povolení vícefaktorového ověřování v Azure Active Directory B2C

Než začnete, použijte selektor typu zásad a vyberte typ zásady, kterou nastavujete. Azure Active Directory B2C nabízí dvě metody definování způsobu interakce uživatelů s vašimi aplikacemi: prostřednictvím předdefinovaných uživatelských toků nebo prostřednictvím plně konfigurovatelných vlastních zásad. Kroky požadované v tomto článku se liší pro jednotlivé metody.

Azure Active Directory B2C (Azure AD B2C) se přímo integruje s Azure AD Multi-Factor Authentication , abyste mohli přidat druhou vrstvu zabezpečení pro registraci a přihlašování v aplikacích. Povolíte vícefaktorové ověřování, aniž byste museli psát jediný řádek kódu. Pokud jste již vytvořili registraci uživatelů a toky přihlášení, můžete přesto povolit vícefaktorové ověřování.

Tato funkce pomáhá aplikacím zpracovávat scénáře, jako například:

  • Pro přístup k jedné aplikaci nepotřebujete vícefaktorové ověřování, ale vyžadujete, aby k ní měl přístup další. Zákazník se například může přihlásit k aplikaci pro automatické pojištění pomocí sociálního nebo místního účtu, ale před přístupem k aplikaci pro domácí pojištění zaregistrovanou ve stejném adresáři musí ověřit telefonní číslo.
  • Nepožadujete vícefaktorové ověřování pro přístup k aplikaci obecně, ale vyžadujete přístup k citlivým částem v rámci této aplikace. Zákazník se například může přihlásit k bankovní aplikaci pomocí sociálního nebo místního účtu a zkontrolovat zůstatek účtu, ale před pokusem o přenos do přenosu musí ověřit telefonní číslo.

Požadavky

Metody ověřování

Uživatelé podmíněného přístupu můžou nebo nemusí být v rámci vícefaktorového ověřování vyučeni na základě rozhodnutí týkajících se konfigurace, která můžete nastavit jako správce. Metody vícefaktorového ověřování jsou:

  • E-mail – během přihlašování se uživateli pošle ověřovací e-mail, který obsahuje jednorázové heslo (Password). Uživatel poskytne kód jednorázového hesla, který byl odeslán v e-mailu.
  • SMS nebo telefonický hovor – při prvním přihlášení nebo přihlášení se uživateli zobrazí výzva k zadání a ověření telefonního čísla. Během dalších přihlášení se uživateli zobrazí výzva k výběru možnosti Odeslat kód nebo zavolat mi na telefon. V závislosti na volbě uživatele se pošle textová zpráva nebo se k ověřenému telefonnímu číslu přivede telefonní hovor, aby uživatel identifikoval uživatele. Uživatel buď poskytne kód pro jednorázové heslo odeslaný přes textovou zprávu, nebo schválí telefonní hovor.
  • Telefon pouze volání – funguje stejným způsobem jako u možnosti SMS nebo telefonního hovoru, ale je provedeno pouze telefonní hovor.
  • Pouze SMS – funguje stejným způsobem jako u možnosti SMS nebo telefonní hovor, ale pošle se jenom textová zpráva.
  • Authenticator app-TOTP (preview) – uživatel musí nainstalovat ověřovací aplikaci, která podporuje ověřování pomocí TOTP (time-to-time password), jako je například aplikace Microsoft Authenticator, na zařízení, které vlastní. Při prvním přihlášení nebo přihlášení uživatel vyhledá kód QR nebo vloží kód ručně pomocí ověřovací aplikace. Během následného přihlášení uživatel zadá kód TOTP, který se zobrazí v ověřovací aplikaci. podívejte se , jak nastavit aplikaci Microsoft Authenticator.

Důležité

Authenticator app-TOTP poskytuje silnější zabezpečení než SMS/Telefon a je minimální zabezpečení e-mailu. služby multi-factor authentication založené na SMS/Telefon vznikly odděleně od normálního cenového modelu Azure AD B2C MAU.

Nastavení vícefaktorového ověřování

  1. Přihlaste se k portálu Azure Portal.

  2. Ujistěte se, že používáte adresář, který obsahuje vašeho tenanta Azure AD B2C. Na panelu nástrojů portálu vyberte ikonu adresáře a odběry .

  3. Na nastavení portálu | Adresáře a odběry stránky, vyhledejte adresář Azure AD B2C v seznamu název adresáře a pak vyberte přepínač.

  4. V nabídce vlevo vyberte Azure AD B2C. Případně vyberte všechny služby a vyhledejte a vyberte Azure AD B2C.

  5. Vyberte toky uživatelů.

  6. Vyberte tok uživatele, pro který chcete povolit MFA. Například B2C_1_signinsignup.

  7. Vyberte Vlastnosti.

  8. V části vícefaktorového ověřování vyberte požadovaný typ metody. Potom v části vynucení vícefaktorového ověřování vyberte některou z možností:

    • Během přihlašování se nikdy vynutilo použití vícefaktorového ověřování a uživatelé nejsou během registrace nebo přihlašování vyzváni k registraci v MFA.

    • Vždy se vyžaduje vždycky – MFA bez ohledu na nastavení podmíněného přístupu. Během registrace se uživatelům zobrazí výzva k registraci v MFA. Pokud se během přihlašování uživatelé ještě nezaregistrovali v MFA, zobrazí se jim výzva k registraci.

    • Podmíněné : během registrace a přihlašování se uživatelům zobrazí výzva k registraci v MFA (noví uživatelé i stávající uživatelé, kteří nejsou zaregistrovaní v MFA). Během přihlašování se MFA vynutí jenom v případě, že to vyžaduje vyhodnocení zásady podmíněného přístupu:

      • Pokud se jedná o výzvu MFA bez rizika, vynutilo MFA. Pokud už uživatel není zaregistrovaný v MFA, zobrazí se výzva k registraci.
      • Pokud je výsledkem výstraha MFA z důvodu rizika a uživatel není zaregistrovaný v MFA, je přihlášení blokované.

    Poznámka

    • Při obecné dostupnosti podmíněného přístupu v Azure AD B2C se uživatelům během registrace zobrazí výzva, aby se zaregistrovali v metodě MFA. Všechny toky pro registraci uživatelů, které jste vytvořili před všeobecnou dostupností, nebudou automaticky odrážet toto nové chování, ale můžete toto chování zahrnout tak, že vytvoříte nové toky uživatelů.
    • Pokud vyberete podmíněný, budete také muset Přidat podmíněný přístup do toků uživatelůa zadat aplikace, pro které chcete zásady použít.
    • Služba Multi-Factor Authentication (MFA) je ve výchozím nastavení zakázána pro uživatelské toky registrace. VÍCEFAKTOROVÉ ověřování můžete v tokůch uživatelů povolit pomocí registrace telefonem, ale pokud se jako primární identifikátor používá telefonní číslo, bude pro druhý faktor ověřování k dispozici jenom možnost e-mailové heslo pro jeden čas.
  9. Vyberte Uložit. Pro tento tok uživatelů je nyní povoleno vícefaktorové ověřování.

K ověření prostředí můžete použít tok spuštění uživatele . Potvrďte následující scénář:

Ve vašem tenantovi se vytvoří účet zákazníka před tím, než dojde ke kroku vícefaktorového ověřování. V průběhu tohoto kroku se zákazník vyzve k zadání telefonního čísla a jeho ověření. Pokud je ověření úspěšné, je telefonní číslo připojeno k účtu pro pozdější použití. I v případě, že zákazník zruší nebo odmítá, může být zákazník požádán o ověření telefonního čísla znovu při příštím přihlášení s povoleným vícefaktorového ověřováním.

pokud chcete povolit vícefaktorové ověřování, získejte počáteční sadu vlastních zásad z GitHub následujícím způsobem:

  • Stáhněte soubor .zip nebo naklonujte úložiště z a pak aktualizujte soubory XML v SocialAndLocalAccountsWithMFA Starter Pack pomocí názvu klienta Azure AD B2C. SocialAndLocalAccountsWithMFA umožňuje možnosti přihlášení na sociální a místní úrovni a možnosti vícefaktorového ověřování s výjimkou možností Authenticator app-TOTP.
  • pokud chcete podporovat Authenticator možnost app-TOTP MFA, stáhněte si soubory vlastních zásad z a aktualizujte soubory XML pomocí názvu klienta Azure AD B2C. Nezapomeňte zahrnout TrustFrameworkExtensions.xmlTrustFrameworkLocalization.xml soubory, a TrustFrameworkBase.xml XML ze sady TrustFrameworkExtensions.xml Starter Pack.
  • Aktualizujte [rozložení stránky] na verzi 2.1.9 . Další informace najdete v tématu Výběr rozložení stránky.

Registrace uživatele v TOTP s ověřovací aplikací (pro koncové uživatele)

Když aplikace Azure AD B2C povolí MFA pomocí možnosti TOTP, musí koncoví uživatelé k vygenerování kódů TOTP použít ověřovací aplikaci. uživatelé můžou používat aplikaci Microsoft Authenticator nebo jinou ověřovací aplikaci, která podporuje ověřování TOTP. správce systému Azure AD B2C musí sdělit koncovým uživatelům, aby si nastavili aplikaci Microsoft Authenticator pomocí následujících kroků:

  1. stáhněte a nainstalujte aplikaci Microsoft Authenticator na mobilní zařízení s androidem nebo iOS.
  2. Otevřete aplikaci, která vyžaduje použití TOTP pro MFA, třeba Contoso WebApp, a pak se přihlaste nebo zaregistrujte zadáním požadovaných informací.
  3. pokud se zobrazí výzva k registraci účtu naskenováním kódu QR pomocí ověřovací aplikace, otevřete aplikaci Microsoft Authenticator ve vašem telefonu a v pravém horním rohu vyberte ikonu nabídky 3 – s tečkovanými tečkami (pro Android) nebo ikonu nabídky (pro IOS).
  4. Vyberte + Přidat účet.
  5. Vyberte jiný účet (Google, Facebook atd.)a pak NASKENUJTE kód QR zobrazený v aplikaci (například Contoso WebApp) a zaregistrujte svůj účet. Pokud nemůžete naskenovat kód QR, můžete účet přidat ručně:
    1. v aplikaci Microsoft Authenticator na telefonu vyberte nebo zadejte kód ručně.
    2. V aplikaci (například Contoso WebApp) vyberte stále problémy?. Tím se zobrazí název účtu a tajný kód.
    3. do aplikace Microsoft Authenticator zadejte název účtu a tajný klíč a pak vyberte dokončit.
  6. V aplikaci (například Contoso WebApp) vyberte pokračovat.
  7. do pole zadejte kódzadejte kód, který se zobrazí ve vaší aplikaci Microsoft Authenticator.
  8. Vyberte Ověřit.
  9. během následného přihlášení do aplikace zadejte kód, který se zobrazí v aplikaci Microsoft Authenticator.

Další informace o tokenech softwaru Oath

Odstranit registraci ověřovacích dat TOTP uživatele (pro správce systému)

V Azure AD B2C můžete odstranit registraci aplikace TOTP Authenticator uživatele. Pak bude muset uživatel znovu zaregistrovat svůj účet, aby znovu používal ověřování TOTP. Pokud chcete odstranit registraci TOTP uživatele, můžete použít buď Azure Portal , nebo rozhraní Microsoft Graph API.

Poznámka

  • Při odstraňování zápisu aplikace TOTP Authenticator uživatele z Azure AD B2C nedojde k odebrání účtu uživatele v aplikaci TOTP Authenticator. Než se znovu pokusíte o registraci, musí správce systému nasměrovat uživatele, aby ručně odstranil účet z aplikace TOTP Authenticator.
  • Pokud uživatel omylem odstraní svůj účet z aplikace TOTP Authenticator, musí informovat správce systému nebo vlastníka aplikace, který může odstranit registraci TOTP ověřovacích dat uživatele z Azure AD B2C, aby se uživatel mohl znovu zaregistrovat.

Odstranění zápisu aplikace TOTP Authenticator pomocí Azure Portal

  1. Přihlaste se k portálu Azure Portal.
  2. Ujistěte se, že používáte adresář, který obsahuje vašeho tenanta Azure AD B2C. Na panelu nástrojů portálu vyberte ikonu adresáře a odběry .
  3. Na nastavení portálu | Adresáře a odběry stránky, vyhledejte adresář Azure AD B2C v seznamu název adresáře a pak vyberte přepínač.
  4. V nabídce vlevo vyberte Uživatelé.
  5. Vyhledejte a vyberte uživatele, pro který chcete odstranit registraci aplikace TOTP Authenticator.
  6. V nabídce vlevo vyberte metody ověřování.
  7. V části použitelné metody ověřováníNajděte software token Oath (verze Preview)a pak vyberte nabídku se třemi tečkami vedle ní. Pokud toto rozhraní nevidíte, vyberte Přepnout na nové prostředí metod ověřování uživatelů. Kliknutím sem ji můžete použít pro přepnutí na nové prostředí metod ověřování.
  8. Vyberte Odstranita potvrďte akci kliknutím na Ano .

User authentication methods

Odstranění zápisu aplikace TOTP Authenticator pomocí rozhraní API pro Microsoft Graph

Naučte se, jak Odstranit metodu ověřování tokenu Oath uživatele softwaru pomocí rozhraní Microsoft Graph API.