A Microsoft Entra ID hitelesítési módszereinek kezelése
A Microsoft Entra ID számos hitelesítési módszer használatát teszi lehetővé a bejelentkezési forgatókönyvek széles körének támogatásához. A rendszergazdák kifejezetten úgy konfigurálhatják az egyes metódusokat, hogy megfeleljenek a felhasználói élmény és a biztonság céljainak. Ez a témakör bemutatja, hogyan kezelheti a Microsoft Entra ID hitelesítési módszereit, és hogyan befolyásolják a konfigurációs beállítások a felhasználói bejelentkezést és a jelszó-visszaállítási forgatókönyveket.
Hitelesítési módszerek szabályzata
A hitelesítési módszerek házirendje a hitelesítési módszerek kezelésének ajánlott módja, beleértve a modern módszereket, például a jelszó nélküli hitelesítést. A hitelesítési házirend rendszergazdái szerkeszthetik ezt a házirendet, hogy minden felhasználó vagy adott csoport hitelesítési módszereit engedélyezhessék.
A hitelesítési módszerek házirendjében engedélyezett metódusok általában bárhol használhatók a Microsoft Entra-azonosítóban, mind a hitelesítési, mind a jelszó-visszaállítási forgatókönyvekhez. Ez alól kivételt képez, hogy egyes metódusok eredendően a hitelesítésre korlátozódnak, például a FIDO2 és a Vállalati Windows Hello, míg mások jelszó-visszaállításra, például biztonsági kérdésekre korlátozódnak. Ha jobban szeretné szabályozni, hogy mely módszerek használhatók egy adott hitelesítési forgatókönyvben, fontolja meg a hitelesítési erősségek funkció használatát.
A legtöbb metódus konfigurációs paraméterekkel is rendelkezik, amelyekkel pontosabban szabályozható a metódus használata. Ha például engedélyezi a hanghívásokat, megadhatja azt is, hogy az office-telefon használható-e a mobiltelefon mellett.
Vagy tegyük fel, hogy engedélyezni szeretné a jelszó nélküli hitelesítést a Microsoft Authenticator használatával. További paramétereket is beállíthat, például megjelenítheti a felhasználó bejelentkezési helyét vagy a bejelentkezett alkalmazás nevét. Ezek a beállítások több kontextust biztosítanak a felhasználók számára bejelentkezéskor, és segítenek megelőzni a véletlen MFA-jóváhagyásokat.
A hitelesítési módszerek házirendjének kezeléséhez jelentkezzen be legalább hitelesítési házirend-rendszergazdaként a Microsoft Entra felügyeleti központba, és keresse meg a Védelmi>hitelesítési módszerek házirendjei között.>
Csak az átszervezett regisztrációs felület ismeri a hitelesítési módszerek szabályzatát. A hitelesítési módszerek szabályzatának hatókörébe tartozó felhasználók, de az átszervezett regisztrációs felület nem látják a megfelelő regisztrációs módszereket.
Örökölt MFA- és SSPR-szabályzatok
A többtényezős hitelesítési beállításokban és a jelszó-visszaállítási beállításokban található két másik szabályzat régi módot biztosít a bérlő összes felhasználójának hitelesítési módszereinek kezelésére. Nem szabályozhatja, hogy ki használ engedélyezett hitelesítési módszert, és hogyan használható a metódus.
A szolgáltatás kezeléséhez globális rendszergazdára van szükség.
Fontos
2023 márciusában bejelentettük, hogy az örökölt többtényezős hitelesítés és az önkiszolgáló jelszó-visszaállítási (SSPR) házirendekben elavult a hitelesítési módszerek kezelése. 2025. szeptember 30-tól a hitelesítési módszerek nem kezelhetők ezekben az örökölt MFA- és SSPR-szabályzatokban. Javasoljuk, hogy az ügyfelek a manuális migrálási vezérlővel migráljanak a hitelesítési módszerek szabályzatára az elavulási dátumig.
Az örökölt MFA-szabályzat kezeléséhez válassza a Biztonsági>többtényezős hitelesítés>További felhőalapú többtényezős hitelesítési beállítások lehetőséget.
Az önkiszolgáló jelszó-visszaállítás (SSPR) hitelesítési módszereinek kezeléséhez kattintson a Jelszóátállítási>hitelesítési módszerek lehetőségre. A jelen szabályzat Mobiltelefon beállításával hanghívásokat vagy sms-eket küldhet mobiltelefonra. Az Office-telefon beállítás csak hanghívásokat engedélyez.
Hogyan működnek együtt a szabályzatok?
A beállítások nem szinkronizálódnak a szabályzatok között, így a rendszergazdák egymástól függetlenül kezelhetik az egyes szabályzatokat. A Microsoft Entra ID minden szabályzatban figyelembe veszi a beállításokat, így egy olyan felhasználó, aki bármely szabályzatban engedélyezve van a hitelesítési módszerhez, regisztrálhatja és használhatja ezt a módszert. Annak érdekében, hogy a felhasználók ne használjanak metódust, le kell tiltani az összes házirendben.
Tekintsünk át egy példát, amelyben a Könyvelési csoporthoz tartozó felhasználó regisztrálni szeretné a Microsoft Authenticatort. A regisztrációs folyamat először ellenőrzi a hitelesítési módszerek szabályzatát. Ha a Könyvelési csoport engedélyezve van a Microsoft Authenticatorhoz, a felhasználó regisztrálhatja azt.
Ha nem, a regisztrációs folyamat ellenőrzi az örökölt MFA-szabályzatot. Ebben a szabályzatban bármely felhasználó regisztrálhatja a Microsoft Authenticatort, ha az alábbi beállítások valamelyike engedélyezve van az MFA-hoz:
- Értesítés mobilalkalmazáson keresztül
- Ellenőrző kód mobilalkalmazásból vagy hardveres jogkivonatból
Ha a felhasználó egyik szabályzat alapján sem tudja regisztrálni a Microsoft Authenticatort, a regisztrációs folyamat ellenőrzi az örökölt SSPR-szabályzatot. Ebben a szabályzatban a felhasználó akkor is regisztrálhatja a Microsoft Authenticatort, ha a felhasználó engedélyezve van az SSPR-ben, és az alábbi beállítások bármelyike engedélyezve van:
- Mobilalkalmazás-értesítés
- Mobilalkalmazás kódja
Az SSPR-hez a mobiltelefonhoz engedélyezett felhasználók esetében a szabályzatok közötti független szabályozás hatással lehet a bejelentkezés viselkedésére. Ahol a többi szabályzat külön lehetőséget kínál a szöveges üzenetek és a hanghívások esetében, az SSPR-hez készült mobiltelefon mindkét lehetőséget lehetővé teszi. Ennek eredményeképpen az SSPR-hez mobiltelefont használó felhasználók hanghívásokat is használhatnak a jelszó-visszaállításhoz, még akkor is, ha a többi szabályzat nem engedélyezi a hanghívásokat.
Tegyük fel, hogy egy csoport hanghívásait is engedélyezi. Az engedélyezés után azt tapasztalja, hogy még azok a felhasználók is bejelentkezhetnek hanghívással, akik nem csoporttagok. Ebben az esetben valószínű, hogy ezek a felhasználók engedélyezve vannak a mobiltelefonokhoz az örökölt SSPR-házirendben, vagy a hívás telefonon az örökölt MFA-házirendben.
Migrálás szabályzatok között
A hitelesítési módszerek házirendje egy migrálási útmutatót biztosít az összes hitelesítési módszer felügyeletének egységesítéséhez. A hitelesítési módszerek házirendjében minden kívánt módszer engedélyezhető, ha a szabályzat a kívánt felhasználói csoportokat vagy az összes felhasználót célozza meg. A hitelesítési módszerek migrálási útmutatója automatizálja az MFA és az SSPR aktuális házirend-beállításainak naplózásának lépéseit, és összevonja őket a hitelesítési módszerek házirendjében. Az útmutatót a Microsoft Entra felügyeleti központból érheti el a Védelmi>hitelesítési módszerek>házirendjei között.
A szabályzatbeállításokat manuálisan is áttelepítheti. A migrálás három beállítással teszi lehetővé a saját tempójában való mozgást, és elkerülheti a bejelentkezéssel vagy az SSPR-vel kapcsolatos problémákat az áttűnés során.
A migrálás befejezése után az örökölt MFA- és SSPR-szabályzatokban lévő metódusok le lesznek tiltva. A hitelesítési módszereket egyetlen helyen központosíthatja mind a bejelentkezéshez, mind az SSPR-hez, és a régi MFA- és SSPR-szabályzatok le lesznek tiltva.
Jegyzet
A biztonsági kérdéseket ma csak az örökölt SSPR-szabályzat használatával lehet engedélyezni. Ha biztonsági kérdéseket használ, és nem szeretné letiltani őket, győződjön meg arról, hogy az örökölt SSPR-szabályzatban engedélyezi őket, amíg el nem érhető a migrálási vezérlő. A hitelesítési módszerek fennmaradó részét migrálhatja, és továbbra is kezelheti a biztonsági kérdéseket az örökölt SSPR-szabályzatban.
Az áttelepítési beállítások megtekintéséhez nyissa meg a Hitelesítési módszerek házirendet, és kattintson a Migrálás kezelése gombra.
Az alábbi táblázat az egyes beállításokat ismerteti.
| Opció | Leírás |
|---|---|
| Migrálás előtti | A hitelesítési módszerek házirendje csak a hitelesítéshez használható. Az örökölt házirend-beállításokat a rendszer tiszteletben tartja. |
| Folyamatban lévő migrálás | A hitelesítési módszerek házirendje a hitelesítéshez és az SSPR-hez használatos. Az örökölt házirend-beállításokat a rendszer tiszteletben tartja. |
| Az áttelepítés befejeződött | A hitelesítéshez és az SSPR-hez csak a hitelesítési módszerek házirendje használható. A korábbi szabályzatbeállítások figyelmen kívül lesznek hagyva. |
A bérlők alapértelmezés szerint az áttelepítés előtti vagy a folyamatban lévő áttelepítésre vannak beállítva a bérlő aktuális állapotától függően. Ha a migrálás előtti folyamatba kezd, bármikor áttérhet bármelyik állapotra. Ha a migrálás folyamatban van, bármikor válthat a folyamatban lévő áttelepítés és a Microsoft Complete között, de nem léphet át az áttelepítés előttire. Ha a migrálás befejeződött, majd a korábbi állapotra való visszaállítás mellett dönt, megkérdezzük, hogy miért, hogy értékelhessük a termék teljesítményét.
Jegyzet
Az összes hitelesítési módszer teljes migrálása után az örökölt SSPR-szabályzat alábbi elemei aktívak maradnak:
- Az alaphelyzetbe állításhoz szükséges módszerek száma: a rendszergazdák továbbra is módosíthatják, hogy hány hitelesítési módszert kell ellenőrizni ahhoz, hogy a felhasználó elvégezhesse az SSPR-t.
- Az SSPR rendszergazdai szabályzata: a rendszergazdák továbbra is regisztrálhatják és használhatják az örökölt SSPR-rendszergazdai szabályzatban felsorolt metódusokat, illetve a hitelesítési módszerek házirendjében engedélyezett metódusokat.
A jövőben mindkét funkció integrálva lesz a hitelesítési módszerek házirendjével.
Ismert problémák és korlátozások
- A legutóbbi frissítésekben eltávolítottuk az egyes felhasználók megcélzásának lehetőségét. A korábban megcélzott felhasználók továbbra is a szabályzatban maradnak, de javasoljuk, hogy áthelyezi őket egy célzott csoportba.
- A hitelesítési módszer regisztrálása meghiúsulhat, ha a hitelesítési módszerek szabályzata vagy egy regisztrációs kampány számos csoportot tartalmaz. Javasoljuk, hogy minden hitelesítési módszerhez több csoportot egyesítsen egyetlen csoportba. Ha meg szeretné tartani a felhasználók regisztrációját a konszolidálás során, vegye fel az új csoportot, és távolítsa el az aktuális csoportokat ugyanabban a műveletben.