A Microsoft Entra ID hitelesítési módszereinek kezelése
A Microsoft Entra ID számos hitelesítési módszer használatát teszi lehetővé a bejelentkezési forgatókönyvek széles körének támogatásához. Rendszergazda istratorok kifejezetten úgy konfigurálhatják az egyes metódusokat, hogy megfeleljenek a felhasználói élményre és a biztonságra vonatkozó céljaiknak. Ez a témakör bemutatja, hogyan kezelheti a Microsoft Entra ID hitelesítési módszereit, és hogyan befolyásolják a konfigurációs beállítások a felhasználói bejelentkezést és a jelszó-visszaállítási forgatókönyveket.
Hitelesítési módszerek szabályzata
A hitelesítési módszerek házirendje a hitelesítési módszerek kezelésének ajánlott módja, beleértve a modern módszereket, például a jelszó nélküli hitelesítést. A hitelesítési házirend Rendszergazda istratorok szerkeszthetik ezt a házirendet, hogy minden felhasználó vagy adott csoport hitelesítési módszereit engedélyezhessék.
A hitelesítési módszerek házirendjében engedélyezett metódusok általában bárhol használhatók a Microsoft Entra-azonosítóban, mind a hitelesítési, mind a jelszó-visszaállítási forgatókönyvekhez. Ez alól kivételt képez, hogy egyes metódusok eredendően a hitelesítésre korlátozódnak, például a FIDO2 és a Vállalati Windows Hello, míg mások jelszó-visszaállításra, például biztonsági kérdésekre korlátozódnak. Ha jobban szeretné szabályozni, hogy mely módszerek használhatók egy adott hitelesítési forgatókönyvben, fontolja meg a hitelesítési erősségek funkció használatát.
A legtöbb metódus konfigurációs paraméterekkel is rendelkezik, amelyekkel pontosabban szabályozható a metódus használata. Ha például engedélyezi a hanghívásokat, megadhatja azt is, hogy az office-telefon használható-e a mobiltelefon mellett.
Vagy tegyük fel, hogy engedélyezni szeretné a jelszó nélküli hitelesítést a Microsoft Authenticator használatával. További paramétereket is beállíthat, például megjelenítheti a felhasználó bejelentkezési helyét vagy a bejelentkezett alkalmazás nevét. Ezek a beállítások több kontextust biztosítanak a felhasználók számára bejelentkezéskor, és segítenek megelőzni a véletlen MFA-jóváhagyásokat.
A hitelesítési módszerek házirendjének kezeléséhez jelentkezzen be a Microsoft Entra felügyeleti központba legalább hitelesítési házirendként Rendszergazda istratorként, és keresse meg a Védelmi>hitelesítési módszerek>házirendjei között.
Csak az átszervezett regisztrációs felület ismeri a hitelesítési módszerek szabályzatát. A hitelesítési módszerek szabályzatának hatókörébe tartozó felhasználók, de az átszervezett regisztrációs felület nem látják a megfelelő regisztrációs módszereket.
Örökölt MFA- és SSPR-szabályzatok
A többtényezős hitelesítési beállításokban és a jelszó-visszaállítási beállításokban található két másik szabályzat régi módot biztosít a bérlő összes felhasználójának hitelesítési módszereinek kezelésére. Nem szabályozhatja, hogy ki használ engedélyezett hitelesítési módszert, és hogyan használható a metódus. A szabályzatok kezeléséhez globális Rendszergazda istratorra van szükség.
Fontos
2023 márciusában bejelentettük, hogy az örökölt többtényezős hitelesítés és az önkiszolgáló jelszó-visszaállítási (SSPR) házirendekben elavult a hitelesítési módszerek kezelése. 2025. szeptember 30-tól a hitelesítési módszerek nem kezelhetők ezekben az örökölt MFA- és SSPR-szabályzatokban. Javasoljuk, hogy az ügyfelek a manuális migrálási vezérlővel migráljanak a hitelesítési módszerek szabályzatára az elavulási dátumig.
Az örökölt MFA-szabályzat kezeléséhez válassza a Biztonsági>többtényezős hitelesítés>További felhőalapú többtényezős hitelesítési beállítások lehetőséget.
Az önkiszolgáló jelszó-visszaállítás (SSPR) hitelesítési módszereinek kezeléséhez kattintson a Jelszóátállítási>hitelesítési módszerek lehetőségre. A jelen szabályzat Mobiltelefon beállításával hanghívásokat vagy sms-eket küldhet mobiltelefonra. Az Office-telefon beállítás csak hanghívásokat engedélyez.
Hogyan működnek együtt a szabályzatok?
Gépház nincsenek szinkronizálva a szabályzatok között, így a rendszergazdák egymástól függetlenül kezelhetik az egyes szabályzatokat. A Microsoft Entra ID minden szabályzatban figyelembe veszi a beállításokat, így egy olyan felhasználó, aki bármely szabályzatban engedélyezve van a hitelesítési módszerhez, regisztrálhatja és használhatja ezt a módszert. Annak érdekében, hogy a felhasználók ne használjanak metódust, le kell tiltani az összes házirendben.
Tekintsünk át egy példát, amelyben a Könyvelési csoporthoz tartozó felhasználó regisztrálni szeretné a Microsoft Authenticatort. A regisztrációs folyamat először ellenőrzi a hitelesítési módszerek szabályzatát. Ha a Könyvelési csoport engedélyezve van a Microsoft Authenticatorhoz, a felhasználó regisztrálhatja azt.
Ha nem, a regisztrációs folyamat ellenőrzi az örökölt MFA-szabályzatot. Ebben a szabályzatban bármely felhasználó regisztrálhatja a Microsoft Authenticatort, ha az alábbi beállítások valamelyike engedélyezve van az MFA-hoz:
- Értesítés mobilalkalmazáson keresztül
- Ellenőrző kód mobilalkalmazásból vagy hardveres jogkivonatból
Ha a felhasználó egyik szabályzat alapján sem tudja regisztrálni a Microsoft Authenticatort, a regisztrációs folyamat ellenőrzi az örökölt SSPR-szabályzatot. Ebben a szabályzatban a felhasználó akkor is regisztrálhatja a Microsoft Authenticatort, ha a felhasználó engedélyezve van az SSPR-ben, és az alábbi beállítások bármelyike engedélyezve van:
- Mobilalkalmazás-értesítés
- Mobilalkalmazás kódja
Az SSPR-hez a mobiltelefonhoz engedélyezett felhasználók esetében a szabályzatok közötti független szabályozás hatással lehet a bejelentkezés viselkedésére. Ahol a többi szabályzat külön lehetőséget kínál a szöveges üzenetek és a hanghívások esetében, az SSPR-hez készült mobiltelefon mindkét lehetőséget lehetővé teszi. Ennek eredményeképpen az SSPR-hez mobiltelefont használó felhasználók hanghívásokat is használhatnak a jelszó-visszaállításhoz, még akkor is, ha a többi szabályzat nem engedélyezi a hanghívásokat.
Tegyük fel, hogy egy csoport hanghívásait is engedélyezi. Az engedélyezés után azt tapasztalja, hogy még azok a felhasználók is bejelentkezhetnek hanghívással, akik nem csoporttagok. Ebben az esetben valószínű, hogy ezek a felhasználók engedélyezve vannak a mobiltelefonokhoz az örökölt SSPR-házirendben, vagy a hívás telefonon az örökölt MFA-házirendben.
Migrálás szabályzatok között
A hitelesítési módszerekre vonatkozó szabályzat migrálási útvonalat biztosít az összes hitelesítési módszer egységes felügyeletéhez. A hitelesítési módszerek házirendjében minden kívánt metódus engedélyezhető, feltéve, hogy az egyes hitelesítési módszerek házirendjeihez szükséges felhasználói csoportokat definiálta (kivéve, ha az a Minden felhasználóra vonatkozik). A felhasználói csoportok felügyeleti tevékenysége után az örökölt MFA- és SSPR-szabályzatokban lévő metódusok le lesznek tiltva. A migrálás három beállítással teszi lehetővé a saját tempójában való mozgást, és elkerülheti a bejelentkezéssel vagy az SSPR-vel kapcsolatos problémákat az átállás során. A migrálás befejezése után központosítani fogja a bejelentkezési és az SSPR hitelesítési módszereinek vezérlését egyetlen helyen, és az örökölt MFA- és SSPR-szabályzatok le lesznek tiltva.
Feljegyzés
A biztonsági kérdéseket ma csak az örökölt SSPR-szabályzat használatával lehet engedélyezni. A jövőben elérhetővé válik a hitelesítési módszerek házirendjében. Ha biztonsági kérdéseket használ, és nem szeretné letiltani őket, győződjön meg arról, hogy az örökölt SSPR-szabályzatban engedélyezi őket, amíg az új vezérlő a jövőben el nem érhető. A hitelesítési módszerek fennmaradó részét migrálhatja, és továbbra is kezelheti a biztonsági kérdéseket az örökölt SSPR-szabályzatban.
Az áttelepítési beállítások megtekintéséhez nyissa meg a Hitelesítési módszerek házirendet, és kattintson a Migrálás kezelése gombra.
Az alábbi táblázat az egyes beállításokat ismerteti.
| Lehetőség | Leírás |
|---|---|
| A migrálás előtt | A hitelesítési módszerek házirendje csak a hitelesítéshez használható. Az örökölt házirend-beállításokat a rendszer tiszteletben tartja. |
| Migrálás folyamatban | A hitelesítési módszerek házirendje a hitelesítéshez és az SSPR-hez használatos. Az örökölt házirend-beállításokat a rendszer tiszteletben tartja. |
| Az áttelepítés befejeződött | A hitelesítéshez és az SSPR-hez csak a hitelesítési módszerek házirendje használható. A korábbi szabályzatbeállítások figyelmen kívül lesznek hagyva. |
A bérlők alapértelmezés szerint az áttelepítés előtti vagy a folyamatban lévő áttelepítésre vannak beállítva a bérlő aktuális állapotától függően. Ha a migrálás előtti folyamatba kezd, bármikor áttérhet bármelyik állapotra. Ha a migrálás folyamatban van, bármikor válthat a folyamatban lévő áttelepítés és a Microsoft Complete között, de nem léphet át az áttelepítés előttire. Ha a migrálás befejeződött, majd a korábbi állapotra való visszaállítás mellett dönt, megkérdezzük, hogy miért, hogy értékelhessük a termék teljesítményét.
Feljegyzés
Az összes hitelesítési módszer teljes migrálása után az örökölt SSPR-szabályzat alábbi elemei aktívak maradnak:
- Az alaphelyzetbe állításhoz szükséges módszerek száma: a rendszergazdák továbbra is módosíthatják, hogy hány hitelesítési módszert kell ellenőrizni ahhoz, hogy a felhasználó elvégezhesse az SSPR-t.
- Az SSPR rendszergazdai szabályzata: a rendszergazdák továbbra is regisztrálhatják és használhatják az örökölt SSPR-rendszergazdai szabályzatban felsorolt metódusokat, illetve a hitelesítési módszerek házirendjében engedélyezett metódusokat.
A jövőben mindkét funkció integrálva lesz a hitelesítési módszerek házirendjével.
Ismert problémák és korlátozások
- A legutóbbi frissítésekben eltávolítottuk az egyes felhasználók megcélzásának lehetőségét. A korábban megcélzott felhasználók továbbra is a szabályzatban maradnak, de javasoljuk, hogy áthelyezik őket egy célzott csoportba.
- A FIDO2 biztonsági kulcsok regisztrálása egyes felhasználók esetében meghiúsulhat, ha a FIDO2 hitelesítési módszer házirendje egy csoportra van megcélzva, és a teljes hitelesítési metódusszabályzat több mint 20 csoportot konfigurált. Dolgozunk a szabályzat méretkorlátjának növelésén, és addig is javasoljuk, hogy a csoportcélok számát legfeljebb 20-ra korlátozzák.