Milyen hitelesítési és ellenőrzési módszerek érhetők el a Microsoft Entra ID-ben?
A Microsoft olyan jelszó nélküli hitelesítési módszereket javasol, mint a Windows Hello, a Passkeys (FIDO2) és a Microsoft Authenticator alkalmazás, mivel ezek biztosítják a legbiztonságosabb bejelentkezési élményt. Bár a felhasználó más gyakori módszerekkel, például felhasználónévvel és jelszóval is bejelentkezhet, a jelszavakat biztonságosabb hitelesítési módszerekre kell cserélni.
A Microsoft Entra többtényezős hitelesítés egy újabb biztonsági réteget ad hozzá, amely csak jelszó használatával történik, amikor egy felhasználó bejelentkezik. A felhasználó más hitelesítési formákat is kérheti, például leküldéses értesítésekre válaszolhat, kódot írhat be egy szoftverből vagy hardveres jogkivonatból, vagy válaszolhat szöveges üzenetre vagy telefonhívásra.
A felhasználói beszállás egyszerűsítése és az MFA és az önkiszolgáló jelszó-visszaállítás (SSPR) regisztrálása érdekében javasoljuk, hogy engedélyezze a kombinált biztonsági információk regisztrációját. A rugalmasság érdekében javasoljuk, hogy a felhasználók több hitelesítési módszert is regisztráljanak. Ha egy metódus nem érhető el egy felhasználó számára bejelentkezéskor vagy SSPR-ben, dönthet úgy, hogy egy másik módszerrel hitelesít. További információ: Rugalmas hozzáférés-vezérlési felügyeleti stratégia létrehozása a Microsoft Entra ID-ban.
Az egyes hitelesítési módszerek működése
Bizonyos hitelesítési módszerek használhatók elsődleges tényezőként egy alkalmazásba vagy eszközre való bejelentkezéskor, például FIDO2 biztonsági kulcs vagy jelszó használatával. Más hitelesítési módszerek csak másodlagos tényezőként érhetők el, ha a Microsoft Entra többtényezős hitelesítést vagy SSPR-t használ.
Az alábbi táblázat azt ismerteti, hogy mikor használható hitelesítési módszer egy bejelentkezési esemény során:
Metódus | Elsődleges hitelesítés | Másodlagos hitelesítés |
---|---|---|
Vállalati Windows Hello | Igen | MFA1 |
Microsoft Authenticator leküldése | Nem | MFA és SSPR |
A Microsoft Authenticator jelszó nélküli | Igen | Nincs2 |
Microsoft Authenticator hozzáférési kulcs | Igen | MFA |
Authenticator Lite | Nem | MFA |
Hozzáférési kulcs (FIDO2) | Igen | MFA |
Tanúsítványalapú hitelesítés (CBA) | Igen | MFA |
Hardveres OATH-jogkivonatok (előzetes verzió) | Nem | MFA és SSPR |
Szoftveres OATH-jogkivonatok | Nem | MFA és SSPR |
Külső hitelesítési módszerek (előzetes verzió) | Nem | MFA |
Ideiglenes hozzáférési engedély (TAP) | Igen | MFA |
Szöveg | Igen | MFA és SSPR |
Hanghívás | Nem | MFA és SSPR3 |
Jelszó | Igen | Nem |
1A Windows Hello for Business egy lépésenkénti MFA-hitelesítő adatként szolgálhat, ha a FIDO2-hitelesítésben használják. A felhasználókat regisztrálni kell a hozzáférési kulcshoz (FIDO2).
2Jelszó nélküli bejelentkezés csak akkor használható másodlagos hitelesítéshez, ha CBA-t használ az elsődleges hitelesítéshez.
3Alternatív telefonos metódusok csak MFA-hoz használhatók.
Mindezek a hitelesítési módszerek konfigurálhatók a Microsoft Entra felügyeleti központban, és egyre inkább a Microsoft Graph REST API-t használják.
Az egyes hitelesítési módszerek működésével kapcsolatos további információkért tekintse meg az alábbi fogalmi cikkeket:
- Vállalati Windows Hello
- A Microsoft Authenticator alkalmazás
- Authenticator Lite
- Hozzáférési kulcs (FIDO2)
- Tanúsítványalapú hitelesítés
- Hardveres OATH-jogkivonatok (előzetes verzió)
- Szoftveres OATH-jogkivonatok
- Külső hitelesítési módszerek (előzetes verzió)
- Ideiglenes hozzáférési engedély (TAP)
- Rövid üzenetszolgáltatás (SMS) bejelentkezési és ellenőrzési
- Hanghívás ellenőrzése
- Jelszó
Feljegyzés
A Microsoft Entra ID-ban a jelszó gyakran az elsődleges hitelesítési módszerek egyike. A jelszó-hitelesítési módszer nem tiltható le. Ha elsődleges hitelesítési tényezőként jelszót használ, növelje a bejelentkezési események biztonságát a Microsoft Entra többtényezős hitelesítésével.
Ezek a további ellenőrzési módszerek bizonyos esetekben használhatók:
- Alkalmazásjelszavak – olyan régi alkalmazásokhoz használatosak, amelyek nem támogatják a modern hitelesítést, és felhasználónkénti Microsoft Entra többtényezős hitelesítéshez konfigurálhatók.
- Biztonsági kérdések – csak SSPR-hez használatos
- E-mail-cím – csak SSPR-hez használatos
Használható és nem használható módszerek
A rendszergazdák a Microsoft Entra felügyeleti központban tekinthetik meg a felhasználói hitelesítési módszereket. A használható metódusok elsőként a nem használható módszereket sorolják fel.
Minden hitelesítési módszer különböző okokból nem használható. Előfordulhat például, hogy az ideiglenes hozzáférési passz lejár, vagy a FIDO2 biztonsági kulcs sikertelen igazolást eredményezhet. A portál frissül, hogy megadja annak okát, hogy a metódus miért nem használható.
Itt is megjelennek azok a hitelesítési módszerek, amelyek a többtényezős hitelesítés ismételt regisztrálása miatt már nem érhetők el.
Kapcsolódó tartalom
Első lépésként tekintse meg az önkiszolgáló jelszó-visszaállításról (SSPR) és a Microsoft Entra többtényezős hitelesítésről szóló oktatóanyagot.
Az SSPR fogalmaival kapcsolatos további információkért tekintse meg a Microsoft Entra önkiszolgáló jelszó-visszaállítás működését.
Az MFA fogalmaival kapcsolatos további információkért tekintse meg a Microsoft Entra többtényezős hitelesítés működését.
További információ a hitelesítési módszerek Microsoft Graph REST API-val történő konfigurálásáról.
A használatban lévő hitelesítési módszerek áttekintéséhez tekintse meg a Microsoft Entra többtényezős hitelesítési módszerének elemzését a PowerShell-lel.