Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
A Microsoft Entra ID számos hitelesítési módszer használatát teszi lehetővé a bejelentkezési forgatókönyvek széles körének támogatásához. Az elérhető lehetőségek áttekintéséért tekintse meg a Microsoft Entra ID hitelesítési módszereit. A rendszergazdák kifejezetten úgy konfigurálhatják az egyes metódusokat, hogy megfeleljenek a felhasználói élmény és a biztonság céljainak. Ez a témakör bemutatja, hogyan kezelheti a Microsoft Entra ID hitelesítési módszereit, és hogyan befolyásolják a konfigurációs beállítások a felhasználói bejelentkezést és a jelszó-visszaállítási forgatókönyveket.
Hitelesítési módszerek szabályzata
A hitelesítési módszerek házirendje a hitelesítési módszerek kezelésének ajánlott módja, beleértve a modern módszereket, például a jelszó nélküli hitelesítést. A hitelesítési házirend rendszergazdái szerkeszthetik ezt a házirendet, hogy minden felhasználó vagy adott csoport hitelesítési módszereit engedélyezhessék.
A hitelesítési módszerek házirendjében engedélyezett metódusok általában bárhol használhatók a Microsoft Entra-azonosítóban, mind a hitelesítési, mind a jelszó-visszaállítási forgatókönyvekhez. Ez alól kivételt képez, hogy egyes metódusok eredendően a hitelesítésre korlátozódnak, például a FIDO2 és a Vállalati Windows Hello, míg mások jelszó-visszaállításra, például biztonsági kérdésekre korlátozódnak. Ha jobban szeretné szabályozni, hogy mely módszerek használhatók egy adott hitelesítési forgatókönyvben, fontolja meg a hitelesítési erősségek funkció használatát.
A legtöbb metódus konfigurációs paraméterekkel is rendelkezik, amelyekkel pontosabban szabályozható a metódus használata. Ha például engedélyezi a hanghívásokat, megadhatja azt is, hogy az office-telefon használható-e a mobiltelefon mellett.
Vagy tegyük fel, hogy engedélyezni szeretné a jelszó nélküli hitelesítést a Microsoft Authenticator használatával. További paramétereket is beállíthat, például megjelenítheti a felhasználó bejelentkezési helyét vagy a bejelentkezett alkalmazás nevét. Ezek a beállítások több kontextust biztosítanak a felhasználók számára bejelentkezéskor, és segítenek megelőzni a véletlen MFA-jóváhagyásokat.
A hitelesítési módszerek házirendjének kezeléséhez jelentkezzen be legalább hitelesítési házirend-rendszergazdaként a Microsoft Entra felügyeleti központba, és keresse meg az Entra-azonosító>hitelesítési módszereire>.
Csak az átszervezett regisztrációs felület ismeri a hitelesítési módszerek szabályzatát. A hitelesítési módszerek szabályzatának hatókörébe tartozó felhasználók, akik nem részei az összevont regisztrációs élménynek, nem fogják látni a megfelelő regisztrációs módszereket.
Örökölt MFA- és SSPR-szabályzatok
A többtényezős hitelesítési beállításokban és a jelszó-visszaállítási beállításokban található két másik szabályzat régi módot biztosít a bérlő összes felhasználójának hitelesítési módszereinek kezelésére. Nem szabályozhatja, hogy ki használ engedélyezett hitelesítési módszert, és hogyan használható a metódus.
Fontos
2023 márciusában bejelentettük, hogy az örökölt többtényezős hitelesítés és az önkiszolgáló jelszó-visszaállítási (SSPR) házirendekben elavult a hitelesítési módszerek kezelése. 2025. szeptember 30-tól a hitelesítési módszerek nem kezelhetők ezekben az örökölt MFA- és SSPR-szabályzatokban. Javasoljuk, hogy az ügyfelek a manuális migrálási vezérlővel migráljanak a hitelesítési módszerek szabályzatára az elavulási dátumig.
Az örökölt MFA-szabályzat kezeléséhez keresse meg az Entra ID>Multifactor-hitelesítést>– Első lépések>További felhőalapú többtényezős hitelesítési beállítások>.
Az önkiszolgáló jelszó-visszaállítás (SSPR) hitelesítési módszereinek kezeléséhez keresse meg az Entra ID>jelszó-visszaállítási>hitelesítési módszereit. A jelen szabályzat Mobiltelefon beállításával hanghívásokat vagy sms-eket küldhet mobiltelefonra. Az Office-telefon beállítás csak hanghívásokat engedélyez.
Hogyan működnek együtt a szabályzatok?
A beállítások nem szinkronizálódnak a szabályzatok között, így a rendszergazdák egymástól függetlenül kezelhetik az egyes szabályzatokat. A Microsoft Entra ID minden szabályzatban figyelembe veszi a beállításokat, így egy olyan felhasználó, aki bármely szabályzatban engedélyezve van a hitelesítési módszerhez, regisztrálhatja és használhatja ezt a módszert. Annak érdekében, hogy a felhasználók ne használjanak metódust, le kell tiltani az összes házirendben.
Tekintsünk át egy példát, amelyben a Könyvelési csoporthoz tartozó felhasználó regisztrálni szeretné a Microsoft Authenticatort. A regisztrációs folyamat először ellenőrzi a hitelesítési módszerek szabályzatát. Ha a Könyvelési csoport engedélyezve van a Microsoft Authenticatorhoz, a felhasználó regisztrálhatja azt.
Ha nem, a regisztrációs folyamat ellenőrzi az örökölt MFA-szabályzatot. Ebben a szabályzatban bármely felhasználó regisztrálhatja a Microsoft Authenticatort, ha az alábbi beállítások valamelyike engedélyezve van az MFA-hoz:
- Értesítés mobilalkalmazáson keresztül
- Ellenőrző kód mobilalkalmazásból vagy hardveres tokenből
Ha a felhasználó egyik szabályzat alapján sem tudja regisztrálni a Microsoft Authenticatort, a regisztrációs folyamat ellenőrzi az örökölt SSPR-szabályzatot. Ebben a szabályzatban a felhasználó akkor is regisztrálhatja a Microsoft Authenticatort, ha a felhasználó engedélyezve van az SSPR-ben, és az alábbi beállítások bármelyike engedélyezve van:
- Mobilalkalmazás-értesítés
- Mobilalkalmazás kódja
Azoknál a felhasználóknál, akiknél a mobiltelefon használata az SSPR-hez engedélyezett, a szabályzatok közötti független szabályozás hatással lehet a bejelentkezési folyamatra. Ahol a többi szabályzat külön lehetőséget kínál a szöveges üzenetek és a hanghívások esetében, az SSPR-hez készült mobiltelefon mindkét lehetőséget lehetővé teszi. Ennek eredményeképpen az SSPR-hez mobiltelefont használó felhasználók hanghívásokat is használhatnak a jelszó-visszaállításhoz, még akkor is, ha a többi szabályzat nem engedélyezi a hanghívásokat.
Hasonlóképpen, tegyük fel, hogy engedélyezi a hanghívásokat egy csoport számára. Az engedélyezés után azt tapasztalja, hogy még azok a felhasználók is bejelentkezhetnek hanghívással, akik nem csoporttagok. Ebben az esetben valószínű, hogy ezek a felhasználók engedélyezve vannak a mobiltelefonra
Migráció irányelvek között
A hitelesítési módszerek házirendje egy migrálási útmutatót biztosít az összes hitelesítési módszer felügyeletének egységesítéséhez. A hitelesítési módszerek házirendjében minden kívánt módszer engedélyezhető, ha a szabályzat a kívánt felhasználói csoportokat vagy az összes felhasználót célozza meg. A hitelesítési módszerek migrálási útmutatója automatizálja az MFA és az SSPR aktuális házirend-beállításainak naplózásának lépéseit, és összevonja őket a hitelesítési módszerek házirendjében. Az útmutatót a Microsoft Entra felügyeleti központból érheti el az Entra ID>Hitelesítési módszerek>házirendjei között.
A szabályzatbeállításokat manuálisan is áttelepítheti. A migráció három beállítást kínál, hogy saját tempójához igazodva haladhasson, és elkerülhesse a bejelentkezéssel vagy az SSPR-rel kapcsolatos problémákat az áttérés során.
A migrálás befejezése után az örökölt MFA- és SSPR-szabályzatokban lévő metódusok le lesznek tiltva. A hitelesítési módszereket egyetlen helyen központosíthatja mind a bejelentkezéshez, mind az SSPR-hez, és a régi MFA- és SSPR-szabályzatok le lesznek tiltva.
Megjegyzés
Biztonsági kérdéseket ma csak az örökölt SSPR-szabályzat használatával lehet engedélyezni. Ha biztonsági kérdéseket használ, és nem szeretné letiltani őket, győződjön meg arról, hogy a régi SSPR-szabályzatban engedélyezve maradnak, amíg nem áll rendelkezésre migrációs vezérlő. A hitelesítési módszerei fennmaradó részét átköltöztetheti, miközben a biztonsági kérdéseket továbbra is az örökölt SSPR-szabályzatban kezelheti.
Az áttelepítési beállítások megtekintéséhez nyissa meg a Hitelesítési módszerek házirendet, és kattintson a Migrálás kezelése gombra.
Az alábbi táblázat az egyes beállításokat ismerteti.
| Lehetőség | Leírás |
|---|---|
| A migrálás előtt | A hitelesítési módszerek házirendje csak a hitelesítéshez használható. Az örökölt házirend-beállításokat a rendszer tiszteletben tartja. |
| Migrálás folyamatban | A hitelesítési módszerek házirendje a hitelesítéshez és az SSPR-hez használatos. Az örökölt házirend-beállításokat a rendszer tiszteletben tartja. |
| Az áttelepítés befejeződött | A hitelesítéshez és az SSPR-hez csak a hitelesítési módszerek házirendje használható. A korábbi szabályzatbeállítások figyelmen kívül lesznek hagyva. |
A bérlők alapértelmezés szerint az áttelepítés előtti vagy a folyamatban lévő áttelepítésre vannak beállítva a bérlő aktuális állapotától függően. Ha elkezdi a migráció előtti szakaszt, bármikor áttérhet bármelyik államra. Ha a migrálás folyamatban van, a folyamatban lévő migrálás és a Befejezett áttelepítés között bármikor továbbléphet, de nem léphet át az áttelepítés előtti állapotba. Ha átvált a Migrálás befejezve állapotra, majd úgy dönt, hogy visszaállít egy korábbi állapotra, megkérdezzük annak okát, hogy értékelhessük a termék teljesítményét.
Megjegyzés
Az összes hitelesítési módszer teljes migrálása után az örökölt SSPR-szabályzat alábbi elemei aktívak maradnak:
- Az alaphelyzetbe állításhoz szükséges módszerek száma: a rendszergazdák továbbra is módosíthatják, hogy hány hitelesítési módszert kell ellenőrizni ahhoz, hogy a felhasználó elvégezhesse az SSPR-t.
- Az SSPR rendszergazdai szabályzata: a rendszergazdák továbbra is regisztrálhatják és használhatják az örökölt SSPR-rendszergazdai szabályzatban felsorolt metódusokat, illetve a hitelesítési módszerek házirendjében engedélyezett metódusokat.
A jövőben mindkét funkció integrálva lesz a hitelesítési módszerek házirendjével.
Ismert problémák és korlátozások
A legutóbbi frissítésekben eltávolítottuk az egyes felhasználók megcélzásának lehetőségét. A korábban megcélzott felhasználók továbbra is a szabályzatban maradnak, de javasoljuk, hogy áthelyezi őket egy célzott csoportba.
A hitelesítési módszer regisztrálása meghiúsulhat, ha a hitelesítési módszerek szabályzata vagy egy regisztrációs kampány számos csoportot tartalmaz. Javasoljuk, hogy minden hitelesítési módszerhez több csoportot egyesítsen egyetlen csoportba. Ha meg szeretné tartani a felhasználók regisztrációját a konszolidálás során, vegye fel az új csoportot, és távolítsa el az aktuális csoportokat ugyanabban a műveletben.
Megjegyzés
Előfordulhat, hogy nem tudja menteni a hitelesítési módszerek házirendjének frissítéseit, ha több csoportot céloz meg, és a szabályzat mérete meghaladja a 20 KB-ot. A korlátozás elkerülése érdekében a lehető legnagyobb mértékben konszolidálja a célcsoportokat.
Használható és nem használható módszerek a felhasználók számára
A rendszergazdák a Microsoft Entra felügyeleti központban tekinthetik meg a felhasználói hitelesítési módszereket. Először a használható módszerek kerülnek felsorolásra, majd az utána következő nem használható módszerek.
Minden hitelesítési módszer különböző okokból nem használható. Előfordulhat például, hogy egy ideiglenes hozzáférési bérlet lejár, vagy egy FIDO2 biztonsági kulcs sikertelen igazolást eredményezhet. A portál frissül, hogy elmagyarázza, miért nem használható a módszer.
Itt is megjelennek azok a hitelesítési módszerek, amelyek a többtényezős hitelesítés ismételt regisztrálása miatt már nem érhetők el.