Jak to działa: uwierzytelnianie wieloskładnikowe firmy Microsoft
Uwierzytelnianie wieloskładnikowe to proces, w którym użytkownicy są monitowani podczas procesu logowania w celu uzyskania dodatkowej formy identyfikacji, takiej jak kod na telefonie komórkowym lub skanowanie odcisku palca.
Jeśli używasz tylko hasła do uwierzytelniania użytkownika, pozostawia on niezabezpieczony wektor do ataku. Jeśli hasło jest słabe lub zostało ujawnione w innym miejscu, osoba atakująca może użyć go do uzyskania dostępu. Jeśli potrzebujesz drugiej formy uwierzytelniania, bezpieczeństwo jest zwiększane, ponieważ ten dodatkowy czynnik nie jest łatwy dla osoby atakującej w celu uzyskania lub zduplikowania.
Uwierzytelnianie wieloskładnikowe firmy Microsoft działa, wymagając co najmniej dwóch następujących metod uwierzytelniania:
- Coś, co wiesz, zazwyczaj hasło.
- Coś, co masz, takie jak zaufane urządzenie, które nie jest łatwo zduplikowane, jak telefon lub klucz sprzętowy.
- Coś, co jesteś - biometryczne, takie jak odcisk palca lub skanowanie twarzy.
Uwierzytelnianie wieloskładnikowe firmy Microsoft może również dodatkowo zabezpieczyć resetowanie haseł. Gdy użytkownicy rejestrują się na potrzeby uwierzytelniania wieloskładnikowego firmy Microsoft, mogą również zarejestrować się w celu samoobsługowego resetowania hasła w jednym kroku. Administracja istratory mogą wybierać formy uwierzytelniania pomocniczego i konfigurować wyzwania dla uwierzytelniania wieloskładnikowego na podstawie decyzji konfiguracyjnych.
Nie musisz zmieniać aplikacji i usług w celu korzystania z uwierzytelniania wieloskładnikowego firmy Microsoft. Monity weryfikacji są częścią logowania firmy Microsoft Entra, który automatycznie żąda i przetwarza wyzwanie uwierzytelniania wieloskładnikowego w razie potrzeby.
Uwaga
Język monitu jest określany przez ustawienia regionalne przeglądarki. Jeśli używasz niestandardowych powitań, ale nie masz go dla języka zidentyfikowanego w ustawieniach regionalnych przeglądarki, język angielski jest używany domyślnie. Serwer zasad sieciowych (NPS) będzie zawsze używać języka angielskiego domyślnie, niezależnie od niestandardowych powitań. Język angielski jest również używany domyślnie, jeśli nie można zidentyfikować ustawień regionalnych przeglądarki.
Dostępne metody weryfikacji
Gdy użytkownicy logują się do aplikacji lub usługi i otrzymują monit uwierzytelniania wieloskładnikowego, mogą wybrać jedną z zarejestrowanych formularzy dodatkowej weryfikacji. Użytkownicy mogą uzyskiwać dostęp do mojego profilu , aby edytować lub dodawać metody weryfikacji.
Następujące dodatkowe formy weryfikacji mogą być używane z uwierzytelnianiem wieloskładnikowym firmy Microsoft:
- Microsoft Authenticator
- Authenticator Lite (w programie Outlook)
- Windows Hello for Business
- Klucz zabezpieczeń FIDO2
- Token sprzętowy OATH (wersja zapoznawcza)
- Token oprogramowania OATH
- Wiadomości SMS
- Połączenie głosowe
Jak włączyć i używać uwierzytelniania wieloskładnikowego firmy Microsoft
Wartości domyślne zabezpieczeń można używać w dzierżawach firmy Microsoft Entra, aby szybko włączyć aplikację Microsoft Authenticator dla wszystkich użytkowników. Możesz włączyć uwierzytelnianie wieloskładnikowe firmy Microsoft, aby monitować użytkowników i grupy o dodatkową weryfikację podczas logowania.
Aby uzyskać bardziej szczegółowe mechanizmy kontroli, można użyć zasad dostępu warunkowego do zdefiniowania zdarzeń lub aplikacji, które wymagają uwierzytelniania wieloskładnikowego. Te zasady mogą zezwalać na regularne logowanie, gdy użytkownik znajduje się w sieci firmowej lub zarejestrowanym urządzeniu, ale monituje o dodatkowe czynniki weryfikacyjne, gdy użytkownik jest zdalny lub na urządzeniu osobistym.
Następne kroki
Aby dowiedzieć się więcej na temat licencjonowania, zobacz Funkcje i licencje na potrzeby uwierzytelniania wieloskładnikowego firmy Microsoft.
Aby dowiedzieć się więcej na temat różnych metod uwierzytelniania i walidacji, zobacz Metody uwierzytelniania w usłudze Microsoft Entra ID.
Aby wyświetlić uwierzytelnianie wieloskładnikowe usługi MFA, włącz uwierzytelnianie wieloskładnikowe firmy Microsoft dla zestawu użytkowników testowych w następującym samouczku: