Jak to działa: Azure AD uwierzytelnianie wieloskładnikowe
Uwierzytelnianie wieloskładnikowe to proces, w którym użytkownicy są monitowani podczas procesu logowania w celu uzyskania dodatkowej formy identyfikacji, takiej jak kod na telefonie komórkowym lub skanowanie odciskiem palca.
Jeśli używasz hasła tylko do uwierzytelniania użytkownika, pozostawia niezabezpieczony wektor ataku. Jeśli hasło jest słabe lub zostało ujawnione w innym miejscu, osoba atakująca może użyć go do uzyskania dostępu. Jeśli potrzebujesz drugiej formy uwierzytelniania, bezpieczeństwo jest zwiększane, ponieważ ten dodatkowy czynnik nie jest łatwy dla osoby atakującej w celu uzyskania lub duplikatu.
Azure AD usługa Multi-Factor Authentication działa, wymagając co najmniej dwóch następujących metod uwierzytelniania:
- Coś, co wiesz, zazwyczaj jest hasłem.
- Coś, co masz, takie jak zaufane urządzenie, które nie jest łatwo zduplikowane, jak telefon lub klucz sprzętowy.
- Coś, co jesteś - biometryczne, takie jak odcisk palca lub skanowanie twarzy.
Azure AD usługa Multi-Factor Authentication może również dodatkowo zabezpieczyć resetowanie haseł. Gdy użytkownicy zarejestrują się w usłudze Azure AD Multi-Factor Authentication, mogą również zarejestrować się w celu samoobsługowego resetowania hasła w jednym kroku. Administratorzy mogą wybierać formy uwierzytelniania pomocniczego i konfigurować wyzwania dla uwierzytelniania wieloskładnikowego na podstawie decyzji dotyczących konfiguracji.
Nie musisz zmieniać aplikacji i usług w celu korzystania z usługi Azure AD Multi-Factor Authentication. Monity weryfikacji są częścią Azure AD logowania, które automatycznie żąda i przetwarza wyzwanie uwierzytelniania wieloskładnikowego w razie potrzeby.
Uwaga
Język monitu jest określany przez ustawienia regionalne przeglądarki. Jeśli używasz niestandardowych powitań, ale nie masz go dla języka zidentyfikowanego w ustawieniach regionalnych przeglądarki, język angielski jest domyślnie używany. Serwer zasad sieciowych (NPS) zawsze będzie domyślnie używać języka angielskiego, niezależnie od niestandardowych powitań. Język angielski jest również używany domyślnie, jeśli nie można zidentyfikować ustawień regionalnych przeglądarki.
Dostępne metody weryfikacji
Gdy użytkownicy logują się do aplikacji lub usługi i otrzymują monit uwierzytelniania wieloskładnikowego, mogą wybrać jedną z zarejestrowanych formularzy dodatkowej weryfikacji. Użytkownicy mogą uzyskiwać dostęp do mojego profilu , aby edytować lub dodawać metody weryfikacji.
Następujące dodatkowe formy weryfikacji mogą być używane z usługą Azure AD Multi-Factor Authentication:
- Microsoft Authenticator
- Authenticator Lite (w programie Outlook)
- Windows Hello for Business
- Klucz zabezpieczeń FIDO2
- Token sprzętowy OATH (wersja zapoznawcza)
- Token oprogramowania OATH
- SMS
- Połączenie głosowe
Jak włączyć i używać usługi Azure AD Multi-Factor Authentication
Ustawienia domyślne zabezpieczeń można używać w dzierżawach Azure AD, aby szybko włączyć aplikację Microsoft Authenticator dla wszystkich użytkowników. Możesz włączyć usługę Azure AD Multi-Factor Authentication, aby monitować użytkowników i grupy o dodatkową weryfikację podczas logowania.
Aby uzyskać bardziej szczegółowe kontrolki, można użyć zasad dostępu warunkowego do definiowania zdarzeń lub aplikacji, które wymagają uwierzytelniania wieloskładnikowego. Te zasady mogą zezwalać na regularne logowanie, gdy użytkownik znajduje się w sieci firmowej lub zarejestrowanym urządzeniu, ale monituje o dodatkowe czynniki weryfikacyjne, gdy użytkownik jest zdalny lub na urządzeniu osobistym.
Następne kroki
Aby dowiedzieć się więcej na temat licencjonowania, zobacz Funkcje i licencje dla usługi Azure AD Multi-Factor Authentication.
Aby dowiedzieć się więcej na temat różnych metod uwierzytelniania i walidacji, zobacz Metody uwierzytelniania w usłudze Azure Active Directory.
Aby wyświetlić uwierzytelnianie wieloskładnikowe w działaniu, włącz usługę Azure AD Multi-Factor Authentication dla zestawu użytkowników testowych w następującym samouczku: