Povolení vícefaktorového ověřování ve službě Azure Active Directory B2C

  • Článek

Než začnete, pomocí selektoru Zvolit typ zásady zvolte typ zásady, kterou nastavujete. Azure Active Directory B2C nabízí dvě metody pro definování způsobu interakce uživatelů s vašimi aplikacemi: prostřednictvím předdefinovaných toků uživatelů nebo prostřednictvím plně konfigurovatelných vlastních zásad. Kroky vyžadované v tomto článku se pro každou metodu liší.

Azure Active Directory B2C (Azure AD B2C) se integruje přímo s vícefaktorovým ověřováním Microsoft Entra, abyste mohli do svých aplikací přidat druhou vrstvu zabezpečení. Vícefaktorové ověřování povolíte bez psaní jednoho řádku kódu. Pokud jste už vytvořili toky registrace a přihlašování uživatelů, můžete povolit vícefaktorové ověřování.

Tato funkce pomáhá aplikacím zpracovávat scénáře, jako jsou:

  • Pro přístup k jedné aplikaci nevyžadujete vícefaktorové ověřování, ale vyžadujete ho pro přístup k jiné aplikaci. Zákazník se například může přihlásit k aplikaci automatického pojištění pomocí sociálního nebo místního účtu, ale musí před přístupem k aplikaci domácího pojištění zaregistrované ve stejném adresáři ověřit telefonní číslo.
  • Pro přístup k aplikaci obecně nevyžadujete vícefaktorové ověřování, ale vyžadujete ho pro přístup k citlivým částem v ní. Zákazník se například může přihlásit k bankovní aplikaci pomocí sociálního nebo místního účtu a zkontrolovat zůstatek účtu, ale před pokusem o převod musí ověřit telefonní číslo.

Předpoklady

Metody ověřování

U uživatelů podmíněného přístupu může nebo nemusí být vyzváno vícefaktorové ověřování na základě rozhodnutí o konfiguraci, která můžete provést jako správce. Metody vícefaktorového ověřování jsou:

  • E-mail – Při přihlášení se uživateli odešle ověřovací e-mail obsahující jednorázové heslo (OTP). Uživatel poskytne kód jednorázového hesla, který byl odeslán v e-mailu.
  • SMS nebo telefonní hovor – Během první registrace nebo přihlášení se uživateli zobrazí výzva k zadání a ověření telefonního čísla. Během dalších přihlášení se uživateli zobrazí výzva k výběru možnosti Odeslat kód nebo MFA pro volání na telefon. V závislosti na volbě uživatele se odešle textová zpráva nebo se provede telefonní hovor na ověřené telefonní číslo, které uživatele identifikuje. Uživatel buď poskytne kód jednorázového hesla poslaný prostřednictvím textové zprávy, nebo schválí telefonní hovor.
  • Telefon pouze hovor – funguje stejně jako možnost SMS nebo telefonního hovoru, ale provádí se jenom telefonní hovor.
  • Pouze SMS – Funguje stejně jako možnost SMS nebo telefonního hovoru, ale posílá se jenom textová zpráva.
  • Ověřovací aplikace – TOTP – Uživatel musí nainstalovat ověřovací aplikaci, která podporuje ověřování jednorázovým heslem (TOTP), například aplikaci Microsoft Authenticator, na zařízení, které vlastní. Během první registrace nebo přihlášení uživatel naskenuje kód QR nebo ručně zadá kód pomocí ověřovací aplikace. Během dalších přihlášení uživatel zadá kód TOTP, který se zobrazí v ověřovací aplikaci. Podívejte se, jak nastavit aplikaci Microsoft Authenticator.

Důležité

Ověřovací aplikace – TOTP poskytuje silnější zabezpečení než SMS/Telefon a e-maily jsou nejméně zabezpečené. Vícefaktorové ověřování založené na SMS/Telefon nese samostatné poplatky od normálního cenového modelu Azure AD B2C MAU.

Nastavení vícefaktorového ověřování

  1. Přihlaste se k portálu Azure.

  2. Pokud máte přístup k více tenantům, v horní nabídce vyberte ikonu Nastavení a v nabídce Adresáře a předplatná přepněte do svého tenanta Azure AD B2C.

  3. V nabídce vlevo vyberte Azure AD B2C. Nebo vyberte Všechny služby a vyhledejte a vyberte Azure AD B2C.

  4. Vyberte Toky uživatele.

  5. Vyberte tok uživatele, pro který chcete povolit vícefaktorové ověřování. Například B2C_1_signinsignup.

  6. Vyberte Vlastnosti.

  7. V části Vícefaktorové ověřování vyberte požadovaný typ metody. Potom v části Vynucení vícefaktorového ověřování vyberte možnost:

    • Vypnuto – Vícefaktorové ověřování se během přihlašování nikdy nevynucuje a uživatelům se během registrace nebo přihlášení nezobrazí výzva k registraci do vícefaktorového ověřování.

    • Vždy zapnuté – vícefaktorové ověřování je vždy povinné bez ohledu na nastavení podmíněného přístupu. Během registrace se uživatelům zobrazí výzva k registraci do vícefaktorového ověřování. Pokud uživatelé ještě nejsou zaregistrovaní v MFA, během přihlašování se jim zobrazí výzva k registraci.

    • Podmíněný – Během registrace a přihlášení se uživatelům zobrazí výzva k registraci do vícefaktorového ověřování (noví uživatelé i stávající uživatelé, kteří nejsou zaregistrovaní v MFA). Při přihlašování se vícefaktorové ověřování vynucuje jenom v případě, že je vyžaduje aktivní vyhodnocení zásad podmíněného přístupu:

      • Pokud je výsledkem výzva vícefaktorového ověřování bez rizika, vynutí se vícefaktorové ověřování. Pokud uživatel ještě není zaregistrovaný v MFA, zobrazí se výzva k registraci.
      • Pokud je výsledkem výzva vícefaktorového ověřování kvůli riziku a uživatel není zaregistrovaný v MFA, přihlášení se zablokuje.

    Poznámka:

    • S obecnou dostupností podmíněného přístupu v Azure AD B2C se teď uživatelům při registraci zobrazí výzva k registraci metody MFA. Všechny toky uživatelů registrace, které jste vytvořili před obecnou dostupností, nebudou toto nové chování automaticky odrážet, ale toto chování můžete zahrnout vytvořením nových toků uživatelů.
    • Pokud vyberete Podmíněný přístup, budete také muset přidat podmíněný přístup k tokům uživatelů a zadat aplikace, na které se mají zásady použít.
    • Vícefaktorové ověřování je ve výchozím nastavení zakázané pro toky uživatelů registrace. Vícefaktorové ověřování můžete povolit v tocích uživatelů s registrací do telefonu, ale protože se telefonní číslo používá jako primární identifikátor, je jediným dostupným přístupovým kódem pro druhý ověřovací faktor.

  8. Zvolte Uložit. Pro tento tok uživatele je teď povolené vícefaktorové ověřování.

K ověření prostředí můžete použít tok spustit uživatele. Potvrďte následující scénář:

Před provedením kroku vícefaktorového ověřování se ve vašem tenantovi vytvoří účet zákazníka. Během tohoto kroku se zákazníkovi zobrazí výzva k zadání telefonního čísla a jeho ověření. Pokud ověření proběhne úspěšně, telefonní číslo se připojí k účtu pro pozdější použití. I když zákazník zruší nebo vypadne, může být zákazník požádán, aby během dalšího přihlášení znovu ověřil telefonní číslo s povoleným vícefaktorovým ověřováním.

Pokud chcete povolit vícefaktorové ověřování, získejte úvodní balíček vlastních zásad z GitHubu následujícím způsobem:

  • Stáhněte si soubor .zip nebo naklonujte úložiště z https://github.com/Azure-Samples/active-directory-b2c-custom-policy-starterpacka pak aktualizujte soubory XML v úvodním balíčku SocialAndLocalAccountsWithMFA názvem tenanta Azure AD B2C. SocialAndLocalAccountsWithMFA umožňuje možnosti sociálních a místních přihlášení a možnosti vícefaktorového ověřování s výjimkou aplikace Authenticator – toTP.
  • Pokud chcete podporovat aplikaci Authenticator – možnost MFA TOTP , stáhněte si soubory vlastních zásad z https://github.com/azure-ad-b2c/samples/tree/master/policies/totpa pak aktualizujte soubory XML názvem vašeho tenanta Azure AD B2C. Nezapomeňte zahrnout TrustFrameworkExtensions.xmlsoubory , TrustFrameworkLocalization.xmla TrustFrameworkBase.xml XML z úvodního balíčku SocialAndLocalAccounts .
  • Aktualizujte své [rozložení stránky] na verzi 2.1.14. Další informace najdete v tématu Výběr rozložení stránky.

Registrace uživatele v TOTP pomocí ověřovací aplikace (pro koncové uživatele)

Když aplikace Azure AD B2C povolí vícefaktorové ověřování pomocí možnosti TOTP, musí koncoví uživatelé k vygenerování kódů TOTP použít ověřovací aplikaci. Uživatelé můžou používat aplikaci Microsoft Authenticator nebo jakoukoli jinou ověřovací aplikaci, která podporuje ověřování TOTP. Správce systému Azure AD B2C musí koncovým uživatelům poradit, aby aplikaci Microsoft Authenticator nastavili pomocí následujících kroků:

  1. Stáhněte a nainstalujte aplikaci Microsoft Authenticator na mobilní zařízení s Androidem nebo iOSem.
  2. Otevřete aplikaci, která vyžaduje použití TOTP pro vícefaktorové ověřování, například webovou aplikaci Contoso, a pak se přihlaste nebo zaregistrujte zadáním požadovaných informací.
  3. Pokud se zobrazí výzva k registraci účtu skenováním kódu QR pomocí ověřovací aplikace, otevřete aplikaci Microsoft Authenticator v telefonu a v pravém horním rohu vyberte ikonu 3 tečkované nabídky (pro Android) nebo + ikonu nabídky (pro IOS).
  4. Vyberte + Přidat účet.
  5. Vyberte Jiný účet (Google, Facebook atd.) a pak naskenujte kód QR zobrazený v aplikaci (například webovou aplikaci Contoso) a zaregistrujte svůj účet. Pokud kód QR nemůžete naskenovat, můžete účet přidat ručně:
    1. V aplikaci Microsoft Authenticator na telefonu vyberte NEBO ZADEJTE KÓD RUČNĚ.
    2. V aplikaci (například webovou aplikaci Contoso) vyberte Stále máte potíže?. Zobrazí se název účtu a tajný klíč.
    3. Do aplikace Microsoft Authenticator zadejte název účtu a tajný kód a pak vyberte DOKONČIT.
  6. V aplikaci (například webová aplikace Contoso) vyberte Pokračovat.
  7. Do pole Zadejte kód zadejte kód, který se zobrazí v aplikaci Microsoft Authenticator.
  8. Vyberte možnost ověření.
  9. Během dalšího přihlášení k aplikaci zadejte kód, který se zobrazí v aplikaci Microsoft Authenticator.

Informace o softwarových tokenech OATH

Odstranění registrace ověřovacího programu TOTP uživatele (pro správce systému)

V Azure AD B2C můžete odstranit registraci ověřovací aplikace TOTP uživatele. Uživatel by pak musel znovu zaregistrovat svůj účet, aby znovu použil ověřování TOTP. Pokud chcete odstranit registraci TOTP uživatele, můžete použít Azure Portal nebo rozhraní Microsoft Graph API.

Poznámka:

  • Odstranění registrace ověřovací aplikace TOTP uživatele z Azure AD B2C neodebere účet uživatele v ověřovací aplikaci TOTP. Správce systému musí uživatele nasměrovat, aby před opětovnou registrací ručně odstranil svůj účet z ověřovací aplikace TOTP.
  • Pokud uživatel omylem odstraní svůj účet z ověřovací aplikace TOTP, musí upozornit správce systému nebo vlastníka aplikace, který může odstranit registraci ověřovacího programu TOTP uživatele z Azure AD B2C, aby se uživatel mohl znovu zaregistrovat.

Odstranění registrace ověřovací aplikace TOTP pomocí webu Azure Portal

  1. Přihlaste se k portálu Azure.
  2. Pokud máte přístup k více tenantům, v horní nabídce vyberte ikonu Nastavení a v nabídce Adresáře a předplatná přepněte do svého tenanta Azure AD B2C.
  3. V nabídce vlevo vyberte Uživatelé.
  4. Vyhledejte a vyberte uživatele, pro kterého chcete odstranit registraci ověřovací aplikace TOTP.
  5. V nabídce vlevo vyberte Metody ověřování.
  6. V části Použitelné metody ověřování vyhledejte token Software OATH a pak vyberte nabídku se třemi tečky vedle něj. Pokud toto rozhraní nevidíte, vyberte možnost Přepnout na nové metody ověřování uživatelů. Kliknutím sem ho teď použijete" a přepněte do nového prostředí metod ověřování.
  7. Vyberte Odstranit a pak potvrďte výběr možnosti Ano .

User authentication methods

Odstranění registrace ověřovací aplikace TOTP pomocí rozhraní Microsoft Graph API

Zjistěte, jak pomocí rozhraní Microsoft Graph API odstranit metodu ověřování tokenu OATH pro software uživatele.

Další kroky