A Microsoft Entra többtényezős hitelesítési beállításainak konfigurálása

  • Cikk

A Microsoft Entra többtényezős hitelesítés végfelhasználói élményének testreszabásához konfigurálhatja a beállításokat, például a fiókzárolási küszöbértékeket vagy a csalási riasztásokat és értesítéseket.

A Microsoft Entra többtényezős hitelesítési beállításai a következők:

Szolgáltatás Leírás
Fiókzárolás (csak MFA-kiszolgáló) Ha túl sok a megtagadott hitelesítési kísérlet, ideiglenesen zárolja a fiókokat a Microsoft Entra többtényezős hitelesítés használatával. Ez a funkció csak azokra a felhasználókra vonatkozik, akik az MFA-kiszolgálót használják PIN-kód megadásához a hitelesítéshez.
Felhasználók letiltása/tiltásának feloldása Letilthatja, hogy bizonyos felhasználók többtényezős Microsoft Entra hitelesítési kéréseket fogadhassanak. A letiltott felhasználók összes hitelesítési kísérlete automatikusan el lesz utasítva. A felhasználók a letiltásuk időpontjától számított 90 napig, illetve a letiltás manuális feloldásáig maradnak letiltva.
Csalási riasztás Konfigurálja azokat a beállításokat, amelyek lehetővé teszik a felhasználók számára a hamis ellenőrzési kérelmek bejelentését.
Gyanús tevékenység bejelentése Konfigurálja azokat a beállításokat, amelyek lehetővé teszik a felhasználók számára a hamis ellenőrzési kérelmek bejelentését.
Értesítések Események értesítéseinek engedélyezése az MFA-kiszolgálóról.
OATH-jogkivonatok A felhőalapú Microsoft Entra többtényezős hitelesítési környezetekben használják a felhasználók OATH-jogkivonatainak kezelésére.
Telefon hívásbeállítások A felhőbeli és helyszíni környezetek telefonhívásaihoz és üdvözléséhez kapcsolódó beállítások konfigurálása.
Szolgáltatók Ez megjeleníti a fiókjához társított meglévő hitelesítésszolgáltatókat. Az új szolgáltatók hozzáadása 2018. szeptember 1-étől le van tiltva.

A Microsoft Entra többtényezős hitelesítési beállításai

Fiókzárolás (csak MFA-kiszolgáló)

Tipp.

A cikkben szereplő lépések a portáltól függően kissé eltérhetnek.

Feljegyzés

A fiókzárolás csak a helyszíni MFA-kiszolgálóval bejelentkező felhasználókat érinti.

A támadás részeként ismétlődő MFA-kísérletek megakadályozása érdekében a fiók zárolási beállításai lehetővé teszik annak megadását, hogy hány sikertelen kísérlet legyen engedélyezve, mielőtt a fiók egy ideig zárolva lesz. A fiókzárolási beállításokat csak akkor alkalmazza a rendszer, ha pin-kód van megadva az MFA-kéréshez a helyszíni MFA-kiszolgáló használatával.

A következő beállításokat használhatja:

  • Fiókzárolást kiváltó MFA-megtagadások száma
  • Percek, amíg a fiók zárolási számlálója alaphelyzetbe nem áll
  • Percek a fiók automatikus letiltásának feloldásáig

A fiókzárolási beállítások konfigurálásához hajtsa végre az alábbi lépéseket:

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább hitelesítési szabályzatként Rendszergazda istratorként.

  2. Tallózással keresse meg a Védelmi>többtényezős hitelesítési>fiók zárolását. Előfordulhat, hogy a Többtényezős hitelesítés megtekintéséhez a Továbbiak megjelenítése gombra kell kattintania.

  3. Adja meg a környezet értékeit, majd válassza a Mentés lehetőséget.

    Képernyőkép a fiókzárolási beállításokról.

Felhasználók letiltása és letiltása

Ha egy felhasználó eszközét elveszik vagy ellopják, letilthatja a Microsoft Entra többtényezős hitelesítési kísérleteit a társított fiókhoz. A letiltott felhasználókra vonatkozó többtényezős Microsoft Entra-hitelesítési kísérletek automatikusan le lesznek tiltva. A felhasználók a letiltásuk időpontjától számított 90 napig maradnak letiltva. Ennek módját bemutató videóból megtudhatja , hogyan tilthatja le és oldhatja fel a bérlői felhasználók letiltását.

Felhasználó letiltása

Egy felhasználó letiltásához hajtsa végre az alábbi lépéseket.

Tekintse meg ezt a folyamatot ismertető rövid videót.

  1. Tallózással keresse meg a többtényezős védelem>hitelesítésének>letiltását/letiltását a felhasználók számára.
  2. Válassza a Hozzáadás lehetőséget egy felhasználó letiltásához.
  3. Adja meg a letiltott felhasználó felhasználónevét a formátumban username@domain.com, majd adjon meg egy megjegyzést az Ok mezőben.
  4. Válassza az OK gombot a felhasználó letiltásához.

Felhasználó letiltásának feloldása

A felhasználók letiltásának feloldásához hajtsa végre a következő lépéseket:

  1. Lépjen a Többtényezős védelem>hitelesítésének>blokkolása/letiltása a felhasználók letiltásához.
  2. A felhasználó melletti Művelet oszlopban válassza a Letiltás feloldása lehetőséget.
  3. Írjon be egy megjegyzést a tiltás feloldásának oka mezőbe.
  4. Válassza az OK gombot a felhasználó letiltásának feloldásához.

Csalási riasztás

A Csalás riasztás funkció lehetővé teszi, hogy a felhasználók bejelentsék az erőforrásaik elérésére tett csalárd kísérleteket. Ismeretlen és gyanús MFA-kérés érkezésekor a felhasználók a Microsoft Authenticator alkalmazással vagy a telefonjukon keresztül jelenthetik a csalási kísérletet.

A Microsoft az Identity Protection szolgáltatással való integrációja, a jobb jelentéskészítési képességek és a legkevésbé kiemelt felügyelet érdekében a Csalás riasztás helyett a gyanús jelentések használatát javasolja.

A következő csalási riasztások konfigurációs beállításai érhetők el:

  • Automatikusan letilthatja a csalást bejelentést végző felhasználókat. Ha egy felhasználó csalást jelent, az Azure AD Többtényezős hitelesítés a felhasználói fiókhoz 90 napig, vagy amíg a rendszergazda fel nem oldja a fiók letiltását. A rendszergazda a bejelentkezési jelentéssel áttekintheti a bejelentkezéseket, és megfelelő lépéseket tehet a jövőbeli csalások megelőzése érdekében. A rendszergazda ezután feloldhatja a felhasználói fiók letiltását .

  • A csalás bejelentésére szolgáló kód a kezdeti üdvözlés során. Amikor a felhasználók telefonhívást kapnak a többtényezős hitelesítés végrehajtásához, általában lenyomva # megerősítik a bejelentkezésüket. A csalás bejelentéséhez a felhasználó beír egy kódot, mielőtt lenyomja #a gombot. Ez a kód alapértelmezés szerint 0 , de testre szabhatja. Ha az automatikus letiltás engedélyezve van, miután a felhasználó a 0# billentyűt lenyomva jelenti a csalást, az 1 billentyűt kell lenyomnia a fiók blokkolásának megerősítéséhez.

    Feljegyzés

    A Microsoft alapértelmezett hangüzenetei arra utasítják a felhasználókat, hogy a 0# billentyű lenyomásával küldjenek csalási riasztást. Ha nem 0-s kódot szeretne használni, rögzítse és töltse fel saját egyéni hangköszöntőit a felhasználók számára megfelelő útmutatással.

A csalási riasztások engedélyezéséhez és konfigurálásához hajtsa végre a következő lépéseket:

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább hitelesítési szabályzatként Rendszergazda istratorként.
  2. Tallózással keresse meg a Védelmi>többtényezős hitelesítés>csalási riasztását.
  3. Állítsa be, hogy a felhasználók csalási riasztásokat küldjenek a Be értékre.
  4. Konfigurálja a csalást vagy a kódot bejelentő felhasználók automatikus letiltását a csalások bejelentésére a kezdeti megszólítási beállítás során, szükség szerint.
  5. Válassza a Mentés lehetőséget.

Gyanús tevékenység bejelentése

A gyanús tevékenységek bejelentése, a frissített MFA csalásriasztási funkció már elérhető. Ha ismeretlen és gyanús MFA-kérés érkezik, a felhasználók a Microsoft Authenticator használatával vagy a telefonjukon keresztül jelenthetik a csalási kísérletet. Ezek a riasztások integrálva vannak az Identity Protection szolgáltatással az átfogóbb lefedettség és képesség érdekében.

Azok a felhasználók, akik gyanúsként jelentenek MFA-kérést, magas felhasználói kockázatra vannak beállítva. Rendszergazda istratorok kockázatalapú szabályzatokkal korlátozhatják a felhasználók hozzáférését, vagy engedélyezhetik az önkiszolgáló jelszó-visszaállítást (SSPR) a felhasználók számára a problémák önálló megoldásához. Ha korábban a csalási riasztás automatikus blokkolási funkcióját használta, és nem rendelkezik Microsoft Entra ID P2-licenccel a kockázatalapú szabályzatokhoz, kockázatészlelési események használatával azonosíthatja és letilthatja az érintett felhasználókat, és automatikusan megakadályozhatja a bejelentkezésüket. A kockázatalapú szabályzatok használatáról további információt a kockázatalapú hozzáférési szabályzatok című témakörben talál.

A gyanús tevékenységek jelentésének engedélyezése a hitelesítési módszerekből Gépház:

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább hitelesítési szabályzatként Rendszergazda istratorként.
  2. Keresse meg a védelmi>hitelesítési módszereket> Gépház.
  3. A gyanús jelentések tevékenységének beállítása engedélyezve. Ha a Microsoft által felügyelt szolgáltatást választja, a szolgáltatás le lesz tiltva. A Microsoft által felügyelt értékekkel kapcsolatos további információkért tekintse meg a Hitelesítési módszerek védelme a Microsoft Entra ID-ban című témakört.
  4. Válassza a Minden felhasználó vagy egy adott csoport lehetőséget.
  5. Válasszon ki egy jelentési kódot.
  6. Kattintson a Mentés gombra.

Feljegyzés

Ha engedélyezi a gyanús jelentési tevékenységet, és egyéni hangjelentési értéket ad meg, miközben a bérlő továbbra is engedélyezve van a csalási riasztással párhuzamosan egy egyéni hangjelentési szám konfigurálva, a rendszer a gyanús jelentési tevékenység értékét használja a csalási riasztás helyett.

Gyanús tevékenységesemények megtekintése

Ha egy felhasználó gyanúsként jelent meg egy MFA-kérést, az esemény megjelenik a bejelentkezési jelentésben (a felhasználó által elutasított bejelentkezésként), az Auditnaplókban és a Kockázatészlelési jelentésben.

  • A kockázatészlelési jelentés megtekintéséhez válassza a Protection>Identity Protection>kockázatészlelést. A kockázati esemény a szokásos kockázatészlelési jelentés része, és észlelési típusként jelenik meg, amely a felhasználó által jelentett gyanús tevékenység, a magas kockázati szint, a forrás végfelhasználója által jelentett.

  • Ha meg szeretné tekinteni a csalási jelentéseket a bejelentkezési jelentésben, válassza az Identitásfigyelés>és állapot>bejelentkezési naplók>hitelesítési adatai lehetőséget. A csalási jelentés a Microsoft Entra szokásos bejelentkezési jelentésének része, és az eredmény részleteiben az MFA megtagadva, a csalási kód beírásaként jelenik meg.

  • Ha meg szeretné tekinteni a csalási jelentéseket az auditnaplókban, válassza az Identitásfigyelés>> állapotnaplók> lehetőséget. A csalási jelentés a jelentett csalások tevékenységtípusa alatt jelenik meg – a felhasználó le van tiltva az MFA-ra vagy a jelentett csalásra – a csalási jelentés bérlőszintű beállításai alapján nem történik művelet.

Feljegyzés

Ha jelszó nélküli hitelesítést végez, a rendszer nem jelenti magas kockázatúként a felhasználót.

Gyanús tevékenységesemények kezelése

Ha egy felhasználó gyanúsként jelentett be egy kérdést, a kockázatot ki kell vizsgálni és orvosolni kell az Identity Protection szolgáltatással.

Gyanús tevékenységről és csalásról szóló riasztás jelentése

A gyanús tevékenységek bejelentése és az örökölt csalási riasztások végrehajtása párhuzamosan is működhet. A bérlői szintű csalásriasztási funkciót megtarthatja, miközben megkezdi a gyanús jelentések használatát egy célzott tesztcsoporttal.

Ha a csalási riasztás automatikus blokkolással van engedélyezve, és a gyanús tevékenységek jelentése engedélyezve van, a felhasználó fel lesz véve a tiltólistára, és magas kockázatúként és hatókörön belüliként lesz beállítva minden más konfigurált szabályzathoz. Ezeket a felhasználókat el kell távolítani a tiltólistáról, és elhárítani kell a kockázatukat, hogy lehetővé tegyék számukra az MFA-val való bejelentkezést.

Notifications

Konfigurálhatja a Microsoft Entra-azonosítót úgy, hogy e-mail-értesítéseket küldjön, amikor a felhasználók csalási riasztásokat jelentenek. Ezeket az értesítéseket általában identitásadminisztrátorok kapják meg, mert a felhasználó fiók hitelesítő adatai valószínűleg sérültek. Az alábbi példa bemutatja, hogyan néz ki egy csalásról szóló értesítési e-mail:

Képernyőkép a csalásról szóló értesítési e-mailről.

Csalásriasztási értesítések konfigurálása:

  1. Nyissa meg a Többtényezős védelem>hitelesítési>értesítéseit.
  2. Adja meg az e-mail-címet az értesítés elküldéséhez.
  3. Meglévő e-mail-cím eltávolításához válassza a ... lehetőséget az e-mail-cím mellett, majd válassza a Törlés lehetőséget.
  4. Válassza a Mentés lehetőséget.

OATH-jogkivonatok

A Microsoft Entra ID támogatja az OATH TOTP SHA-1 jogkivonatok használatát, amelyek 30 vagy 60 másodpercenként frissítik a kódokat. Ezeket a jogkivonatokat az Ön által választott gyártótól vásárolhatja meg.

AZ OATH TOTP hardveres jogkivonatok általában titkos kulccsal vagy maggal rendelkeznek, amelyeket előre beprogramoztak a jogkivonatba. Ezeket a kulcsokat be kell írnia a Microsoft Entra-azonosítóba az alábbi lépésekben leírtak szerint. A titkos kulcsok legfeljebb 128 karakter hosszúságúak, amelyek nem minden jogkivonattal kompatibilisek. A titkos kulcs csak az a-z vagy az A-Z karaktereket és az 1–7. számjegyeket tartalmazhatja. A base32-ben kell kódolni.

A szoftverjogkivonatok beállítási folyamatában a programozható OATH TOTP hardveres jogkivonatok is beállíthatók Microsoft Entra-azonosítóval.

Az OATH hardveres jogkivonatai a nyilvános előzetes verzió részeként támogatottak. További információ az előzetes verziókról: Kiegészítő használati feltételek a Microsoft Azure előzetes verziójú termékeihez.

Képernyőkép az OATH tokenek szakaszról.

A jogkivonatok beszerzése után vesszővel tagolt (CSV) fájlformátumban kell feltöltenie őket. Adja meg az UPN-et, a sorozatszámot, a titkos kulcsot, az időintervallumot, a gyártót és a modellt az alábbi példában látható módon:

upn,serial number,secret key,time interval,manufacturer,model
Helga@contoso.com,1234567,1234567abcdef1234567abcdef,60,Contoso,HardwareKey

Feljegyzés

Ügyeljen arra, hogy a fejlécsort a CSV-fájlba is belefoglalja.

Jelentkezzen be a Microsoft Entra felügyeleti központba globális Rendszergazda istratorként, lépjen a Protection>Multifactor authentication>OATH jogkivonataihoz, és töltse fel a CSV-fájlt.

A CSV-fájl méretétől függően a feldolgozás eltarthat néhány percig. Az állapot lekéréséhez válassza a Frissítés lehetőséget. Ha hiba történt a fájlban, letölthet egy CSV-fájlt, amely felsorolja őket. A letöltött CSV-fájl mezőnevei eltérnek a feltöltött verzióban lévőktől.

A hibák elhárítása után a rendszergazda aktiválhatja az egyes kulcsokat a jogkivonat Aktiválása és a jogkivonatban megjelenő OTP beírásával.

A felhasználók legfeljebb öt OATH hardverjogkivonat vagy hitelesítő alkalmazás kombinációjával rendelkezhetnek, például a Microsoft Authenticator alkalmazással, amely bármikor konfigurálva van a használatra.

Fontos

Ügyeljen arra, hogy minden jogkivonatot csak egyetlen felhasználóhoz rendeljen. A jövőben egy jogkivonat több felhasználóhoz való hozzárendelésének támogatása leáll a biztonsági kockázat elkerülése érdekében.

Telefonhívás beállításai

Ha a felhasználók telefonhívásokat kapnak az MFA-kérésekhez, konfigurálhatja a felhasználói élményt, például a hívóazonosítót vagy a hangköszöntőt, amit hallanak.

A Egyesült Államok, ha még nem konfigurálta az MFA-hívóazonosítót, a Microsoft hanghívásai a következő számokból származnak. A levélszemétszűrővel rendelkező felhasználóknak ki kell zárniuk ezeket a számokat.

Alapértelmezett szám: +1 (855) 330-8653

Az alábbi táblázat további számokat sorol fel a különböző országokhoz.

Ország/régió Száma(i)
Ausztria +43 6703062076
Banglades +880 9604606026
Horvátország +385 15507766
Ecuador +593 964256042
Észtország +372 6712726
Franciaország +33 744081468
Ghána +233 308250245
Görögország +30 2119902739
Guatemala +502 23055056
Hongkong (KKT) +852 25716964
India +91 3371568300, +91 1205089400, +91 4471566601, +91 2271897557, +91 1203524400, +91 3335105700, +91 2235544120, +91 4435279600
Jordánia +962 797639442
Kenya +254 709605276
Hollandia +31 202490048
Nigéria +234 7080627886
Pakisztán +92 4232618686
Lengyelország +48 699740036
Szaúd-Arábia +966 115122726
Dél-afrikai Köztársaság +27 872405062
Spanyolország +34 913305144
Srí Lanka +94 117750440
Svédország +46 701924176
Tajvan +886 277515260
Türkiye +90 8505404893
Ukrajna +380 443332393
Egyesült Arab Emírségek +971 44015046
Vietnam +84 2039990161

Feljegyzés

Amikor a Microsoft Entra többtényezős hitelesítési hívásokat a nyilvános telefonhálózaton keresztül indítja el, a hívások olykor olyan szolgáltatón keresztül lesznek átirányítva, amely nem támogatja a hívóazonosítót. Emiatt a hívóazonosító nem garantált, annak ellenére, hogy a Microsoft Entra többtényezős hitelesítés mindig elküldi. Ez a Microsoft Entra többtényezős hitelesítés által biztosított telefonhívásokra és szöveges üzenetekre is vonatkozik. Ha ellenőriznie kell, hogy egy szöveges üzenet a Microsoft Entra többtényezős hitelesítéséből származik-e, olvassa el a Milyen rövid kódokat használ az üzenetek küldéséhez?

A saját hívóazonosító számának konfigurálásához hajtsa végre a következő lépéseket:

  1. Nyissa meg a Többtényezős védelem>hitelesítés> Telefon hívásbeállításokat.
  2. Állítsa be az MFA hívóazonosítóját arra a számra, amelyet a felhasználók a telefonjukon látni szeretnének. Csak az USA-alapú számok engedélyezettek.
  3. Válassza a Mentés parancsot.

Feljegyzés

Amikor a Microsoft Entra többtényezős hitelesítési hívásokat a nyilvános telefonhálózaton keresztül indítja el, a hívások olykor olyan szolgáltatón keresztül lesznek átirányítva, amely nem támogatja a hívóazonosítót. Emiatt a hívóazonosító nem garantált, annak ellenére, hogy a Microsoft Entra többtényezős hitelesítés mindig elküldi. Ez a Microsoft Entra többtényezős hitelesítés által biztosított telefonhívásokra és szöveges üzenetekre is vonatkozik. Ha ellenőriznie kell, hogy egy szöveges üzenet a Microsoft Entra többtényezős hitelesítéséből származik-e, olvassa el a Milyen rövid kódokat használ az üzenetek küldéséhez?

Egyéni hangüzenetek

A Microsoft Entra többtényezős hitelesítéséhez saját felvételeket vagy üdvözléseket használhat. Ezek az üzenetek az alapértelmezett Microsoft-felvételeken kívül vagy lecserélésükre is használhatók.

Mielőtt hozzákezdene, vegye figyelembe a következő korlátozásokat:

  • A támogatott fájlformátumok .wav és .mp3.
  • A fájlméret korlátja 1 MB.
  • A hitelesítési üzeneteknek 20 másodpercnél rövidebbnek kell lenniük. A 20 másodpercnél hosszabb üzenetek az ellenőrzés sikertelenségéhez vezethetnek. Ha a felhasználó nem válaszol az üzenet befejezése előtt, az ellenőrzés túllépi az időkorlátot.

Egyéni üzenetnyelvi viselkedés

Ha egyéni hangüzenetet játszik le a felhasználó, az üzenet nyelve a következő tényezőktől függ:

  • A felhasználó nyelve.
    • A felhasználó böngészője által észlelt nyelv.
    • Más hitelesítési forgatókönyvek eltérően viselkedhetnek.
  • Az elérhető egyéni üzenetek nyelve.
    • Ezt a nyelvet a rendszergazda választja ki egyéni üzenet hozzáadásakor.

Ha például csak egy egyéni üzenet van, és német nyelven van:

  • A német nyelven hitelesítkedő felhasználó az egyéni német üzenetet fogja hallani.
  • Az angol nyelven hitelesítkedő felhasználó a szokásos angol nyelvű üzenetet fogja hallani.

Egyéni hangüzenet alapértelmezései

A következő példaszkriptekkel saját egyéni üzeneteket hozhat létre. Ezek a kifejezések az alapértelmezettek, ha nem konfigurálja saját egyéni üzeneteit.

Üzenet neve Szkript
Sikeres hitelesítés A bejelentkezés sikeres ellenőrzése megtörtént. Viszlát.
Bővítményre vonatkozó üzenet Köszönjük, hogy a Microsoft bejelentkezési ellenőrző rendszerét használta. A folytatáshoz nyomja le a font billentyűt.
Csalás megerősítése Csalási riasztást küldtek. A fiók letiltásának feloldásához forduljon a vállalat informatikai ügyfélszolgálatához.
Csalás üdvözlése (standard) Köszönjük, hogy a Microsoft bejelentkezési ellenőrző rendszerét használta. Az ellenőrzés befejezéséhez nyomja le a font billentyűt. Ha nem kezdeményezte ezt az ellenőrzést, előfordulhat, hogy valaki megpróbál hozzáférni a fiókjához. A csalási riasztás elküldéséhez nyomja le a nulla fontot. Ez értesíti a vállalat informatikai csapatát, és letiltja a további ellenőrzési kísérleteket.
Csalásról számoltak be Csalási riasztást küldtek. A fiók letiltásának feloldásához forduljon a vállalat informatikai ügyfélszolgálatához.
Aktiválás Köszönjük, hogy a Microsoft bejelentkezési ellenőrző rendszerét használta. Az ellenőrzés befejezéséhez nyomja le a font billentyűt.
Hitelesítés megtagadva újrapróbálkozása Az ellenőrzés megtagadva.
Újrapróbálkozás (standard) Köszönjük, hogy a Microsoft bejelentkezési ellenőrző rendszerét használta. Az ellenőrzés befejezéséhez nyomja le a font billentyűt.
Üdvözlés (standard) Köszönjük, hogy a Microsoft bejelentkezési ellenőrző rendszerét használta. Az ellenőrzés befejezéséhez nyomja le a font billentyűt.
Üdvözlés (PIN-kód) Köszönjük, hogy a Microsoft bejelentkezési ellenőrző rendszerét használta. Az ellenőrzés befejezéséhez adja meg a PIN-kódot, majd a fontkulcsot.
Csalás üdvözlése (PIN-kód) Köszönjük, hogy a Microsoft bejelentkezési ellenőrző rendszerét használta. Az ellenőrzés befejezéséhez adja meg a PIN-kódot, majd a fontkulcsot. Ha nem kezdeményezte ezt az ellenőrzést, előfordulhat, hogy valaki megpróbál hozzáférni a fiókjához. A csalási riasztás elküldéséhez nyomja le a nulla fontot. Ez értesíti a vállalat informatikai csapatát, és letiltja a további ellenőrzési kísérleteket.
Újrapróbálkozás (PIN-kód) Köszönjük, hogy a Microsoft bejelentkezési ellenőrző rendszerét használta. Az ellenőrzés befejezéséhez adja meg a PIN-kódot, majd a fontkulcsot.
A számjegyek után megjelenő bővítménykérés Ha már ebben a bővítményben, nyomja le a font billentyűt a folytatáshoz.
Hitelesítés megtagadva Sajnálom, jelenleg nem tudunk bejelentkezni. Próbálkozzon újra később.
Aktiválási üdvözlés (standard) Köszönjük, hogy a Microsoft bejelentkezési ellenőrző rendszerét használta. Az ellenőrzés befejezéséhez nyomja le a font billentyűt.
Aktiválási újrapróbálkozás (standard) Köszönjük, hogy a Microsoft bejelentkezési ellenőrző rendszerét használta. Az ellenőrzés befejezéséhez nyomja le a font billentyűt.
Aktiválási üdvözlés (PIN-kód) Köszönjük, hogy a Microsoft bejelentkezési ellenőrző rendszerét használta. Az ellenőrzés befejezéséhez adja meg a PIN-kódot, majd a fontkulcsot.
A számjegyek előtt megjelenő bővítménykérés Köszönjük, hogy a Microsoft bejelentkezési ellenőrző rendszerét használta. Küldje át ezt a hívást a bővítménybővítményre<>.

Egyéni üzenet beállítása

Saját egyéni üzeneteinek használatához hajtsa végre a következő lépéseket:

  1. Nyissa meg a Többtényezős védelem>hitelesítés> Telefon hívásbeállításokat.
  2. Válassza a Köszöntés hozzáadása lehetőséget.
  3. Válassza ki a megszólítás típusát , például a megszólítást (standard) vagy a sikeres hitelesítést.
  4. Válassza ki a nyelvet. Tekintse meg az egyéni üzenetnyelvi viselkedésről szóló előző szakaszt.
  5. Keresse meg és válassza ki a feltölteni kívánt .mp3 vagy .wav hangfájlt.
  6. Válassza a Hozzáadás , majd a Mentés lehetőséget.

MFA szolgáltatásbeállítások

Gépház a szolgáltatásbeállítások között elérhetőek az alkalmazásjelszavak, a megbízható IP-címek, az ellenőrzési beállítások és a többtényezős hitelesítés megjegyzése a megbízható eszközökön. Ez egy régi portál.

A szolgáltatásbeállításokat a Microsoft Entra Felügyeleti központbanérheti el a Többtényezős védelem>hitelesítése>– Első lépések>További felhőalapú MFA-beállítások konfigurálása>című témakörben. Megnyílik egy ablak vagy lap további szolgáltatásbeállításokkal.

Megbízható IP-címek

A Microsoft Entra többfaktoros hitelesítés megbízható IP-címek funkciója megkerüli a többfaktoros hitelesítési kéréseket azon felhasználók esetében, akik egy meghatározott IP-címtartományból jelentkeznek be. A helyszíni környezetekhez megbízható IP-tartományokat állíthat be. Ha a felhasználók a megadott helyek valamelyikén tartózkodnak, nem kap többtényezős hitelesítési kérést a Microsoft Entra-tól. A megbízható IP-címek használatához a Microsoft Entra ID P1 kiadás szükséges.

Feljegyzés

A megbízható IP-címek csak az MFA-kiszolgáló használatakor tartalmazhatnak privát IP-tartományokat. A felhőalapú Microsoft Entra többtényezős hitelesítéshez csak nyilvános IP-címtartományokat használhat.

Az IPv6-tartományok csak a Nevesített helyek (előzetes verzió) felületen támogatottak.

Ha a szervezet az NPS-bővítményt használja, hogy MFA-t biztosítson a helyszíni alkalmazások számára, a forrás IP-címe mindig az az NPS-kiszolgáló lesz, amelyen a hitelesítési kísérlet áthalad.

Microsoft Entra-bérlő típusa Megbízható IP-funkciók beállításai
Felügyelt Ip-címek meghatározott tartománya: Rendszergazda istratorok olyan IP-címtartományt határoznak meg, amely megkerülheti a többtényezős hitelesítést a vállalati intranetről bejelentkező felhasználók számára. Legfeljebb 50 megbízható IP-tartomány konfigurálható.
Összevont Minden összevont felhasználó: Minden összevont felhasználó, aki a szervezeten belülről jelentkezik be, megkerülheti a többtényezős hitelesítéseket. A felhasználók a Active Directory összevonási szolgáltatások (AD FS) (AD FS) által kiadott jogcím használatával megkerülik az ellenőrzést.
Ip-címek meghatározott tartománya: Rendszergazda istratorok olyan IP-címtartományt határoznak meg, amely megkerülheti a többtényezős hitelesítést a vállalati intranetről bejelentkező felhasználók számára.

A megbízható IP-megkerülés csak a vállalati intraneten belül működik. Ha a Minden összevont felhasználó lehetőséget választja, és egy felhasználó a vállalati intraneten kívülről jelentkezik be, a felhasználónak többtényezős hitelesítéssel kell hitelesítenie magát. A folyamat akkor is ugyanaz, ha a felhasználó AD FS-jogcímet mutat be.

Feljegyzés

Ha a bérlőben felhasználónkénti MFA- és feltételes hozzáférési szabályzatok is konfigurálva vannak, megbízható IP-címeket kell hozzáadnia a feltételes hozzáférési szabályzathoz, és frissítenie kell az MFA szolgáltatás beállításait.

Felhasználói élmény a vállalati hálózaton belül

Ha a megbízható IP-címek szolgáltatás le van tiltva, a böngészőfolyamatokhoz többtényezős hitelesítésre van szükség. A régebbi rich-client alkalmazásokhoz alkalmazásjelszavak szükségesek.

Megbízható IP-címek használata esetén a böngészőfolyamatokhoz nincs szükség többtényezős hitelesítésre. Ha a felhasználó nem hozott létre alkalmazásjelszót, a régebbi gazdag ügyfélalkalmazásokhoz nem szükséges alkalmazásjelszó. Az alkalmazásjelszó használata után a jelszó megadása kötelező.

Felhasználói élmény a vállalati hálózaton kívül

Függetlenül attól, hogy a megbízható IP-címek definiálva vannak-e, a böngészőfolyamatokhoz többtényezős hitelesítésre van szükség. A régebbi rich-client alkalmazásokhoz alkalmazásjelszavak szükségesek.

Elnevezett helyek engedélyezése feltételes hozzáféréssel

A feltételes hozzáférési szabályokkal megnevezett helyeket az alábbi lépések végrehajtásával határozhat meg:

  1. Jelentkezzen be a Microsoft Entra felügyeleti központbafeltételeshozzáférés-adminisztrátorként.
  2. Keresse meg a Védelmi>feltételes hozzáférés>nevesített helyeket.
  3. Válassza az Új hely lehetőséget.
  4. Adjon meg egy nevet a hely számára.
  5. Válassza a Megjelölés megbízható helyként lehetőséget.
  6. Adja meg a környezet IP-tartományát a CIDR-jelölésben. Például : 40.77.182.32/27.
  7. Válassza a Létrehozás lehetőséget.

A Megbízható IP-címek funkció engedélyezése feltételes hozzáférés használatával

Ha feltételes hozzáférési szabályzatokkal szeretné engedélyezni a megbízható IP-címeket, hajtsa végre a következő lépéseket:

  1. Jelentkezzen be a Microsoft Entra felügyeleti központbafeltételeshozzáférés-adminisztrátorként.

  2. Keresse meg a Védelmi>feltételes hozzáférés>nevesített helyeket.

  3. Válassza az MFA megbízható IP-címének konfigurálása lehetőséget.

  4. A Szolgáltatás Gépház lapon, a Megbízható IP-címek területen válasszon az alábbi lehetőségek közül:

    • Az intranetről származó összevont felhasználóktól érkező kérelmek esetén: Ha ezt a lehetőséget szeretné választani, jelölje be a jelölőnégyzetet. A vállalati hálózatról bejelentkező összes összevont felhasználó megkerüli a többtényezős hitelesítést az AD FS által kiadott jogcím használatával. Győződjön meg arról, hogy az AD FS rendelkezik egy olyan szabállyal, amely hozzá szeretné adni az intranetes jogcímet a megfelelő forgalomhoz. Ha a szabály nem létezik, hozza létre a következő szabályt az AD FS-ben:

      c:[Type== "https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork"] => issue(claim = c);

      Feljegyzés

      Az összevont felhasználóktól érkező kérelmek többtényezős hitelesítésének kihagyása az intranetes beállításban hatással lesz a helyek feltételes hozzáférésének kiértékelésére. Az insidecorporatenetwork jogcímmel kapcsolatos kérések megbízható helyről érkezőnek minősülnek, ha ez a lehetőség van kiválasztva.

    • Nyilvános IP-címek adott tartományából érkező kérések esetén: Ha ezt a lehetőséget választja, írja be az IP-címeket a szövegmezőbe a CIDR-jelölésben.

      • A xxx.xxx.xxx.1 és xxx.xxx.xxx.254 közötti tartományba tartozó IP-címeknél használja a xxx.xxx.xxx.0/24-hez hasonló jelölést.
      • Egyetlen IP-cím esetén használja a xxx.xxx.xxx.xxx/32-hez hasonló jelölést.
      • Legfeljebb 50 IP-címtartományt adhat meg. Azok a felhasználók, akik ezekről az IP-címekről jelentkeznek be, megkerülik a többtényezős hitelesítést.

  5. Válassza a Mentés lehetőséget.

A Megbízható IP-címek funkció engedélyezése szolgáltatásbeállítások használatával

Ha nem szeretne feltételes hozzáférési szabályzatokat használni a megbízható IP-címek engedélyezéséhez, az alábbi lépésekkel konfigurálhatja a Microsoft Entra többtényezős hitelesítés szolgáltatásbeállítását:

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább hitelesítési szabályzatként Rendszergazda istratorként.

  2. Keresse meg a Többtényezős védelem>hitelesítése>további felhőalapú MFA-beállításokat.

  3. A Szolgáltatásbeállítások lapon, a Megbízható IP-címek területen válasszon egyet vagy mindkettőt a következő lehetőségek közül:

    • Összevont felhasználóktól érkező kérelmek az intraneten: Ha ezt a lehetőséget szeretné választani, jelölje be a jelölőnégyzetet. A vállalati hálózatról bejelentkező összes összevont felhasználó megkerüli a többtényezős hitelesítést az AD FS által kiadott jogcím használatával. Győződjön meg arról, hogy az AD FS rendelkezik egy olyan szabállyal, amely hozzá szeretné adni az intranetes jogcímet a megfelelő forgalomhoz. Ha a szabály nem létezik, hozza létre a következő szabályt az AD FS-ben:

      c:[Type== "https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork"] => issue(claim = c);

    • Megadott IP-cím alhálózati tartományból érkező kérelmek esetén: A beállítás kiválasztásához írja be az IP-címeket a szövegmezőbe, a CIDR-jelölésbe.

      • A xxx.xxx.xxx.1 és xxx.xxx.xxx.254 közötti tartományba tartozó IP-címeknél használja a xxx.xxx.xxx.0/24-hez hasonló jelölést.
      • Egyetlen IP-cím esetén használja a xxx.xxx.xxx.xxx/32-hez hasonló jelölést.
      • Legfeljebb 50 IP-címtartományt adhat meg. Azok a felhasználók, akik ezekről az IP-címekről jelentkeznek be, megkerülik a többtényezős hitelesítést.

  4. Válassza a Mentés lehetőséget.

Ellenőrzési módszerek

A szolgáltatásbeállítások portálon kiválaszthatja a felhasználók számára elérhető ellenőrzési módszereket. Amikor a felhasználók regisztrálják a fiókjukat a Microsoft Entra többtényezős hitelesítéshez, az ön által engedélyezett beállítások közül választják ki az előnyben részesített ellenőrzési módszert. A felhasználói regisztrációs folyamatról a Fiók beállítása többtényezős hitelesítéshez című témakörben talál útmutatást.

A következő ellenőrzési módszerek érhetők el:

Metódus Leírás
Telefonos hívás Automatikus hanghívást indít. A felhasználó válaszol a hívásra, és lenyomja a # billentyűt a telefonon a hitelesítéshez. A telefonszám nincs szinkronizálva a helyi Active Directory.
Telefonra küldött szöveges üzenet Ellenőrző kódot tartalmazó szöveges üzenetet küld. A rendszer arra kéri a felhasználót, hogy adja meg az ellenőrző kódot a bejelentkezési felületre. Ezt a folyamatot egyirányú SMS-nek nevezzük. A kétirányú SMS azt jelenti, hogy a felhasználónak vissza kell küldenie egy adott kódot. A kétirányú SMS elavult, és 2018. november 14. után nem támogatott. Rendszergazda istratoroknak engedélyeznie kell egy másik módszert azoknak a felhasználóknak, akik korábban kétirányú SMS-t használtak.
Értesítés mobilalkalmazásban Leküldéses értesítést küld a felhasználó telefonjára vagy regisztrált eszközére. A felhasználó megtekinti az értesítést, és az Ellenőrzés lehetőséget választja az ellenőrzés befejezéséhez. A Microsoft Authenticator alkalmazás Windows Phone-telefon, Android és iOS rendszeren érhető el.
Mobilalkalmazásbeli ellenőrző kód vagy hardvertoken A Microsoft Authenticator alkalmazás 30 másodpercenként létrehoz egy új OATH ellenőrzési kódot. A felhasználó beírja az ellenőrző kódot a bejelentkezési felületre. A Microsoft Authenticator alkalmazás Windows Phone-telefon, Android és iOS rendszeren érhető el.

További információ: Milyen hitelesítési és ellenőrzési módszerek érhetők el a Microsoft Entra ID-ban?

Ellenőrzési módszerek engedélyezése és letiltása

Az ellenőrzési módszerek engedélyezéséhez vagy letiltásához hajtsa végre a következő lépéseket:

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább hitelesítési szabályzatként Rendszergazda istratorként.
  2. Tallózással keresse meg az Identitásfelhasználók elemet>.
  3. Válassza ki a Felhasználónkénti MFA lehetőséget.
  4. A lap tetején található Többtényezős hitelesítés csoportban válassza a Szolgáltatásbeállítások lehetőséget.
  5. A Szolgáltatásbeállítások lapon az Ellenőrzési beállítások területen jelölje be vagy törölje a megfelelő jelölőnégyzeteket.
  6. Válassza a Mentés lehetőséget.

Többtényezős hitelesítés megjegyzése

A többtényezős hitelesítés megjegyzése funkció lehetővé teszi, hogy a felhasználók egy megadott számú napon keresztül megkerüljék a későbbi ellenőrzéseket, miután sikeresen bejelentkeztek egy eszközre az MFA használatával. A használhatóság növelése és a felhasználó által az adott eszközön végzett MFA-műveletek számának minimalizálása érdekében válasszon legalább 90 napos időtartamot.

Fontos

Ha egy fiók vagy eszköz biztonsága sérül, a megbízható eszközök MFA-jának megjegyzése hatással lehet a biztonságra. Ha egy vállalati fiók sérül, vagy egy megbízható eszköz elveszik vagy ellopják, vissza kell vonnia az MFA-munkameneteket.

A visszavonási művelet minden eszközről visszavonja a megbízható állapotot, és a felhasználónak újra többtényezős hitelesítést kell végrehajtania. Arra is utasíthatja a felhasználókat, hogy visszaállítsák az eredeti MFA-állapotot a saját eszközeiken a többtényezős hitelesítés beállításainak kezelése című szakaszban leírtak szerint.

A funkció működése

A többtényezős hitelesítés megjegyzése funkció állandó cookie-t állít be a böngészőben, amikor a felhasználó a Bejelentkezéskor a Ne kérjen újra X napot lehetőséget. A rendszer nem kéri újra az MFA kérését a böngészőből, amíg a cookie le nem jár. Ha a felhasználó egy másik böngészőt nyit meg ugyanazon az eszközön, vagy törli a cookie-kat, a rendszer ismét kérni fogja, hogy ellenőrizze.

Az X nap kérésének mellőzése lehetőség nem jelenik meg a nem böngészős alkalmazásokban, függetlenül attól, hogy az alkalmazás támogatja-e a modern hitelesítést. Ezek az alkalmazások óránként új hozzáférési jogkivonatokat biztosító frissítési jogkivonatokat használnak. A frissítési jogkivonat ellenőrzésekor a Microsoft Entra-azonosító ellenőrzi, hogy az utolsó többtényezős hitelesítés a megadott számú napon belül történt-e.

A funkció csökkenti a webalkalmazások hitelesítéseinek számát, amelyek általában minden alkalommal kérik. A funkció növelheti a modern hitelesítési ügyfelek hitelesítéseinek számát, amelyek általában 180 naponta kérik a hitelesítést, ha alacsonyabb időtartam van konfigurálva. A feltételes hozzáférési szabályzatokkal kombinálva a hitelesítések számát is növelheti.

Fontos

A többtényezős hitelesítés megjegyzése nem kompatibilis az AD FS bejelentkezési funkciójával, amikor a felhasználók többtényezős hitelesítést végeznek az AD FS-hez az MFA-kiszolgálón vagy egy külső féltől származó többtényezős hitelesítési megoldáson keresztül.

Ha a felhasználók úgy választják , hogy be kell jelentkeznem az AD FS-ben, és az eszközüket is megbízhatóként jelölik meg az MFA-hoz, a rendszer nem ellenőrzi automatikusan a felhasználót, miután a többtényezős hitelesítés napok száma lejár. A Microsoft Entra ID új többtényezős hitelesítést kér, de az AD FS az eredeti MFA-jogcímet és dátumot tartalmazó jogkivonatot ad vissza ahelyett, hogy ismét többtényezős hitelesítést hajtanak végre. Ez a reakció egy ellenőrzési ciklust indít el a Microsoft Entra ID és az AD FS között.

A többtényezős hitelesítés megjegyzése funkció nem kompatibilis a B2B-felhasználókkal, és a B2B-felhasználók nem fognak látni, amikor bejelentkeznek a meghívott bérlőkbe.

A többtényezős hitelesítés megjegyzése funkció nem kompatibilis a bejelentkezési gyakoriság feltételes hozzáférés-vezérlésével. További információ: Hitelesítési munkamenet-kezelés konfigurálása feltételes hozzáféréssel.

Többtényezős hitelesítés megjegyzésének engedélyezése

Ha engedélyezni és konfigurálni szeretné azt a lehetőséget, hogy a felhasználók megjegyezhessék az MFA-állapotukat, és megkerüljék a kéréseket, hajtsa végre az alábbi lépéseket:

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább hitelesítési szabályzatként Rendszergazda istratorként.
  2. Tallózással keresse meg az Identitásfelhasználók elemet>.
  3. Válassza ki a Felhasználónkénti MFA lehetőséget.
  4. A lap tetején található Többtényezős hitelesítés területen válassza ki a szolgáltatásbeállításokat.
  5. A szolgáltatásbeállítások lapon, a Többtényezős hitelesítés megjegyzése csoportban válassza a Többtényezős hitelesítés megjegyzésének engedélyezése a felhasználók számára a megbízható eszközökön.
  6. Adja meg a napok számát, hogy a megbízható eszközök megkerüljék a többtényezős hitelesítéseket. Az optimális felhasználói élmény érdekében hosszabbítsa meg az időtartamot 90 vagy több napra.
  7. Válassza a Mentés lehetőséget.

Eszköz megjelölése megbízhatóként

Miután engedélyezte a többtényezős hitelesítés megjegyzését, a felhasználók megbízhatóként jelölhetnek meg egy eszközt, amikor bejelentkeznek, a Ne kérdezzen újra lehetőséget választva.

Következő lépések

További információ: Milyen hitelesítési és ellenőrzési módszerek érhetők el a Microsoft Entra ID-ban?