Konfigurera metoder för multifaktorautentisering

  • 6 minuter

Som vi nämnde tidigare i modulen rekommenderar vi att användarna kan välja fler än en autentiseringsmetod om deras primära metod inte är tillgänglig.

När en användare loggar in på en tjänst som kräver MFA första gången uppmanas de att registrera sin föredragna multifaktorautentiseringsmetod enligt följande skärmbild:

Screenshot showing the registration information.

Dricks

Om du följde föregående övning och aktiverade MFA för ett konto och en app kan du prova att komma åt appen med det angivna användarkontot. Du bör se föregående flöde.

När de registrerar sig, varje gång användarna loggar in på en tjänst eller app som kräver MFA, frågar Azure-inloggningsprocessen efter autentiseringsinformationen enligt följande bild:

Screenshot that depicts asking for additional authentication information via one of four methods.

Autentiseringsmetoder i Azure

Som du såg tidigare finns det flera möjliga autentiseringsmetoder som en administratör kan konfigurera. Vissa av dessa stöder även självbetjäning av lösenordsåterställning (SSPR), vilket gör det möjligt för användare att återställa sitt lösenord genom att ange en sekundär form av autentisering. Du kan koppla ihop den här tjänsten med Microsoft Entra multifaktorautentisering för att underlätta it-personalens belastning.

I följande tabell visas autentiseringsmetoderna och de tjänster som kan använda dem.

Autentiseringsmetod Tjänster
Lösenord Microsoft Entra multifaktorautentisering och SSPR
Säkerhetsfrågor SSPR
E-postadress SSPR
Windows Hello för företag Microsoft Entra multifaktorautentisering och SSPR
FIDO2-säkerhetsnyckel Microsoft Entra multifaktorautentisering och SSPR
Microsoft Authenticator-appen Microsoft Entra multifaktorautentisering och SSPR
OATH-maskinvarutoken Microsoft Entra multifaktorautentisering och SSPR
OATH-programvarutoken Microsoft Entra multifaktorautentisering och SSPR
SMS Microsoft Entra multifaktorautentisering och SSPR
Röstsamtal Microsoft Entra multifaktorautentisering och SSPR
Applösenord Microsoft Entra multifaktorautentisering i vissa fall

Password

Den här metoden är den enda som du inte kan inaktivera.

Säkerhetsfrågor

Den här metoden är endast tillgänglig för icke-administratörskonton som använder självbetjäning av lösenordsåterställning.

  • Azure lagrar säkerhetsfrågor privat och på ett säkerhetsförstärkt sätt på ett användarobjekt i katalogen. Endast användare kan svara på frågorna och endast under registreringen. En administratör kan inte läsa eller ändra en användares frågor eller svar.

  • Azure innehåller 35 fördefinierade frågor som är översatta och lokaliserade baserat på webbläsarens nationella inställningar.

  • Du kan anpassa frågorna med hjälp av det administrativa gränssnittet. Azure visar dem på det angivna språket. Maxlängden är 200 tecken

E-postadress

Den här metoden är endast tillgänglig i SSPR. Vi rekommenderar att du undviker att använda ett e-postkonto som inte kräver användarnas Microsoft Entra-lösenord för att komma åt det.

Windows Hello för företag

Windows Hello för företag ger tillförlitlig, helt integrerad biometrisk autentisering baserad på ansiktsigenkänning eller matchning av fingeravtryck. Windows Hello för företag, FIDO2-säkerhetsnycklar och Microsoft Authenticator är lösenordslösa lösningar.

FIDO2-säkerhetsnycklar

FIDO2-säkerhetsnycklar är en oförstörbar, standardbaserad lösenordsfri autentiseringsmetod som kan komma i vilken formfaktor som helst. Fast Identity Online (FIDO) är en öppen standard för lösenordsfri autentisering.

Användare kan registrera sig och sedan välja en FIDO2-säkerhetsnyckel i inloggningsgränssnittet som huvudmedel för autentisering. Dessa FIDO2-säkerhetsnycklar är vanligtvis USB-enheter, men kan också använda Bluetooth eller NFC.

FIDO2-säkerhetsnycklar kan användas för att logga in på deras Microsoft Entra-ID eller Microsoft Entra hybridanslutna Windows 10-enheter och få enkel inloggning till sina molnresurser och lokala resurser. Användare kan också logga in på webbläsare som stöds.

Microsoft Authenticator-appen

Den här metoden är tillgänglig för Android och iOS. Användare kan registrera sin mobilapp på https://aka.ms/mfasetup.

  • Microsoft Authenticator-appen hjälper till att förhindra obehörig åtkomst till konton och att stoppa bedrägliga transaktioner genom att skicka ett meddelande till din smartphone eller surfplatta. Användare visar meddelandet och bekräftar eller nekar begäran.

  • Användare kan använda Microsoft Authenticator-appen eller en app från tredje part som programvarubaserad token för att generera en OATH-verifieringskod. När användaren har angett användarnamnet och lösenordet anger användarna koden som tillhandahålls av appen på inloggningsskärmen. Verifieringskoden utgör en andra form av autentisering. Användare kan också ange att Microsoft Authenticator-appen ska leverera ett push-meddelande som de väljer och godkänner för att logga in.

OATH-maskinvarutoken

OATH är en öppen standard som fastställer engångskoder för lösenord ska genereras. Microsoft Entra ID stöder användning av OATH-TOTP-token SHA-1 för 30-sekunders- eller 60-sekundersvariatorn. Kunder kan hämta dessa token från valfri leverantör. Hemliga nycklar är begränsade till 128 tecken, vilket kanske inte är kompatibelt med alla token.

OATH-programvarutoken

OATH-programvarutoken är vanligtvis program som Microsoft Authenticator-appen och andra autentiseringsappar. Microsoft Entra ID genererar den hemliga nyckeln, eller startvärdet, som matas in i appen och används för att generera varje OTP.

Textmeddelande

Azure skickar en verifieringskod till en mobiltelefon via SMS. Användaren måste ange koden i webbläsaren inom en viss tidsperiod för att kunna fortsätta.

Röstsamtal

Azure använder ett automatiserat röstsystem för att ringa till numret, och ägaren använder knappsatsen för att bekräfta autentiseringen. Det här alternativet är inte tillgängligt för Microsoft Entra-nivån kostnadsfritt/utvärderingsversion.

Applösenord

Vissa appar som inte är inväxlare stöder inte Microsoft Entra-multifaktorautentisering. Om användare är aktiverade för Microsoft Entra multifaktorautentisering och försöker använda appar som inte är inaktiva kan de inte autentisera. Med applösenordet kan användarna fortsätta att autentisera.

Implementering av övervakning

Microsoft Entra-ID innehåller en användnings- och insiktsvy i avsnittet Övervakning där du kan övervaka aktiviteten för autentiseringsmetoder. Därifrån kan du visa implementeringen av MFA och SSPR:

Screenshot showing the metrics view for MFA.

Utöver de övergripande registreringsnumren kan du även se lyckade och misslyckade registreringar per autentiseringsmetod. Med det här faktumet kan du förstå vilka autentiseringsmetoder som användarna oftast har registrerat och vilka som är lätta att registrera. Dessa data beräknas med hjälp av de senaste 30 dagarnas granskningsloggar från den kombinerade registreringen av säkerhetsinformation och SSPR-registreringsupplevelser.

Du kan öka detaljnivån och se den senaste informationen om registreringsgranskning för varje användare genom att klicka på diagrammet.

Screenshot showing the registration details.

Du kan också lära dig mer om SSPR-användning i din organisation via fliken Användning i huvudvyn, som du ser i följande bild:

Screenshot showing the SSPR usage metrics.

Testa dina kunskaper

1.

Vilken av följande autentiseringsmetoder är inte tillgänglig för MFA?

2.

Vilken av följande autentiseringsmetoder kan inte inaktiveras?

3.

Sant eller falskt. Du måste aktivera multifaktorautentisering för alla användare i den katalog där du aktiverar det.