerek egyike. A jelszó-hitelesítési módszer nem tiltható le. Ha elsődleges hitelesítési tényezőként jelszót használ, növelje a bejelentkezési események biztonságát Azure AD Multi-Factor Authentication használatával.

Bizonyos esetekben a következő további ellenőrzési módszerek használhatók:

  • Alkalmazásjelszavak – olyan régi alkalmazásokhoz használatosak, amelyek nem támogatják a modern hitelesítést, és konfigurálhatók felhasználónkénti Azure AD Multi-Factor Authenticationhez.
  • Biztonsági kérdések – csak SSPR-hez használatos
  • Email cím – csak SSPR-hez használatos

Következő lépések

Első lépésként tekintse meg az önkiszolgáló jelszóátállítással (SSPR) és a multi-factor authentication Azure AD kapcsolatos oktatóanyagot.

Az SSPR alapfogalmaival kapcsolatos további információkért lásd: Azure AD önkiszolgáló jelszóátállítás működése.

Az MFA fogalmaival kapcsolatos további információkért lásd a Azure AD Multi-Factor Authentication működését.

További információ a hitelesítési módszerek Microsoft Graph REST API-val történő konfigurálásáról.

A használt hitelesítési módszerek áttekintéséhez tekintse meg Azure AD Többtényezős hitelesítés hitelesítési módszerének elemzését a PowerShell-lel.