A Microsoft Entra kombinált biztonsági információ-regisztrációjának áttekintése

  • Cikk

A kombinált regisztráció előtt a felhasználók külön regisztrálták a Microsoft Entra többtényezős hitelesítés és az önkiszolgáló jelszó-visszaállítás (SSPR) hitelesítési módszereit. Kapcsolatok összekeverték, hogy hasonló módszereket használtak a többtényezős hitelesítéshez és az SSPR-hez, de mindkét funkcióra regisztrálniuk kellett. Mostantól a kombinált regisztrációval a felhasználók egyszer regisztrálhatnak, és élvezhetik a többtényezős hitelesítés és az SSPR előnyeit is. Ezt a videót az SSPR engedélyezéséről és konfigurálásáról ajánljuk a Microsoft Entra ID-ban.

Saját fiók, amelyen egy felhasználó regisztrált biztonsági adatai láthatók

Az új felület engedélyezése előtt tekintse át ezt a rendszergazdai dokumentációt és a felhasználóközpontú dokumentációt, hogy biztosan megértse a funkció funkcióit és hatását. A betanítás alapja a felhasználói dokumentáció , amely felkészíti a felhasználókat az új felületre, és segít a sikeres bevezetés biztosításában.

A Microsoft Entra ID kombinált biztonsági információk regisztrálása az Azure US Government számára érhető el, a 21Vianet által üzemeltetett Microsoft Azure-ra azonban nem.

A Saját fiók lapokat a laphoz hozzáférő számítógép nyelvi beállításai alapján honosítjuk. A Microsoft a böngésző gyorsítótárában a legújabb nyelvet tárolja, így a lapok elérésére tett későbbi kísérletek továbbra is az utolsó használt nyelven jelennek meg. Ha törli a gyorsítótárat, a lapok újra renderelnek.

Ha egy adott nyelvet szeretne kényszeríteni, hozzáadhatja ?lng=<language> az URL-cím végéhez, ahol <language> a megjeleníteni kívánt nyelv kódja található.

SSPR vagy egyéb biztonsági ellenőrzési módszerek beállítása

Kombinált regisztrációban elérhető módszerek

A kombinált regisztráció az alábbi táblázatban szereplő hitelesítési módszereket és műveleteket támogatja.

Metódus Regisztráció Visszajáró Törlés
Microsoft Authenticator Igen (legfeljebb 5) Nem Igen
Egyéb hitelesítő alkalmazás Igen (legfeljebb 5) Nem Igen
Hardveres jogkivonat Nem Nem Igen
Telefonszám Igen Igen Igen
Alternatív telefon Igen Igen Igen
Office-telefon* Igen Igen Igen
E-mail Igen Igen Igen
Biztonsági kérdések Igen Nem Igen
Jelszavak Nem Igen Nem
Alkalmazásjelszavak* Igen Nem Igen
Hozzáférési kulcs (FIDO2)* Igen Nem Igen

Feljegyzés

Ha engedélyezi a Microsoft Authenticatort a jelszó nélküli hitelesítési módhoz a hitelesítési módszerek házirendjében, a felhasználóknak engedélyeznie kell a jelszó nélküli bejelentkezést is az Authenticator alkalmazásban.

Alternatív telefon csak Felügyelet módbanhttps://aka.ms/mysecurityinfo regisztrálható, és a hanghívások engedélyezését a hitelesítési módszerek házirendjében kell engedélyezni.

Az Office-telefon csak megszakítás módban regisztrálható, ha a felhasználók Vállalati telefon tulajdonsága be van állítva. Az Office-telefonokat a felhasználók felügyelt módbanhttps://aka.ms/mysecurityinfo is hozzáadhatják a követelmény nélkül.

Az alkalmazásjelszavak csak a felhasználónkénti MFA-ra kényszerített felhasználók számára érhetők el. Az alkalmazásjelszavak nem érhetők el azoknak a felhasználóknak, akik feltételes hozzáférési szabályzattal engedélyezték a Microsoft Entra többtényezős hitelesítését.

A hozzáférési kulcs (FIDO2) csak Kezelés módban adható hozzá a következőnhttps://aka.ms/mysecurityinfo: .

A felhasználók az alábbi beállítások egyikét állíthatják be alapértelmezett többtényezős hitelesítési módszerként.

  • Microsoft Authenticator – leküldéses értesítés vagy jelszó nélküli
  • Hitelesítő alkalmazás vagy hardverjogkivonat – kód
  • Telefon hívás
  • Szöveges üzenet

Feljegyzés

A virtuális telefonszámok nem támogatottak hanghívásokhoz vagy SMS-üzenetekhez.

A külső hitelesítő alkalmazások nem biztosítanak leküldéses értesítést. Mivel továbbra is további hitelesítési módszereket adunk hozzá a Microsoft Entra-azonosítóhoz, ezek a metódusok a kombinált regisztrációban válnak elérhetővé.

Kombinált regisztrációs módok

A kombinált regisztrációnak két módja van: megszakítás és kezelés.

  • A megszakítási mód egy varázslóhoz hasonló felület, amelyet a felhasználók a bejelentkezéskor regisztrálhatnak vagy frissíthetnek a biztonsági adataikon.
  • A kezelési mód a felhasználói profil része, és lehetővé teszi a felhasználók számára a biztonsági adatok kezelését.

Mindkét mód esetében a Microsoft Entra többtényezős hitelesítéshez használható módszert korábban regisztráló felhasználóknak többtényezős hitelesítést kell végrehajtaniuk, mielőtt hozzáférnének a biztonsági adataikhoz. A felhasználóknak meg kell erősíteniük az adataikat, mielőtt folytatják a korábban regisztrált módszereiket.

Megszakítás mód

A kombinált regisztráció a többtényezős hitelesítést és az SSPR-szabályzatokat is követi, ha mindkettő engedélyezve van a bérlő számára. Ezek a szabályzatok szabályozzák, hogy egy felhasználó a bejelentkezés során megszakítja-e a regisztrációt, és hogy mely módszerek érhetők el a regisztrációhoz. Ha csak egy SSPR-szabályzat van engedélyezve, akkor a felhasználók (határozatlan időre) kihagyhatják a regisztráció megszakítását, és később befejezhetik azt.

Az alábbiakban példaforgatókönyveket talál, amelyekben előfordulhat, hogy a felhasználók a biztonsági adataik regisztrálására vagy frissítésére kérik a felhasználókat:

  • Többtényezős hitelesítés regisztrációja kényszerítve az Identity Protectionen keresztül: A felhasználókat a bejelentkezés során kell regisztrálni. Többtényezős hitelesítési módszereket és SSPR-metódusokat regisztrálnak (ha a felhasználó engedélyezve van az SSPR-ben).
  • felhasználónkénti többtényezős hitelesítéssel kikényszerített többtényezős hitelesítés regisztrációja: A felhasználókat a bejelentkezés során kell regisztrálni. Többtényezős hitelesítési módszereket és SSPR-metódusokat regisztrálnak (ha a felhasználó engedélyezve van az SSPR-ben).
  • többtényezős hitelesítés regisztrációja feltételes hozzáféréssel vagy más szabályzatokkal kényszerítve: A rendszer arra kéri a felhasználókat, hogy regisztráljanak, amikor többtényezős hitelesítést igénylő erőforrást használnak. Többtényezős hitelesítési módszereket és SSPR-metódusokat regisztrálnak (ha a felhasználó engedélyezve van az SSPR-ben).
  • SSPR-regisztráció kényszerítve: A felhasználókat a bejelentkezés során kell regisztrálni. Csak SSPR-metódusokat regisztrálnak.
  • SSPR-frissítés kényszerítve: A felhasználóknak a rendszergazda által megadott időközönként ellenőrizniük kell a biztonsági adataikat. A felhasználók megjelennek az adataikban, és megerősíthetik az aktuális információkat, vagy szükség esetén módosításokat végezhetnek.

A regisztráció kényszerítésekor a felhasználók a többtényezős hitelesítéshez és az SSPR-szabályzatoknak való megfeleléshez szükséges minimális számú metódust jelenítik meg a legtöbbtől a legkevésbé biztonságosig. Azok a felhasználók, amelyek kombinált regisztráción mennek keresztül, ahol az MFA és az SSPR regisztrációja is kötelező, és az SSPR-szabályzathoz először két módszerre lesz szükség az MFA-metódus elsőként való regisztrálásához, és másik MFA- vagy SSPR-specifikus metódust választhat második regisztrált módszerként (pl. e-mail, biztonsági kérdések stb.)

Fontolja meg a következő példaforgatókönyvet:

  • A felhasználó engedélyezve van az SSPR-hez. Az SSPR-szabályzat két módszert igényel az alaphelyzetbe állításhoz, és engedélyezte a Microsoft Authenticator alkalmazást, az e-maileket és a telefont.
  • Amikor a felhasználó úgy dönt, hogy regisztrál, két módszer szükséges:
    • A felhasználó alapértelmezés szerint a Microsoft Authenticator alkalmazást és a telefont jeleníti meg.
    • A felhasználó dönthet úgy, hogy az Authenticator alkalmazás vagy telefon helyett e-maileket regisztrál.

A Microsoft Authenticator beállításakor a felhasználó rákattinthat egy másik metódus beállítására más hitelesítési módszerek regisztrálásához. Az elérhető metódusok listáját a bérlő hitelesítési metódusszabályzata határozza meg. 

Képernyőkép arról, hogyan választhat másik metódust a Microsoft Authenticator beállításakor.

A következő folyamatábra azt ismerteti, hogy mely metódusok jelennek meg a felhasználónak, amikor a bejelentkezés során megszakad a regisztráció:

Kombinált biztonsági információs folyamatábra

Ha a többtényezős hitelesítés és az SSPR is engedélyezve van, javasoljuk, hogy kényszerítse ki a többtényezős hitelesítés regisztrációját.

Ha az SSPR-szabályzat megköveteli a felhasználóktól, hogy rendszeres időközönként tekintsenek át biztonsági adataikat, a felhasználók a bejelentkezés során megszakadnak, és megjelenítik az összes regisztrált metódusukat. Megerősíthetik az aktuális információkat, ha naprakészek, vagy szükség esetén módosításokat hajthatnak végre. A lap eléréséhez a felhasználóknak többtényezős hitelesítést kell végrehajtaniuk.

Kezelési mód

A felhasználók a Biztonsági adatok vagy a Saját fiók biztonsági adatai lehetőséget választva férhetnek hozzá a kezelési módhoz. Innen a felhasználók hozzáadhatnak metódusokat, törölhetik vagy módosíthatják a meglévő metódusokat, módosíthatják az alapértelmezett metódust stb.

Főbb használati forgatókönyvek

Jelszó módosítása a MySignInsben

A felhasználó a Biztonsági adatokra navigál. Bejelentkezés után a felhasználó módosíthatja a jelszavát. Ha a felhasználó jelszóval és többtényezős hitelesítési módszerrel hitelesít, a továbbfejlesztett felhasználói felület használatával a meglévő jelszó megadása nélkül módosíthatja a jelszavát. Ha elkészült, a felhasználó az új jelszót a Biztonsági adatok lapon frissítette. Az olyan hitelesítési módszerek, mint az ideiglenes hozzáférési engedély (TAP) csak akkor támogatottak a jelszómódosításhoz, ha a felhasználó ismeri a meglévő jelszavát.

Biztonsági adatok regisztrálásának védelme feltételes hozzáféréssel

Annak érdekében, hogy a felhasználók mikor és hogyan regisztráljanak a Microsoft Entra többtényezős hitelesítésre és az önkiszolgáló jelszó-visszaállításra, felhasználói műveleteket használhat a feltételes hozzáférési szabályzatban. Ez a funkció engedélyezhető olyan szervezetekben, amelyek azt szeretnék, hogy a felhasználók regisztráljanak a Microsoft Entra többtényezős hitelesítésére és az SSPR-re egy központi helyről, például egy megbízható hálózati helyről a HR-előkészítés során. További információ arról, hogyan konfigurálhat általános feltételes hozzáférési szabályzatokat a biztonsági adatok regisztrációjának biztonságossá tételéhez.

Biztonsági adatok beállítása bejelentkezéskor

A rendszergazda kényszerítette a regisztrációt.

Egy felhasználó nem állította be az összes szükséges biztonsági információt, és a Microsoft Entra felügyeleti központjába lép. Miután a felhasználó megadta a felhasználónevet és a jelszót, a rendszer kérni fogja, hogy állítsa be a biztonsági adatokat. A felhasználó ezután a varázsló lépéseit követve állítja be a szükséges biztonsági adatokat. Ha a beállítások engedélyezik, a felhasználó dönthet úgy, hogy az alapértelmezés szerint megjelenített módszereken kívül más módszereket is beállít. Miután a felhasználók befejezték a varázslót, áttekintik az általuk beállított metódusokat és a többtényezős hitelesítés alapértelmezett metódusát. A beállítási folyamat befejezéséhez a felhasználó megerősíti az adatokat, és továbbra is a Microsoft Entra felügyeleti központban folytatja.

Biztonsági adatok beállítása a Saját fiókból

A rendszergazda nem kényszerítette a regisztrációt.

A felhasználó, aki még nem állította be az összes szükséges biztonsági információt, a következőre https://myaccount.microsoft.comkerül: . A felhasználó a bal oldali panelen a Biztonsági adatok lehetőséget választja. Innen a felhasználó úgy dönt, hogy hozzáad egy metódust, kiválasztja az elérhető metódusokat, és követi a metódus beállításának lépéseit. Ha végzett, a felhasználó a Biztonsági adatok lapon beállított metódust látja.

Egyéb metódusok beállítása részleges regisztráció után

Ha egy felhasználó a felhasználó vagy a rendszergazda által végrehajtott meglévő hitelesítési módszerregisztrációk miatt részben elégedett az MFA- vagy SSPR-regisztrációval, a rendszer csak akkor kéri fel a felhasználókat, hogy regisztráljanak a hitelesítési módszerek házirendbeállításai által engedélyezett további információkat, ha a regisztráció szükséges. Ha egynél több hitelesítési módszer érhető el a felhasználó számára a választáshoz és a regisztrációhoz, megjelenik egy lehetőség a regisztrációs felületen, amely egy másik módszert kíván beállítani, és lehetővé teszi a felhasználó számára a kívánt hitelesítési módszer beállítását.

Képernyőkép egy másik metódus beállításáról.

Biztonsági adatok törlése a Saját fiókból

Az a felhasználó, aki korábban beállított legalább egy metódust, a következőre https://aka.ms/mysecurityinfonavigál. A felhasználó úgy dönt, hogy törli az egyik korábban regisztrált metódust. Ha végzett, a felhasználó többé nem látja ezt a metódust a Biztonsági adatok lapon.

Az alapértelmezett metódus módosítása a Saját fiókról

Az a felhasználó, aki korábban beállított legalább egy, többtényezős hitelesítéshez használható metódust, a következőre https://aka.ms/mysecurityinfonavigál. A felhasználó az aktuális alapértelmezett metódust egy másik alapértelmezett metódusra módosítja. Ha elkészült, a felhasználó az új alapértelmezett metódust látja a Biztonsági adatok lapon.

Címtár váltása

Előfordulhat, hogy egy külső identitásnak, például egy B2B-felhasználónak át kell váltania a címtárat a külső bérlő biztonsági regisztrációs adatainak módosításához. Emellett az erőforrás-bérlőhöz hozzáférő felhasználók összezavarodhatnak, amikor módosítják az otthoni bérlő beállításait, de nem látják az erőforrás-bérlőben megjelenő módosításokat.

Egy felhasználó például a Microsoft Authenticator alkalmazás leküldéses értesítését állítja be elsődleges hitelesítésként az otthoni bérlőbe való bejelentkezéshez, és egy másik lehetőségként SMS/Text is használható. Ez a felhasználó az SMS/Text beállítással is konfigurálva van egy erőforrás-bérlőn. Ha ez a felhasználó eltávolítja az SMS-t/szöveget az otthoni bérlő egyik hitelesítési lehetőségeként, akkor összezavarodnak, amikor az erőforrás-bérlőhöz való hozzáférés arra kéri őket, hogy válaszoljanak az SMS-ekre/sms-üzenetekre.

Ha a Microsoft Entra Felügyeleti központban szeretné váltani a címtárat, kattintson a jobb felső sarokban lévő felhasználónévre, és kattintson a Címtár váltása parancsra.

A külső felhasználók könyvtárat válthatnak.

Vagy megadhat egy bérlőt URL-cím alapján a biztonsági információk eléréséhez.

https://mysignins.microsoft.com/security-info?tenant=<Tenant Name>

https://mysignins.microsoft.com/security-info/?tenantId=<Tenant ID>

Feljegyzés

Azoknak az ügyfeleknek, akik kombinált regisztrációval vagy a Bejelentkezések lapon próbálnak biztonsági adatokat regisztrálni vagy kezelni, egy modern böngészőt kell használniuk, például a Microsoft Edge-t.

Az IE11 hivatalosan nem támogatott a webnézetek vagy böngészők alkalmazásokban való létrehozásához, mivel az nem minden esetben a várt módon működik.

Azok az alkalmazások, amelyek nem frissültek, és továbbra is az örökölt webnézetekre támaszkodó Azure AD Authentication Libraryt (ADAL) használják, az IE régebbi verzióira is visszaeshetnek. Ezekben az esetekben a felhasználók egy üres lapot fognak tapasztalni, amikor a Saját bejelentkezési lapra irányítják. A probléma megoldásához váltson modern böngészőre.

Következő lépések

Első lépésként tekintse meg az önkiszolgáló jelszó-visszaállítás engedélyezésére és a Microsoft Entra többtényezős hitelesítés engedélyezésére vonatkozó oktatóanyagokat.

Megtudhatja, hogyan engedélyezheti a kombinált regisztrációt a bérlőben , vagy hogyan kényszerítheti a felhasználókat a hitelesítési módszerek újbóli regisztrálására.

A Microsoft Entra többtényezős hitelesítéshez és az SSPR-hez elérhető módszereket is áttekintheti.