Jaké metody ověřování jsou k dispozici v Azure Active Directory?

Microsoft doporučuje metody ověřování bez hesla, jako jsou Windows Hello, klíče zabezpečení FIDO2 a aplikace Microsoft Authenticator, protože poskytují nejbezpečnější přihlašování. I když se uživatel může přihlásit pomocí jiných běžných metod, jako je uživatelské jméno a heslo, hesla by se měla nahradit bezpečnějšími metodami ověřování.

Tabulka silných stránek a upřednostňovaných metod ověřování v Azure AD

Azure AD Multi-Factor Authentication (MFA) přidává další zabezpečení přes jenom pomocí hesla, když se uživatel přihlásí. Uživateli se může zobrazit výzva k dalším formulářům ověřování, jako je například reakce na nabízené oznámení, zadání kódu ze softwarového nebo hardwarového tokenu nebo odpověď na SMS nebo telefonní hovor.

Pro zjednodušení uživatelského onboardingu a registraci pro MFA i samoobslužné resetování hesla (SSPR) doporučujeme povolit kombinovanou registraci informací o zabezpečení. Kvůli odolnosti doporučujeme, abyste od uživatelů vyžadovali registraci více metod ověřování. Pokud není jedna metoda dostupná pro uživatele během přihlašování nebo SSPR, může se rozhodnout pro ověření jinou metodou. Další informace najdete v tématu Vytvoření odolné strategie správy řízení přístupu v Azure AD.

Zde je video, které jsme vytvořili, aby vám pomohlo vybrat nejlepší metodu ověřování pro zabezpečení vaší organizace.

Síla a zabezpečení metody ověřování

Při nasazování funkcí, jako je Azure AD Multi-Factor Authentication ve vaší organizaci, si prohlédněte dostupné metody ověřování. Zvolte metody, které splňují nebo překračují vaše požadavky z hlediska zabezpečení, použitelnosti a dostupnosti. Pokud je to možné, používejte metody ověřování s nejvyšší úrovní zabezpečení.

Následující tabulka popisuje aspekty zabezpečení pro dostupné metody ověřování. Dostupnost je ukazatel toho, že uživatel může používat metodu ověřování, nikoli dostupnost služby v Azure AD:

Metoda ověřování Zabezpečení Použitelnost Dostupnost
Windows Hello pro firmy Vysoká Vysoká Vysoká
Aplikace Microsoft Authenticator Vysoká Vysoká Vysoká
Klíč zabezpečení FIDO2 Vysoká Vysoká Vysoká
Hardwarové tokeny OATH (Preview) Střední Střední Vysoká
Softwarové tokeny OATH Střední Střední Vysoká
SMS Střední Vysoká Střední
Hlas Střední Střední Střední
Heslo Nízká Vysoká Vysoká

Nejnovější informace o zabezpečení najdete v našich blogovém příspěvku:

Tip

Kvůli flexibilitě a použitelnosti doporučujeme používat Microsoft Authenticator aplikace. Tato metoda ověřování poskytuje nejlepší uživatelské prostředí a více režimů, například bez hesla, nabízená oznámení MFA a kódy OATH.

Jak jednotlivé metody ověřování fungují

Některé metody ověřování lze použít jako primární faktor při přihlašování k aplikaci nebo zařízení, například pomocí klíče zabezpečení FIDO2 nebo hesla. Jiné metody ověřování jsou k dispozici pouze jako sekundární faktor při použití služby Azure AD Multi-Factor Authentication nebo SSPR.

Následující tabulka uvádí, kdy je možné během události přihlášení použít metodu ověřování:

Metoda Primární ověření Sekundární ověřování
Windows Hello pro firmy Yes MFA
Aplikace Microsoft Authenticator Yes MFA a SSPR
Klíč zabezpečení FIDO2 Yes MFA
Hardwarové tokeny OATH (Preview) No MFA a SSPR
Softwarové tokeny OATH No MFA a SSPR
SMS Yes MFA a SSPR
Hlasový hovor No MFA a SSPR
Heslo Yes

Všechny tyto metody ověřování je možné nakonfigurovat v Azure Portal a stále častěji používat Microsoft Graph REST API.

Další informace o tom, jak jednotlivé metody ověřování fungují, najdete v následujících samostatných koncepčních článcích:

Poznámka

Ve službě Azure AD je heslo často jednou z primárních metod ověřování. Metodu ověřování heslem nemůžete zakázat. Pokud jako primární faktor ověřování používáte heslo, zvyšte zabezpečení událostí přihlášení pomocí služby Azure AD Multi-Factor Authentication.

V určitých scénářích je možné použít následující další metody ověřování:

  • Hesla aplikací – používají se u starých aplikací, které nepodporují moderní ověřování a je možné je nakonfigurovat pro ověřování Azure AD Multi-Factor Authentication pro uživatele.
  • Bezpečnostní otázky – používá se jenom pro SSPR.
  • E-mailová adresa – používá se jenom pro SSPR.

Další kroky

Pokud chcete začít, podívejte se na kurz pro samoobslužné resetování hesla (SSPR) a službu Azure AD Multi-Factor Authentication.

Další informace o konceptech samoobslužných resetování hesla najdete v tématu Jak funguje samoobslužné resetování hesla Azure AD.

Další informace o konceptech vícefaktorového ověřování najdete v tématu Jak funguje Azure AD Multi-Factor Authentication.

Další informace o konfiguraci metod ověřování pomocí služby Microsoft Graph REST API.

Pokud si chcete zkontrolovat, jaké metody ověřování se používají, podívejte se na analýzu metod ověřování Azure AD Multi-Factor Authentication pomocí PowerShellu.