Jak funguje: Azure AD Multi-Factor Authentication
Vícefaktorové ověřování je proces, ve kterém se uživatelům během procesu přihlašování zobrazí výzva k další formě identifikace, jako je například kód na mobilním telefonu nebo skenování otisků prstů.
Pokud k ověření uživatele použijete jenom heslo, ponechá nezabezpečený vektor útoku. Pokud je heslo slabé nebo bylo vystaveno jinde, útočník ho může použít k získání přístupu. Pokud potřebujete druhou formu ověřování, zabezpečení se zvýší, protože tento další faktor není něco, co je pro útočníka snadné získat nebo duplikovat.
Azure AD Multi-Factor Authentication funguje tak, že vyžaduje dvě nebo více následujících metod ověřování:
- Něco, co víte, obvykle heslo.
- Něco, co máte, například důvěryhodné zařízení, které není snadno duplikované, jako je telefon nebo hardwarový klíč.
- Něco, co jste - biometrické údaje jako otisk prstu nebo skenování obličeje.
Azure AD Multi-Factor Authentication může také dále zabezpečit resetování hesla. Když se uživatelé zaregistrují pro Azure AD Multi-Factor Authentication, můžou se také zaregistrovat k samoobslužným resetování hesla v jednom kroku. Správci můžou na základě rozhodnutí o konfiguraci zvolit formuláře sekundárního ověřování a nakonfigurovat problémy pro vícefaktorové ověřování.
Nemusíte měnit aplikace a služby tak, aby používaly službu Azure AD Multi-Factor Authentication. Výzvy k ověření jsou součástí přihlášení k Azure AD, které automaticky požaduje a zpracovává výzvu MFA v případě potřeby.
Poznámka
Jazyk výzvy je určen nastavením národního prostředí prohlížeče. Pokud používáte vlastní pozdravy, ale nemáte ho pro jazyk identifikovaný v národním prostředí prohlížeče, používá se ve výchozím nastavení angličtina. Server NPS (Network Policy Server) bude ve výchozím nastavení používat angličtinu bez ohledu na vlastní pozdravy. Angličtina se ve výchozím nastavení používá také v případě, že národní prostředí prohlížeče není možné identifikovat.
Dostupné metody ověřování
Když se uživatelé přihlásí k aplikaci nebo službě a dostanou výzvu vícefaktorového ověřování, můžou si vybrat z některé z registrovaných formulářů dalšího ověření. Uživatelé můžou přistupovat k mému profilu a upravovat nebo přidávat metody ověřování.
S Azure AD Multi-Factor Authentication je možné použít následující další formy ověřování:
- Aplikace Microsoft Authenticator
- Windows Hello pro firmy
- Klíč zabezpečení FIDO2
- Hardwarový token OATH (Preview)
- Softwarový token OATH
- SMS
- Hlasový hovor
Povolení a používání služby Azure AD Multi-Factor Authentication
Výchozí nastavení zabezpečení v tenantech Azure AD můžete použít k rychlému povolení Microsoft Authenticatoru pro všechny uživatele. Azure AD Multi-Factor Authentication můžete povolit, aby uživatelé a skupiny při přihlašování mohli požádat o další ověření.
U podrobnějších ovládacích prvků můžete pomocí zásad podmíněného přístupu definovat události nebo aplikace, které vyžadují vícefaktorové ověřování. Tyto zásady můžou umožnit pravidelné přihlášení, když je uživatel v podnikové síti nebo registrovaném zařízení, ale při vzdáleném nebo osobním zařízení zobrazí výzvu k zadání dalších ověřovacích faktorů.
Další kroky
Informace o licencování najdete v tématu Funkce a licence pro službu Azure AD Multi-Factor Authentication.
Další informace o různých metodách ověřování a ověřování najdete v tématu Metody ověřování v Azure Active Directory.
Pokud chcete zobrazit vícefaktorové ověřování v akci, povolte azure AD Multi-Factor Authentication pro sadu testovacích uživatelů v následujícím kurzu: