A Microsoft Entra többtényezős hitelesítési beállításainak konfigurálása
A Microsoft Entra többtényezős hitelesítés végfelhasználói élményének testreszabásához konfigurálhatja a beállításokat, például a fiókzárolási küszöbértékeket vagy a csalási riasztásokat és értesítéseket.
A Microsoft Entra többtényezős hitelesítési beállításai a következők:
Szolgáltatás | Leírás |
---|---|
Fiókzárolás (csak MFA-kiszolgáló) | Ha túl sok a megtagadott hitelesítési kísérlet, ideiglenesen zárolja a fiókokat a Microsoft Entra többtényezős hitelesítés használatával. Ez a funkció csak azokra a felhasználókra vonatkozik, akik az MFA-kiszolgálót használják PIN-kód megadásához a hitelesítéshez. |
Felhasználók letiltása/tiltásának feloldása | Letilthatja, hogy bizonyos felhasználók többtényezős Microsoft Entra hitelesítési kéréseket fogadhassanak. A letiltott felhasználók összes hitelesítési kísérlete automatikusan el lesz utasítva. A felhasználók a letiltásuk időpontjától számított 90 napig, illetve a letiltás manuális feloldásáig maradnak letiltva. |
Csalási riasztás | Konfigurálja azokat a beállításokat, amelyek lehetővé teszik a felhasználók számára a hamis ellenőrzési kérelmek bejelentését. |
Gyanús tevékenység bejelentése | Konfigurálja azokat a beállításokat, amelyek lehetővé teszik a felhasználók számára a hamis ellenőrzési kérelmek bejelentését. |
Értesítések | Események értesítéseinek engedélyezése az MFA-kiszolgálóról. |
OATH-jogkivonatok | A felhőalapú Microsoft Entra többtényezős hitelesítési környezetekben használják a felhasználók OATH-jogkivonatainak kezelésére. |
Telefon hívásbeállítások | A felhőbeli és helyszíni környezetek telefonhívásaihoz és üdvözléséhez kapcsolódó beállítások konfigurálása. |
Szolgáltatók | Ez megjeleníti a fiókjához társított meglévő hitelesítésszolgáltatókat. Az új szolgáltatók hozzáadása 2018. szeptember 1-étől le van tiltva. |
Fiókzárolás (csak MFA-kiszolgáló)
Tipp.
A cikkben szereplő lépések a portáltól függően kissé eltérhetnek.
Feljegyzés
A fiókzárolás csak a helyszíni MFA-kiszolgálóval bejelentkező felhasználókat érinti.
A támadás részeként ismétlődő MFA-kísérletek megakadályozása érdekében a fiók zárolási beállításai lehetővé teszik annak megadását, hogy hány sikertelen kísérlet legyen engedélyezve, mielőtt a fiók egy ideig zárolva lesz. A fiókzárolási beállításokat csak akkor alkalmazza a rendszer, ha pin-kód van megadva az MFA-kéréshez a helyszíni MFA-kiszolgáló használatával.
A következő beállításokat használhatja:
- Fiókzárolást kiváltó MFA-megtagadások száma
- Percek, amíg a fiók zárolási számlálója alaphelyzetbe nem áll
- Percek a fiók automatikus letiltásának feloldásáig
A fiókzárolási beállítások konfigurálásához hajtsa végre az alábbi lépéseket:
Jelentkezzen be a Microsoft Entra felügyeleti központba legalább hitelesítési szabályzatként Rendszergazda istratorként.
Tallózással keresse meg a Védelmi>többtényezős hitelesítési>fiók zárolását. Előfordulhat, hogy a Többtényezős hitelesítés megtekintéséhez a Továbbiak megjelenítése gombra kell kattintania.
Adja meg a környezet értékeit, majd válassza a Mentés lehetőséget.
Felhasználók letiltása és letiltása
Ha egy felhasználó eszközét elveszik vagy ellopják, letilthatja a Microsoft Entra többtényezős hitelesítési kísérleteit a társított fiókhoz. A letiltott felhasználókra vonatkozó többtényezős Microsoft Entra-hitelesítési kísérletek automatikusan le lesznek tiltva. A felhasználók a letiltásuk időpontjától számított 90 napig maradnak letiltva. Ennek módját bemutató videóból megtudhatja , hogyan tilthatja le és oldhatja fel a bérlői felhasználók letiltását.
Felhasználó letiltása
Egy felhasználó letiltásához hajtsa végre az alábbi lépéseket.
Tekintse meg ezt a folyamatot ismertető rövid videót.
- Tallózással keresse meg a többtényezős védelem>hitelesítésének>letiltását/letiltását a felhasználók számára.
- Válassza a Hozzáadás lehetőséget egy felhasználó letiltásához.
- Adja meg a letiltott felhasználó felhasználónevét a formátumban
username@domain.com
, majd adjon meg egy megjegyzést az Ok mezőben. - Válassza az OK gombot a felhasználó letiltásához.
Felhasználó letiltásának feloldása
A felhasználók letiltásának feloldásához hajtsa végre a következő lépéseket:
- Lépjen a Többtényezős védelem>hitelesítésének>blokkolása/letiltása a felhasználók letiltásához.
- A felhasználó melletti Művelet oszlopban válassza a Letiltás feloldása lehetőséget.
- Írjon be egy megjegyzést a tiltás feloldásának oka mezőbe.
- Válassza az OK gombot a felhasználó letiltásának feloldásához.
Csalási riasztás
A Csalás riasztás funkció lehetővé teszi, hogy a felhasználók bejelentsék az erőforrásaik elérésére tett csalárd kísérleteket. Ismeretlen és gyanús MFA-kérés érkezésekor a felhasználók a Microsoft Authenticator alkalmazással vagy a telefonjukon keresztül jelenthetik a csalási kísérletet.
A Microsoft az Identity Protection szolgáltatással való integrációja, a jobb jelentéskészítési képességek és a legkevésbé kiemelt felügyelet érdekében a Csalás riasztás helyett a gyanús jelentések használatát javasolja.
A következő csalási riasztások konfigurációs beállításai érhetők el:
Automatikusan letilthatja a csalást bejelentést végző felhasználókat. Ha egy felhasználó csalást jelent, az Azure AD Többtényezős hitelesítés a felhasználói fiókhoz 90 napig, vagy amíg a rendszergazda fel nem oldja a fiók letiltását. A rendszergazda a bejelentkezési jelentéssel áttekintheti a bejelentkezéseket, és megfelelő lépéseket tehet a jövőbeli csalások megelőzése érdekében. A rendszergazda ezután feloldhatja a felhasználói fiók letiltását .
A csalás bejelentésére szolgáló kód a kezdeti üdvözlés során. Amikor a felhasználók telefonhívást kapnak a többtényezős hitelesítés végrehajtásához, általában lenyomva # megerősítik a bejelentkezésüket. A csalás bejelentéséhez a felhasználó beír egy kódot, mielőtt lenyomja #a gombot. Ez a kód alapértelmezés szerint 0 , de testre szabhatja. Ha az automatikus letiltás engedélyezve van, miután a felhasználó a 0# billentyűt lenyomva jelenti a csalást, az 1 billentyűt kell lenyomnia a fiók blokkolásának megerősítéséhez.
Feljegyzés
A Microsoft alapértelmezett hangüzenetei arra utasítják a felhasználókat, hogy a 0# billentyű lenyomásával küldjenek csalási riasztást. Ha nem 0-s kódot szeretne használni, rögzítse és töltse fel saját egyéni hangköszöntőit a felhasználók számára megfelelő útmutatással.
A csalási riasztások engedélyezéséhez és konfigurálásához hajtsa végre a következő lépéseket:
- Jelentkezzen be a Microsoft Entra felügyeleti központba legalább hitelesítési szabályzatként Rendszergazda istratorként.
- Tallózással keresse meg a Védelmi>többtényezős hitelesítés>csalási riasztását.
- Állítsa be, hogy a felhasználók csalási riasztásokat küldjenek a Be értékre.
- Konfigurálja a csalást vagy a kódot bejelentő felhasználók automatikus letiltását a csalások bejelentésére a kezdeti megszólítási beállítás során, szükség szerint.
- Válassza a Mentés lehetőséget.
Gyanús tevékenység bejelentése
A gyanús tevékenységek bejelentése, a frissített MFA csalásriasztási funkció már elérhető. Ha ismeretlen és gyanús MFA-kérés érkezik, a felhasználók a Microsoft Authenticator használatával vagy a telefonjukon keresztül jelenthetik a csalási kísérletet. Ezek a riasztások integrálva vannak az Identity Protection szolgáltatással az átfogóbb lefedettség és képesség érdekében.
Azok a felhasználók, akik gyanúsként jelentenek MFA-kérést, magas felhasználói kockázatra vannak beállítva. Rendszergazda istratorok kockázatalapú szabályzatokkal korlátozhatják a felhasználók hozzáférését, vagy engedélyezhetik az önkiszolgáló jelszó-visszaállítást (SSPR) a felhasználók számára a problémák önálló megoldásához. Ha korábban a csalási riasztás automatikus blokkolási funkcióját használta, és nem rendelkezik Microsoft Entra ID P2-licenccel a kockázatalapú szabályzatokhoz, kockázatészlelési események használatával azonosíthatja és letilthatja az érintett felhasználókat, és automatikusan megakadályozhatja a bejelentkezésüket. A kockázatalapú szabályzatok használatáról további információt a kockázatalapú hozzáférési szabályzatok című témakörben talál.
A gyanús tevékenységek jelentésének engedélyezése a hitelesítési módszerekből Gépház:
- Jelentkezzen be a Microsoft Entra felügyeleti központba legalább hitelesítési szabályzatként Rendszergazda istratorként.
- Keresse meg a védelmi>hitelesítési módszereket> Gépház.
- A gyanús jelentések tevékenységének beállítása engedélyezve. Ha a Microsoft által felügyelt szolgáltatást választja, a szolgáltatás le lesz tiltva. A Microsoft által felügyelt értékekkel kapcsolatos további információkért tekintse meg a Hitelesítési módszerek védelme a Microsoft Entra ID-ban című témakört.
- Válassza a Minden felhasználó vagy egy adott csoport lehetőséget.
- Válasszon ki egy jelentési kódot.
- Kattintson a Mentés gombra.
Feljegyzés
Ha engedélyezi a gyanús jelentési tevékenységet, és egyéni hangjelentési értéket ad meg, miközben a bérlő továbbra is engedélyezve van a csalási riasztással párhuzamosan egy egyéni hangjelentési szám konfigurálva, a rendszer a gyanús jelentési tevékenység értékét használja a csalási riasztás helyett.
Gyanús tevékenységesemények megtekintése
Ha egy felhasználó gyanúsként jelent meg egy MFA-kérést, az esemény megjelenik a bejelentkezési jelentésben (a felhasználó által elutasított bejelentkezésként), az Auditnaplókban és a Kockázatészlelési jelentésben.
A kockázatészlelési jelentés megtekintéséhez válassza a Protection>Identity Protection>kockázatészlelést. A kockázati esemény a szokásos kockázatészlelési jelentés része, és észlelési típusként jelenik meg, amely a felhasználó által jelentett gyanús tevékenység, a magas kockázati szint, a forrás végfelhasználója által jelentett.
Ha meg szeretné tekinteni a csalási jelentéseket a bejelentkezési jelentésben, válassza az Identitásfigyelés>és állapot>bejelentkezési naplók>hitelesítési adatai lehetőséget. A csalási jelentés a Microsoft Entra szokásos bejelentkezési jelentésének része, és az eredmény részleteiben az MFA megtagadva, a csalási kód beírásaként jelenik meg.
Ha meg szeretné tekinteni a csalási jelentéseket az auditnaplókban, válassza az Identitásfigyelés>> állapotnaplók> lehetőséget. A csalási jelentés a jelentett csalások tevékenységtípusa alatt jelenik meg – a felhasználó le van tiltva az MFA-ra vagy a jelentett csalásra – a csalási jelentés bérlőszintű beállításai alapján nem történik művelet.
Feljegyzés
Ha jelszó nélküli hitelesítést végez, a rendszer nem jelenti magas kockázatúként a felhasználót.
Gyanús tevékenységesemények kezelése
Ha egy felhasználó gyanúsként jelentett be egy kérdést, a kockázatot ki kell vizsgálni és orvosolni kell az Identity Protection szolgáltatással.
Gyanús tevékenységről és csalásról szóló riasztás jelentése
A gyanús tevékenységek bejelentése és az örökölt csalási riasztások végrehajtása párhuzamosan is működhet. A bérlői szintű csalásriasztási funkciót megtarthatja, miközben megkezdi a gyanús jelentések használatát egy célzott tesztcsoporttal.
Ha a csalási riasztás automatikus blokkolással van engedélyezve, és a gyanús tevékenységek jelentése engedélyezve van, a felhasználó fel lesz véve a tiltólistára, és magas kockázatúként és hatókörön belüliként lesz beállítva minden más konfigurált szabályzathoz. Ezeket a felhasználókat el kell távolítani a tiltólistáról, és elhárítani kell a kockázatukat, hogy lehetővé tegyék számukra az MFA-val való bejelentkezést.
Notifications
Konfigurálhatja a Microsoft Entra-azonosítót úgy, hogy e-mail-értesítéseket küldjön, amikor a felhasználók csalási riasztásokat jelentenek. Ezeket az értesítéseket általában identitásadminisztrátorok kapják meg, mert a felhasználó fiók hitelesítő adatai valószínűleg sérültek. Az alábbi példa bemutatja, hogyan néz ki egy csalásról szóló értesítési e-mail:
Csalásriasztási értesítések konfigurálása:
- Nyissa meg a Többtényezős védelem>hitelesítési>értesítéseit.
- Adja meg az e-mail-címet az értesítés elküldéséhez.
- Meglévő e-mail-cím eltávolításához válassza a ... lehetőséget az e-mail-cím mellett, majd válassza a Törlés lehetőséget.
- Válassza a Mentés lehetőséget.
OATH-jogkivonatok
A Microsoft Entra ID támogatja az OATH TOTP SHA-1 jogkivonatok használatát, amelyek 30 vagy 60 másodpercenként frissítik a kódokat. Ezeket a jogkivonatokat az Ön által választott gyártótól vásárolhatja meg.
AZ OATH TOTP hardveres jogkivonatok általában titkos kulccsal vagy maggal rendelkeznek, amelyeket előre beprogramoztak a jogkivonatba. Ezeket a kulcsokat be kell írnia a Microsoft Entra-azonosítóba az alábbi lépésekben leírtak szerint. A titkos kulcsok legfeljebb 128 karakter hosszúságúak, amelyek nem minden jogkivonattal kompatibilisek. A titkos kulcs csak az a-z vagy az A-Z karaktereket és az 1–7. számjegyeket tartalmazhatja. A base32-ben kell kódolni.
A szoftverjogkivonatok beállítási folyamatában a programozható OATH TOTP hardveres jogkivonatok is beállíthatók Microsoft Entra-azonosítóval.
Az OATH hardveres jogkivonatai a nyilvános előzetes verzió részeként támogatottak. További információ az előzetes verziókról: Kiegészítő használati feltételek a Microsoft Azure előzetes verziójú termékeihez.
A jogkivonatok beszerzése után vesszővel tagolt (CSV) fájlformátumban kell feltöltenie őket. Adja meg az UPN-et, a sorozatszámot, a titkos kulcsot, az időintervallumot, a gyártót és a modellt az alábbi példában látható módon:
upn,serial number,secret key,time interval,manufacturer,model
Helga@contoso.com,1234567,1234567abcdef1234567abcdef,60,Contoso,HardwareKey
Feljegyzés
Ügyeljen arra, hogy a fejlécsort a CSV-fájlba is belefoglalja.
Jelentkezzen be a Microsoft Entra felügyeleti központba globális Rendszergazda istratorként, lépjen a Protection>Multifactor authentication>OATH jogkivonataihoz, és töltse fel a CSV-fájlt.
A CSV-fájl méretétől függően a feldolgozás eltarthat néhány percig. Az állapot lekéréséhez válassza a Frissítés lehetőséget. Ha hiba történt a fájlban, letölthet egy CSV-fájlt, amely felsorolja őket. A letöltött CSV-fájl mezőnevei eltérnek a feltöltött verzióban lévőktől.
A hibák elhárítása után a rendszergazda aktiválhatja az egyes kulcsokat a jogkivonat Aktiválása és a jogkivonatban megjelenő OTP beírásával.
A felhasználók legfeljebb öt OATH hardverjogkivonat vagy hitelesítő alkalmazás kombinációjával rendelkezhetnek, például a Microsoft Authenticator alkalmazással, amely bármikor konfigurálva van a használatra.
Fontos
Ügyeljen arra, hogy minden jogkivonatot csak egyetlen felhasználóhoz rendeljen. A jövőben egy jogkivonat több felhasználóhoz való hozzárendelésének támogatása leáll a biztonsági kockázat elkerülése érdekében.
Telefonhívás beállításai
Ha a felhasználók telefonhívásokat kapnak az MFA-kérésekhez, konfigurálhatja a felhasználói élményt, például a hívóazonosítót vagy a hangköszöntőt, amit hallanak.
A Egyesült Államok, ha még nem konfigurálta az MFA-hívóazonosítót, a Microsoft hanghívásai a következő számokból származnak. A levélszemétszűrővel rendelkező felhasználóknak ki kell zárniuk ezeket a számokat.
Alapértelmezett szám: +1 (855) 330-8653
Az alábbi táblázat további számokat sorol fel a különböző országokhoz.
Ország/régió | Száma(i) |
---|---|
Ausztria | +43 6703062076 |
Banglades | +880 9604606026 |
Horvátország | +385 15507766 |
Ecuador | +593 964256042 |
Észtország | +372 6712726 |
Franciaország | +33 744081468 |
Ghána | +233 308250245 |
Görögország | +30 2119902739 |
Guatemala | +502 23055056 |
Hongkong (KKT) | +852 25716964 |
India | +91 3371568300, +91 1205089400, +91 4471566601, +91 2271897557, +91 1203524400, +91 3335105700, +91 2235544120, +91 4435279600 |
Jordánia | +962 797639442 |
Kenya | +254 709605276 |
Hollandia | +31 202490048 |
Nigéria | +234 7080627886 |
Pakisztán | +92 4232618686 |
Lengyelország | +48 699740036 |
Szaúd-Arábia | +966 115122726 |
Dél-afrikai Köztársaság | +27 872405062 |
Spanyolország | +34 913305144 |
Srí Lanka | +94 117750440 |
Svédország | +46 701924176 |
Tajvan | +886 277515260 |
Türkiye | +90 8505404893 |
Ukrajna | +380 443332393 |
Egyesült Arab Emírségek | +971 44015046 |
Vietnam | +84 2039990161 |
Feljegyzés
Amikor a Microsoft Entra többtényezős hitelesítési hívásokat a nyilvános telefonhálózaton keresztül indítja el, a hívások olykor olyan szolgáltatón keresztül lesznek átirányítva, amely nem támogatja a hívóazonosítót. Emiatt a hívóazonosító nem garantált, annak ellenére, hogy a Microsoft Entra többtényezős hitelesítés mindig elküldi. Ez a Microsoft Entra többtényezős hitelesítés által biztosított telefonhívásokra és szöveges üzenetekre is vonatkozik. Ha ellenőriznie kell, hogy egy szöveges üzenet a Microsoft Entra többtényezős hitelesítéséből származik-e, olvassa el a Milyen rövid kódokat használ az üzenetek küldéséhez?
A saját hívóazonosító számának konfigurálásához hajtsa végre a következő lépéseket:
- Nyissa meg a Többtényezős védelem>hitelesítés> Telefon hívásbeállításokat.
- Állítsa be az MFA hívóazonosítóját arra a számra, amelyet a felhasználók a telefonjukon látni szeretnének. Csak az USA-alapú számok engedélyezettek.
- Válassza a Mentés parancsot.
Feljegyzés
Amikor a Microsoft Entra többtényezős hitelesítési hívásokat a nyilvános telefonhálózaton keresztül indítja el, a hívások olykor olyan szolgáltatón keresztül lesznek átirányítva, amely nem támogatja a hívóazonosítót. Emiatt a hívóazonosító nem garantált, annak ellenére, hogy a Microsoft Entra többtényezős hitelesítés mindig elküldi. Ez a Microsoft Entra többtényezős hitelesítés által biztosított telefonhívásokra és szöveges üzenetekre is vonatkozik. Ha ellenőriznie kell, hogy egy szöveges üzenet a Microsoft Entra többtényezős hitelesítéséből származik-e, olvassa el a Milyen rövid kódokat használ az üzenetek küldéséhez?
Egyéni hangüzenetek
A Microsoft Entra többtényezős hitelesítéséhez saját felvételeket vagy üdvözléseket használhat. Ezek az üzenetek az alapértelmezett Microsoft-felvételeken kívül vagy lecserélésükre is használhatók.
Mielőtt hozzákezdene, vegye figyelembe a következő korlátozásokat:
- A támogatott fájlformátumok .wav és .mp3.
- A fájlméret korlátja 1 MB.
- A hitelesítési üzeneteknek 20 másodpercnél rövidebbnek kell lenniük. A 20 másodpercnél hosszabb üzenetek az ellenőrzés sikertelenségéhez vezethetnek. Ha a felhasználó nem válaszol az üzenet befejezése előtt, az ellenőrzés túllépi az időkorlátot.
Egyéni üzenetnyelvi viselkedés
Ha egyéni hangüzenetet játszik le a felhasználó, az üzenet nyelve a következő tényezőktől függ:
- A felhasználó nyelve.
- A felhasználó böngészője által észlelt nyelv.
- Más hitelesítési forgatókönyvek eltérően viselkedhetnek.
- Az elérhető egyéni üzenetek nyelve.
- Ezt a nyelvet a rendszergazda választja ki egyéni üzenet hozzáadásakor.
Ha például csak egy egyéni üzenet van, és német nyelven van:
- A német nyelven hitelesítkedő felhasználó az egyéni német üzenetet fogja hallani.
- Az angol nyelven hitelesítkedő felhasználó a szokásos angol nyelvű üzenetet fogja hallani.
Egyéni hangüzenet alapértelmezései
A következő példaszkriptekkel saját egyéni üzeneteket hozhat létre. Ezek a kifejezések az alapértelmezettek, ha nem konfigurálja saját egyéni üzeneteit.
Üzenet neve | Szkript |
---|---|
Sikeres hitelesítés | A bejelentkezés sikeres ellenőrzése megtörtént. Viszlát. |
Bővítményre vonatkozó üzenet | Köszönjük, hogy a Microsoft bejelentkezési ellenőrző rendszerét használta. A folytatáshoz nyomja le a font billentyűt. |
Csalás megerősítése | Csalási riasztást küldtek. A fiók letiltásának feloldásához forduljon a vállalat informatikai ügyfélszolgálatához. |
Csalás üdvözlése (standard) | Köszönjük, hogy a Microsoft bejelentkezési ellenőrző rendszerét használta. Az ellenőrzés befejezéséhez nyomja le a font billentyűt. Ha nem kezdeményezte ezt az ellenőrzést, előfordulhat, hogy valaki megpróbál hozzáférni a fiókjához. A csalási riasztás elküldéséhez nyomja le a nulla fontot. Ez értesíti a vállalat informatikai csapatát, és letiltja a további ellenőrzési kísérleteket. |
Csalásról számoltak be | Csalási riasztást küldtek. A fiók letiltásának feloldásához forduljon a vállalat informatikai ügyfélszolgálatához. |
Aktiválás | Köszönjük, hogy a Microsoft bejelentkezési ellenőrző rendszerét használta. Az ellenőrzés befejezéséhez nyomja le a font billentyűt. |
Hitelesítés megtagadva újrapróbálkozása | Az ellenőrzés megtagadva. |
Újrapróbálkozás (standard) | Köszönjük, hogy a Microsoft bejelentkezési ellenőrző rendszerét használta. Az ellenőrzés befejezéséhez nyomja le a font billentyűt. |
Üdvözlés (standard) | Köszönjük, hogy a Microsoft bejelentkezési ellenőrző rendszerét használta. Az ellenőrzés befejezéséhez nyomja le a font billentyűt. |
Üdvözlés (PIN-kód) | Köszönjük, hogy a Microsoft bejelentkezési ellenőrző rendszerét használta. Az ellenőrzés befejezéséhez adja meg a PIN-kódot, majd a fontkulcsot. |
Csalás üdvözlése (PIN-kód) | Köszönjük, hogy a Microsoft bejelentkezési ellenőrző rendszerét használta. Az ellenőrzés befejezéséhez adja meg a PIN-kódot, majd a fontkulcsot. Ha nem kezdeményezte ezt az ellenőrzést, előfordulhat, hogy valaki megpróbál hozzáférni a fiókjához. A csalási riasztás elküldéséhez nyomja le a nulla fontot. Ez értesíti a vállalat informatikai csapatát, és letiltja a további ellenőrzési kísérleteket. |
Újrapróbálkozás (PIN-kód) | Köszönjük, hogy a Microsoft bejelentkezési ellenőrző rendszerét használta. Az ellenőrzés befejezéséhez adja meg a PIN-kódot, majd a fontkulcsot. |
A számjegyek után megjelenő bővítménykérés | Ha már ebben a bővítményben, nyomja le a font billentyűt a folytatáshoz. |
Hitelesítés megtagadva | Sajnálom, jelenleg nem tudunk bejelentkezni. Próbálkozzon újra később. |
Aktiválási üdvözlés (standard) | Köszönjük, hogy a Microsoft bejelentkezési ellenőrző rendszerét használta. Az ellenőrzés befejezéséhez nyomja le a font billentyűt. |
Aktiválási újrapróbálkozás (standard) | Köszönjük, hogy a Microsoft bejelentkezési ellenőrző rendszerét használta. Az ellenőrzés befejezéséhez nyomja le a font billentyűt. |
Aktiválási üdvözlés (PIN-kód) | Köszönjük, hogy a Microsoft bejelentkezési ellenőrző rendszerét használta. Az ellenőrzés befejezéséhez adja meg a PIN-kódot, majd a fontkulcsot. |
A számjegyek előtt megjelenő bővítménykérés | Köszönjük, hogy a Microsoft bejelentkezési ellenőrző rendszerét használta. Küldje át ezt a hívást a bővítménybővítményre<>. |
Egyéni üzenet beállítása
Saját egyéni üzeneteinek használatához hajtsa végre a következő lépéseket:
- Nyissa meg a Többtényezős védelem>hitelesítés> Telefon hívásbeállításokat.
- Válassza a Köszöntés hozzáadása lehetőséget.
- Válassza ki a megszólítás típusát , például a megszólítást (standard) vagy a sikeres hitelesítést.
- Válassza ki a nyelvet. Tekintse meg az egyéni üzenetnyelvi viselkedésről szóló előző szakaszt.
- Keresse meg és válassza ki a feltölteni kívánt .mp3 vagy .wav hangfájlt.
- Válassza a Hozzáadás , majd a Mentés lehetőséget.
MFA szolgáltatásbeállítások
Gépház a szolgáltatásbeállítások között elérhetőek az alkalmazásjelszavak, a megbízható IP-címek, az ellenőrzési beállítások és a többtényezős hitelesítés megjegyzése a megbízható eszközökön. Ez egy régi portál.
A szolgáltatásbeállításokat a Microsoft Entra Felügyeleti központbanérheti el a Többtényezős védelem>hitelesítése>– Első lépések>További felhőalapú MFA-beállítások konfigurálása>című témakörben. Megnyílik egy ablak vagy lap további szolgáltatásbeállításokkal.
Megbízható IP-címek
A Microsoft Entra többfaktoros hitelesítés megbízható IP-címek funkciója megkerüli a többfaktoros hitelesítési kéréseket azon felhasználók esetében, akik egy meghatározott IP-címtartományból jelentkeznek be. A helyszíni környezetekhez megbízható IP-tartományokat állíthat be. Ha a felhasználók a megadott helyek valamelyikén tartózkodnak, nem kap többtényezős hitelesítési kérést a Microsoft Entra-tól. A megbízható IP-címek használatához a Microsoft Entra ID P1 kiadás szükséges.
Feljegyzés
A megbízható IP-címek csak az MFA-kiszolgáló használatakor tartalmazhatnak privát IP-tartományokat. A felhőalapú Microsoft Entra többtényezős hitelesítéshez csak nyilvános IP-címtartományokat használhat.
Az IPv6-tartományok csak a Nevesített helyek (előzetes verzió) felületen támogatottak.
Ha a szervezet az NPS-bővítményt használja, hogy MFA-t biztosítson a helyszíni alkalmazások számára, a forrás IP-címe mindig az az NPS-kiszolgáló lesz, amelyen a hitelesítési kísérlet áthalad.
Microsoft Entra-bérlő típusa | Megbízható IP-funkciók beállításai |
---|---|
Felügyelt | Ip-címek meghatározott tartománya: Rendszergazda istratorok olyan IP-címtartományt határoznak meg, amely megkerülheti a többtényezős hitelesítést a vállalati intranetről bejelentkező felhasználók számára. Legfeljebb 50 megbízható IP-tartomány konfigurálható. |
Összevont | Minden összevont felhasználó: Minden összevont felhasználó, aki a szervezeten belülről jelentkezik be, megkerülheti a többtényezős hitelesítéseket. A felhasználók a Active Directory összevonási szolgáltatások (AD FS) (AD FS) által kiadott jogcím használatával megkerülik az ellenőrzést. Ip-címek meghatározott tartománya: Rendszergazda istratorok olyan IP-címtartományt határoznak meg, amely megkerülheti a többtényezős hitelesítést a vállalati intranetről bejelentkező felhasználók számára. |
A megbízható IP-megkerülés csak a vállalati intraneten belül működik. Ha a Minden összevont felhasználó lehetőséget választja, és egy felhasználó a vállalati intraneten kívülről jelentkezik be, a felhasználónak többtényezős hitelesítéssel kell hitelesítenie magát. A folyamat akkor is ugyanaz, ha a felhasználó AD FS-jogcímet mutat be.
Feljegyzés
Ha a bérlőben felhasználónkénti MFA- és feltételes hozzáférési szabályzatok is konfigurálva vannak, megbízható IP-címeket kell hozzáadnia a feltételes hozzáférési szabályzathoz, és frissítenie kell az MFA szolgáltatás beállításait.
Felhasználói élmény a vállalati hálózaton belül
Ha a megbízható IP-címek szolgáltatás le van tiltva, a böngészőfolyamatokhoz többtényezős hitelesítésre van szükség. A régebbi rich-client alkalmazásokhoz alkalmazásjelszavak szükségesek.
Megbízható IP-címek használata esetén a böngészőfolyamatokhoz nincs szükség többtényezős hitelesítésre. Ha a felhasználó nem hozott létre alkalmazásjelszót, a régebbi gazdag ügyfélalkalmazásokhoz nem szükséges alkalmazásjelszó. Az alkalmazásjelszó használata után a jelszó megadása kötelező.
Felhasználói élmény a vállalati hálózaton kívül
Függetlenül attól, hogy a megbízható IP-címek definiálva vannak-e, a böngészőfolyamatokhoz többtényezős hitelesítésre van szükség. A régebbi rich-client alkalmazásokhoz alkalmazásjelszavak szükségesek.
Elnevezett helyek engedélyezése feltételes hozzáféréssel
A feltételes hozzáférési szabályokkal megnevezett helyeket az alábbi lépések végrehajtásával határozhat meg:
- Jelentkezzen be a Microsoft Entra felügyeleti központbafeltételeshozzáférés-adminisztrátorként.
- Keresse meg a Védelmi>feltételes hozzáférés>nevesített helyeket.
- Válassza az Új hely lehetőséget.
- Adjon meg egy nevet a hely számára.
- Válassza a Megjelölés megbízható helyként lehetőséget.
- Adja meg a környezet IP-tartományát a CIDR-jelölésben. Például : 40.77.182.32/27.
- Válassza a Létrehozás lehetőséget.
A Megbízható IP-címek funkció engedélyezése feltételes hozzáférés használatával
Ha feltételes hozzáférési szabályzatokkal szeretné engedélyezni a megbízható IP-címeket, hajtsa végre a következő lépéseket:
Jelentkezzen be a Microsoft Entra felügyeleti központbafeltételeshozzáférés-adminisztrátorként.
Keresse meg a Védelmi>feltételes hozzáférés>nevesített helyeket.
Válassza az MFA megbízható IP-címének konfigurálása lehetőséget.
A Szolgáltatás Gépház lapon, a Megbízható IP-címek területen válasszon az alábbi lehetőségek közül:
Az intranetről származó összevont felhasználóktól érkező kérelmek esetén: Ha ezt a lehetőséget szeretné választani, jelölje be a jelölőnégyzetet. A vállalati hálózatról bejelentkező összes összevont felhasználó megkerüli a többtényezős hitelesítést az AD FS által kiadott jogcím használatával. Győződjön meg arról, hogy az AD FS rendelkezik egy olyan szabállyal, amely hozzá szeretné adni az intranetes jogcímet a megfelelő forgalomhoz. Ha a szabály nem létezik, hozza létre a következő szabályt az AD FS-ben:
c:[Type== "https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork"] => issue(claim = c);
Feljegyzés
Az összevont felhasználóktól érkező kérelmek többtényezős hitelesítésének kihagyása az intranetes beállításban hatással lesz a helyek feltételes hozzáférésének kiértékelésére. Az insidecorporatenetwork jogcímmel kapcsolatos kérések megbízható helyről érkezőnek minősülnek, ha ez a lehetőség van kiválasztva.
Nyilvános IP-címek adott tartományából érkező kérések esetén: Ha ezt a lehetőséget választja, írja be az IP-címeket a szövegmezőbe a CIDR-jelölésben.
- A xxx.xxx.xxx.1 és xxx.xxx.xxx.254 közötti tartományba tartozó IP-címeknél használja a xxx.xxx.xxx.0/24-hez hasonló jelölést.
- Egyetlen IP-cím esetén használja a xxx.xxx.xxx.xxx/32-hez hasonló jelölést.
- Legfeljebb 50 IP-címtartományt adhat meg. Azok a felhasználók, akik ezekről az IP-címekről jelentkeznek be, megkerülik a többtényezős hitelesítést.
Válassza a Mentés lehetőséget.
A Megbízható IP-címek funkció engedélyezése szolgáltatásbeállítások használatával
Ha nem szeretne feltételes hozzáférési szabályzatokat használni a megbízható IP-címek engedélyezéséhez, az alábbi lépésekkel konfigurálhatja a Microsoft Entra többtényezős hitelesítés szolgáltatásbeállítását:
Jelentkezzen be a Microsoft Entra felügyeleti központba legalább hitelesítési szabályzatként Rendszergazda istratorként.
Keresse meg a Többtényezős védelem>hitelesítése>további felhőalapú MFA-beállításokat.
A Szolgáltatásbeállítások lapon, a Megbízható IP-címek területen válasszon egyet vagy mindkettőt a következő lehetőségek közül:
Összevont felhasználóktól érkező kérelmek az intraneten: Ha ezt a lehetőséget szeretné választani, jelölje be a jelölőnégyzetet. A vállalati hálózatról bejelentkező összes összevont felhasználó megkerüli a többtényezős hitelesítést az AD FS által kiadott jogcím használatával. Győződjön meg arról, hogy az AD FS rendelkezik egy olyan szabállyal, amely hozzá szeretné adni az intranetes jogcímet a megfelelő forgalomhoz. Ha a szabály nem létezik, hozza létre a következő szabályt az AD FS-ben:
c:[Type== "https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork"] => issue(claim = c);
Megadott IP-cím alhálózati tartományból érkező kérelmek esetén: A beállítás kiválasztásához írja be az IP-címeket a szövegmezőbe, a CIDR-jelölésbe.
- A xxx.xxx.xxx.1 és xxx.xxx.xxx.254 közötti tartományba tartozó IP-címeknél használja a xxx.xxx.xxx.0/24-hez hasonló jelölést.
- Egyetlen IP-cím esetén használja a xxx.xxx.xxx.xxx/32-hez hasonló jelölést.
- Legfeljebb 50 IP-címtartományt adhat meg. Azok a felhasználók, akik ezekről az IP-címekről jelentkeznek be, megkerülik a többtényezős hitelesítést.
Válassza a Mentés lehetőséget.
Ellenőrzési módszerek
A szolgáltatásbeállítások portálon kiválaszthatja a felhasználók számára elérhető ellenőrzési módszereket. Amikor a felhasználók regisztrálják a fiókjukat a Microsoft Entra többtényezős hitelesítéshez, az ön által engedélyezett beállítások közül választják ki az előnyben részesített ellenőrzési módszert. A felhasználói regisztrációs folyamatról a Fiók beállítása többtényezős hitelesítéshez című témakörben talál útmutatást.
A következő ellenőrzési módszerek érhetők el:
Metódus | Leírás |
---|---|
Telefonos hívás | Automatikus hanghívást indít. A felhasználó válaszol a hívásra, és lenyomja a # billentyűt a telefonon a hitelesítéshez. A telefonszám nincs szinkronizálva a helyi Active Directory. |
Telefonra küldött szöveges üzenet | Ellenőrző kódot tartalmazó szöveges üzenetet küld. A rendszer arra kéri a felhasználót, hogy adja meg az ellenőrző kódot a bejelentkezési felületre. Ezt a folyamatot egyirányú SMS-nek nevezzük. A kétirányú SMS azt jelenti, hogy a felhasználónak vissza kell küldenie egy adott kódot. A kétirányú SMS elavult, és 2018. november 14. után nem támogatott. Rendszergazda istratoroknak engedélyeznie kell egy másik módszert azoknak a felhasználóknak, akik korábban kétirányú SMS-t használtak. |
Értesítés mobilalkalmazásban | Leküldéses értesítést küld a felhasználó telefonjára vagy regisztrált eszközére. A felhasználó megtekinti az értesítést, és az Ellenőrzés lehetőséget választja az ellenőrzés befejezéséhez. A Microsoft Authenticator alkalmazás Windows Phone-telefon, Android és iOS rendszeren érhető el. |
Mobilalkalmazásbeli ellenőrző kód vagy hardvertoken | A Microsoft Authenticator alkalmazás 30 másodpercenként létrehoz egy új OATH ellenőrzési kódot. A felhasználó beírja az ellenőrző kódot a bejelentkezési felületre. A Microsoft Authenticator alkalmazás Windows Phone-telefon, Android és iOS rendszeren érhető el. |
További információ: Milyen hitelesítési és ellenőrzési módszerek érhetők el a Microsoft Entra ID-ban?
Ellenőrzési módszerek engedélyezése és letiltása
Az ellenőrzési módszerek engedélyezéséhez vagy letiltásához hajtsa végre a következő lépéseket:
- Jelentkezzen be a Microsoft Entra felügyeleti központba legalább hitelesítési szabályzatként Rendszergazda istratorként.
- Tallózással keresse meg az Identitásfelhasználók elemet>.
- Válassza ki a Felhasználónkénti MFA lehetőséget.
- A lap tetején található Többtényezős hitelesítés csoportban válassza a Szolgáltatásbeállítások lehetőséget.
- A Szolgáltatásbeállítások lapon az Ellenőrzési beállítások területen jelölje be vagy törölje a megfelelő jelölőnégyzeteket.
- Válassza a Mentés lehetőséget.
Többtényezős hitelesítés megjegyzése
A többtényezős hitelesítés megjegyzése funkció lehetővé teszi, hogy a felhasználók egy megadott számú napon keresztül megkerüljék a későbbi ellenőrzéseket, miután sikeresen bejelentkeztek egy eszközre az MFA használatával. A használhatóság növelése és a felhasználó által az adott eszközön végzett MFA-műveletek számának minimalizálása érdekében válasszon legalább 90 napos időtartamot.
Fontos
Ha egy fiók vagy eszköz biztonsága sérül, a megbízható eszközök MFA-jának megjegyzése hatással lehet a biztonságra. Ha egy vállalati fiók sérül, vagy egy megbízható eszköz elveszik vagy ellopják, vissza kell vonnia az MFA-munkameneteket.
A visszavonási művelet minden eszközről visszavonja a megbízható állapotot, és a felhasználónak újra többtényezős hitelesítést kell végrehajtania. Arra is utasíthatja a felhasználókat, hogy visszaállítsák az eredeti MFA-állapotot a saját eszközeiken a többtényezős hitelesítés beállításainak kezelése című szakaszban leírtak szerint.
A funkció működése
A többtényezős hitelesítés megjegyzése funkció állandó cookie-t állít be a böngészőben, amikor a felhasználó a Bejelentkezéskor a Ne kérjen újra X napot lehetőséget. A rendszer nem kéri újra az MFA kérését a böngészőből, amíg a cookie le nem jár. Ha a felhasználó egy másik böngészőt nyit meg ugyanazon az eszközön, vagy törli a cookie-kat, a rendszer ismét kérni fogja, hogy ellenőrizze.
Az X nap kérésének mellőzése lehetőség nem jelenik meg a nem böngészős alkalmazásokban, függetlenül attól, hogy az alkalmazás támogatja-e a modern hitelesítést. Ezek az alkalmazások óránként új hozzáférési jogkivonatokat biztosító frissítési jogkivonatokat használnak. A frissítési jogkivonat ellenőrzésekor a Microsoft Entra-azonosító ellenőrzi, hogy az utolsó többtényezős hitelesítés a megadott számú napon belül történt-e.
A funkció csökkenti a webalkalmazások hitelesítéseinek számát, amelyek általában minden alkalommal kérik. A funkció növelheti a modern hitelesítési ügyfelek hitelesítéseinek számát, amelyek általában 180 naponta kérik a hitelesítést, ha alacsonyabb időtartam van konfigurálva. A feltételes hozzáférési szabályzatokkal kombinálva a hitelesítések számát is növelheti.
Fontos
A többtényezős hitelesítés megjegyzése nem kompatibilis az AD FS bejelentkezési funkciójával, amikor a felhasználók többtényezős hitelesítést végeznek az AD FS-hez az MFA-kiszolgálón vagy egy külső féltől származó többtényezős hitelesítési megoldáson keresztül.
Ha a felhasználók úgy választják , hogy be kell jelentkeznem az AD FS-ben, és az eszközüket is megbízhatóként jelölik meg az MFA-hoz, a rendszer nem ellenőrzi automatikusan a felhasználót, miután a többtényezős hitelesítés napok száma lejár. A Microsoft Entra ID új többtényezős hitelesítést kér, de az AD FS az eredeti MFA-jogcímet és dátumot tartalmazó jogkivonatot ad vissza ahelyett, hogy ismét többtényezős hitelesítést hajtanak végre. Ez a reakció egy ellenőrzési ciklust indít el a Microsoft Entra ID és az AD FS között.
A többtényezős hitelesítés megjegyzése funkció nem kompatibilis a B2B-felhasználókkal, és a B2B-felhasználók nem fognak látni, amikor bejelentkeznek a meghívott bérlőkbe.
A többtényezős hitelesítés megjegyzése funkció nem kompatibilis a bejelentkezési gyakoriság feltételes hozzáférés-vezérlésével. További információ: Hitelesítési munkamenet-kezelés konfigurálása feltételes hozzáféréssel.
Többtényezős hitelesítés megjegyzésének engedélyezése
Ha engedélyezni és konfigurálni szeretné azt a lehetőséget, hogy a felhasználók megjegyezhessék az MFA-állapotukat, és megkerüljék a kéréseket, hajtsa végre az alábbi lépéseket:
- Jelentkezzen be a Microsoft Entra felügyeleti központba legalább hitelesítési szabályzatként Rendszergazda istratorként.
- Tallózással keresse meg az Identitásfelhasználók elemet>.
- Válassza ki a Felhasználónkénti MFA lehetőséget.
- A lap tetején található Többtényezős hitelesítés területen válassza ki a szolgáltatásbeállításokat.
- A szolgáltatásbeállítások lapon, a Többtényezős hitelesítés megjegyzése csoportban válassza a Többtényezős hitelesítés megjegyzésének engedélyezése a felhasználók számára a megbízható eszközökön.
- Adja meg a napok számát, hogy a megbízható eszközök megkerüljék a többtényezős hitelesítéseket. Az optimális felhasználói élmény érdekében hosszabbítsa meg az időtartamot 90 vagy több napra.
- Válassza a Mentés lehetőséget.
Eszköz megjelölése megbízhatóként
Miután engedélyezte a többtényezős hitelesítés megjegyzését, a felhasználók megbízhatóként jelölhetnek meg egy eszközt, amikor bejelentkeznek, a Ne kérdezzen újra lehetőséget választva.
Következő lépések
További információ: Milyen hitelesítési és ellenőrzési módszerek érhetők el a Microsoft Entra ID-ban?