A működés módja: Azure AD Multi-Factor Authentication

A többtényezős hitelesítés egy olyan folyamat, amelyben a rendszer a bejelentkezési folyamat során további azonosítást kér a felhasználóktól, például egy kódot a mobiltelefonjukon, vagy ujjlenyomat-ellenőrzést.

Ha csak jelszóval hitelesít egy felhasználót, az nem biztonságos vektort hagy a támadáshoz. Ha a jelszó gyenge, vagy máshol lett közzétéve, a támadók használhatják a hozzáféréshez. Ha egy második hitelesítési formára van szüksége, a biztonság megnő, mert ez a további tényező nem olyan dolog, amelyet a támadó könnyen megszerezhet vagy duplikálhat.

Conceptual image of the various forms of multi-factor authentication.

Az Azure AD Multi-Factor Authentication az alábbi hitelesítési módszerek közül kettő vagy több megkövetelésével működik:

  • Valami, amit ismer, általában egy jelszó.
  • Van valamije, például egy nem könnyen duplikált megbízható eszköz, például egy telefon vagy egy hardverkulcs.
  • Olyan biometrikus adatok, mint az ujjlenyomat vagy az arcszkennelés.

Az Azure AD Multi-Factor Authentication tovább biztonságossá teheti az új jelszó kérését. Amikor a felhasználók regisztrálnak az Azure AD Multi-Factor Authenticationre, egy lépésben önkiszolgáló jelszó-visszaállításra is regisztrálhatnak. A rendszergazdák kiválaszthatják a másodlagos hitelesítés formáit, és konfigurációs döntések alapján konfigurálhatják az MFA kihívásait.

Az Azure AD Multi-Factor Authentication használatához nem kell módosítania az alkalmazásokat és szolgáltatásokat. Az ellenőrző kérések az Azure AD-bejelentkezés részét képezik, amely szükség esetén automatikusan kéri és feldolgozza az MFA-feladatot.

Megjegyzés

A parancssor nyelvét a böngésző területi beállításai határozzák meg. Ha egyéni üdvözléseket használ, de nem rendelkezik a böngésző területi beállításában azonosított nyelvhez tartozóval, a rendszer alapértelmezés szerint az angol nyelvet használja. A Hálózati házirend-kiszolgáló (NPS) alapértelmezés szerint mindig az angol nyelvet használja, az egyéni üdvözlésektől függetlenül. A rendszer alapértelmezés szerint az angol nyelvet is használja, ha a böngésző területi beállítása nem azonosítható.

MFA sign-in screen.

Elérhető ellenőrzési módszerek

Amikor a felhasználók bejelentkeznek egy alkalmazásba vagy szolgáltatásba, és MFA-kérést kapnak, a további ellenőrzés egyik regisztrált formája közül választhatnak. A felhasználók hozzáférhetnek a Saját profilhoz ellenőrzési módszerek szerkesztéséhez vagy hozzáadásához.

Az Azure AD Multi-Factor Authentication az alábbi további ellenőrzési módokon használható:

  • A Microsoft Authenticator alkalmazás
  • Vállalati Windows Hello
  • FIDO2 biztonsági kulcs
  • OATH hardveres jogkivonat (előzetes verzió)
  • OATH szoftverjogkivonat
  • SMS
  • Hanghívás

Az Azure AD Multi-Factor Authentication engedélyezése és használata

Az Azure AD-bérlők alapértelmezett biztonsági beállításaival gyorsan engedélyezheti a Microsoft Authenticatort az összes felhasználó számára. Engedélyezheti az Azure AD Multi-Factor Authenticationt, hogy további ellenőrzésre kérje a felhasználókat és csoportokat a bejelentkezés során.

Részletesebb vezérlőkért feltételes hozzáférési szabályzatokkal definiálhat MFA-t igénylő eseményeket vagy alkalmazásokat. Ezek a szabályzatok lehetővé teszik a rendszeres bejelentkezést, ha a felhasználó a vállalati hálózaton vagy regisztrált eszközön van, de további ellenőrzési tényezőket kér, ha a felhasználó távoli vagy személyes eszközön van.

Diagram that shows how Conditional Access works to secure the sign-in process.

Következő lépések

A licenceléssel kapcsolatos további információkért tekintse meg az Azure AD Multi-Factor Authentication funkcióit és licenceit.

A különböző hitelesítési és érvényesítési módszerekkel kapcsolatos további információkért lásd az Azure Active Directory hitelesítési módszereit.

Az MFA működés közbeni megtekintéséhez engedélyezze az Azure AD Multi-Factor Authenticationt a tesztfelhasználók egy csoportjához a következő oktatóanyagban: