Többtényezős hitelesítési módok konfigurálása
Ahogy a modul korábbi részében is említettük, javasoljuk, hogy a felhasználók több hitelesítési módszert is válasszanak, ha az elsődleges módszerük nem érhető el.
Amikor egy felhasználó első alkalommal jelentkezik be az MFA-t igénylő szolgáltatásba, a rendszer kérnie kell, hogy regisztrálja az előnyben részesített többtényezős hitelesítési módszert az alábbi képernyőképen látható módon:
Tipp.
Ha követte az előző gyakorlatot, és bekapcsolta az MFA-t egy fiókhoz és alkalmazáshoz, megpróbálhatja elérni az alkalmazást az adott felhasználói fiókkal. Az előző folyamatnak kell megjelennie.
A regisztrációt követően minden alkalommal, amikor a felhasználók MFA-t igénylő szolgáltatásba vagy alkalmazásba jelentkeznek be, az Azure bejelentkezési folyamata kéri a hitelesítési információkat az alábbi képen látható módon:
Az Azure hitelesítési módszerei
Ahogy korábban láthatta, a rendszergazdák számos lehetséges hitelesítési módszert állíthatnak be. Ezek közül néhány támogatja az önkiszolgáló jelszóátállítást (SSPR), amely lehetővé teszi a felhasználók számára a jelszó visszaállítását egy másodlagos hitelesítési forma biztosításával. Ezt a szolgáltatást összekapcsolhatja a Microsoft Entra többtényezős hitelesítéssel, hogy megkönnyítse az informatikai személyzet terheit.
A következő táblázatban láthatók a hitelesítési módszerek, valamint azok szolgáltatások, amelyek ezeket használhatják.
Authentication method | Szolgáltatások |
---|---|
Jelszó | Microsoft Entra többtényezős hitelesítés és SSPR |
Biztonsági kérdések | SSPR |
E-mail-cím | SSPR |
Vállalati Windows Hello | Microsoft Entra többtényezős hitelesítés és SSPR |
FIDO2 biztonsági kulcs | Microsoft Entra többtényezős hitelesítés és SSPR |
A Microsoft Authenticator alkalmazás | Microsoft Entra többtényezős hitelesítés és SSPR |
OATH hardveres jogkivonat | Microsoft Entra többtényezős hitelesítés és SSPR |
OATH szoftverjogkivonat | Microsoft Entra többtényezős hitelesítés és SSPR |
Szöveges üzenet | Microsoft Entra többtényezős hitelesítés és SSPR |
Hanghívás | Microsoft Entra többtényezős hitelesítés és SSPR |
Alkalmazásjelszavak. | Microsoft Entra többtényezős hitelesítés bizonyos esetekben |
Jelszó
Ez a módszer az egyetlen, amelyet nem lehet letiltani.
Security questions
Ez a módszer csak az önkiszolgáló jelszóátállítást használó nemminisztratív fiókokhoz érhető el.
Az Azure privát módon, biztonságosan tárolja a biztonsági kérdéseket a címtár egyik felhasználói objektumában. Csak a felhasználók válaszolhatnak a kérdésekre, és csak a regisztráció során. A rendszergazda nem tudja elolvasni vagy módosítani egy felhasználó kérdéseit vagy válaszait.
Az Azure 35 előre meghatározott kérdést biztosít, amely a böngésző területi beállításai alapján van lefordítva.
A kérdések testre szabhatók a felügyeleti felületen. Az Azure a megadott nyelven jeleníti meg őket. A maximális hossz legfeljebb 200 karakter lehet.
Email address
Ez a módszer csak az SSPR-ben érhető el. Javasoljuk, hogy kerülje az olyan e-mail-fiók használatát, amely nem igényli a Microsoft Entra-jelszót a hozzáféréshez.
Vállalati Windows Hello
Vállalati Windows Hello az arcfelismerésen vagy ujjlenyomat-egyeztetésen alapuló, megbízható, teljesen integrált biometrikus hitelesítést biztosít. Vállalati Windows Hello, a FIDO2 biztonsági kulcsok és a Microsoft Authenticator jelszó nélküli megoldások.
FIDO2 security keys
A FIDO2 biztonsági kulcsok egy névtelen, szabványokon alapuló jelszó nélküli hitelesítési módszer, amely bármilyen formában alkalmazható. A Fast Identity Online (FIDO) egy nyílt szabvány a jelszó nélküli hitelesítéshez.
A felhasználók regisztrálhatnak, majd kiválaszthatnak egy FIDO2 biztonsági kulcsot a bejelentkezési felületen a hitelesítés fő eszközeként. Ezek a FIDO2 biztonsági kulcsok általában USB-eszközök, de bluetooth vagy NFC is használható.
A FIDO2 biztonsági kulcsokkal bejelentkezhet a Microsoft Entra-azonosítójukra vagy a Microsoft Entra hibrid csatlakoztatott Windows 10-eszközökre, és egyszeri bejelentkezést kaphatnak a felhőbeli és helyszíni erőforrásaikra. A felhasználók a támogatott böngészőkbe is bejelentkezhetnek.
A Microsoft Authenticator alkalmazás
Ez a módszer Android és iOS rendszerekhez érhető el. A felhasználók regisztrálhatják mobilalkalmazásukat a https://aka.ms/mfasetup.
A Microsoft Authenticator egy okostelefonnak vagy táblagépnek küldött értesítés küldésével alkalmazás segít megakadályozni a fiókok jogosulatlan elérését, és segít a csalárd tranzakciók megelőzésében. A felhasználók megtekintik az értesítést, és megerősítik vagy elutasítják a kérést.
A felhasználók a Microsoft Authenticator vagy egy külső alkalmazást szoftveres jogkivonatként használhatnak egy OATH ellenőrzőkód létrehozásához. Miután a felhasználó megadta a felhasználónevet és a jelszót, a felhasználók beírják az alkalmazás által megadott kódot a bejelentkezési képernyőn. Az ellenőrzőkód egy második hitelesítési módként szolgál. A felhasználók beállíthatják, hogy a Microsoft Authenticator alkalmazás leküldéses értesítést küldjön, amelyet kiválasztanak és jóváhagynak a bejelentkezéshez.
OATH hardveres jogkivonatok
Az OATH egy nyílt szabvány, amely meghatározza az egyszeri jelszókódok létrehozásának módját. A Microsoft Entra ID támogatja a 30 másodperces vagy 60 másodperces változat OATH-TOTP-tokenjeinek SHA-1
használatát. Az ügyfelek tetszőleges gyártótól beszerezhetik ezeket a jogkivonatokat. A titkos kulcsok legfeljebb 128 karakter hosszúságúak, amelyek nem minden jogkivonattal kompatibilisek.
OATH szoftverjogkivonatok
Software OATH tokens are typically applications such as the Microsoft Authenticator app and other authenticator apps. A Microsoft Entra ID generálja a titkos kulcsot vagy magot, amelyet az alkalmazásba kell bevinni, és minden egyes OTP generálásához kell használni.
Szöveges üzenet
Az Azure az SMS-ben is küldhet ellenőrzőkódot egy telefonnak. A folytatáshoz a felhasználónak meg kell adnia a kódot a böngészőben egy adott időn belül.
Hanghívás
Az Azure egy automatizált hangrendszerrel felhívja a megadott telefonszámot, a tulajdonos pedig a billentyűkkel erősíti meg a hitelesítést. Ez a lehetőség nem érhető el az ingyenes/próbaverziós Microsoft Entra szint számára.
Alkalmazásjelszó
Bizonyos nem-bérlős alkalmazások nem támogatják a Microsoft Entra többtényezős hitelesítését. Ha a felhasználók engedélyezve vannak a Microsoft Entra többtényezős hitelesítéséhez, és nem abrowser alkalmazásokat próbálnak használni, nem tudnak hitelesíteni. Az alkalmazásjelszóval folytathatják a hitelesítést.
A bevezetés figyelése
A Microsoft Entra ID tartalmazza a Figyelés szakaszban található Usage &insights nézetet, ahol figyelheti a hitelesítési módszerek tevékenységeit. Itt megtekintheti az MFA és a SSPR bevezetését:
A regisztrációs számok mellett a sikeres és sikertelen regisztrációk arányát is megtekintheti az egyes hitelesítési módszerekhez. Ez a tény lehetővé teszi annak megértését, hogy mely hitelesítési módszereket regisztrálják leggyakrabban a felhasználók, és melyek azok, amelyeket egyszerűen regisztrálhatnak. A program ezeket az adatokat az elmúlt 30 nap biztonsági információs regisztrációinak és SSPR-regisztrációinak összevont auditnaplóiból számítja ki.
A diagramra kattintva minden felhasználó esetén részletezést végezhet, és megtekintheti a legutóbbi regisztrációs naplóadatokat.
A szervezet SSPR-használatáról a fő nézet Használat lapján is tájékozódhat, ahogyan az alábbi képen látható: