Jak to funguje: Multi-Factor Authentication Azure AD

Vícefaktorové ověřování je postup, ve kterém se uživateli při přihlašování zobrazí výzva k další formě prokázání totožnosti, třeba k zadání kódu na svém mobilním telefonu nebo k naskenování otisku prstu.

Pokud k ověření uživatele použijete jenom heslo, opustí pro útok nezabezpečený vektor. Pokud je heslo slabé nebo je jinde vystavené, je to skutečně uživatel, který se přihlašuje pomocí uživatelského jména a hesla, nebo se jedná o útočníka? Pokud požadujete druhou formu ověřování, zabezpečení se zvyšuje, protože tento přídavný faktor není něco, co by mohlo útočník snadno získat nebo duplikovat.

Koncepční obraz různých forem Multi-Factor Authentication

Služba Azure AD Multi-Factor Authentication funguje tak, že vyžaduje dvě nebo více následujících metod ověřování:

  • Něco, co znáte, obvykle heslo.
  • Něco, co máte, jako je například důvěryhodné zařízení, které není snadno duplikováno, jako je telefonní nebo hardwarový klíč.
  • Něco, co jste biometrika jako otisk prstu nebo vzhled obličeje.

Služba Azure AD Multi-Factor Authentication může také dále zabezpečit resetování hesla. Když se uživatelé registrují samy Multi-Factor Authentication pro Azure AD, můžou se taky zaregistrovat k samoobslužnému resetování hesla v jednom kroku. Správci můžou zvolit formuláře sekundárního ověřování a nakonfigurovat problémy pro MFA na základě rozhodnutí o konfiguraci.

Aplikace a služby nepotřebují změny pro použití Multi-Factor Authentication Azure AD. Výzvy k ověření jsou součástí události přihlášení služby Azure AD, která automaticky vyžádá a zpracuje výzvu MFA v případě potřeby.

Metody ověřování používané na přihlašovací obrazovce

Dostupné metody ověření

Když se uživatel přihlásí k aplikaci nebo službě a obdrží výzvu MFA, může zvolit jednu z registrovaných forem dodatečného ověření. Uživatelé mají přístup k mému profilu , aby mohli upravovat nebo přidávat metody ověřování.

S Azure AD Multi-Factor Authentication můžete použít následující další formy ověřování:

  • Aplikace Microsoft Authenticator
  • Hardwarový token OATH (Preview)
  • Softwarový token OATH
  • SMS
  • Hlasový hovor

Jak povolit a používat Multi-Factor Authentication Azure AD

všichni klienti Azure AD můžou pomocí výchozích hodnot zabezpečení rychle povolit Microsoft Authenticator pro všechny uživatele. U uživatelů a skupin se dá povolit Multi-Factor Authentication Azure AD, aby se během přihlašovací události zobrazila výzva k dodatečnému ověření.

Pro podrobnější ovládací prvky lze pomocí zásad podmíněného přístupu definovat události nebo aplikace, které vyžadují MFA. Tyto zásady mohou umožňovat běžné přihlašování, když se uživatel nachází v podnikové síti nebo registrovaném zařízení, ale při vzdáleném nebo osobním zařízení vyzve k zadání dalších faktorů ověřování.

Diagram s přehledem toho, jak podmíněný přístup funguje k zabezpečení procesu přihlašování

Další kroky

Další informace o licencování najdete v tématu funkce a licence pro Azure AD Multi-Factor Authentication.

Další informace o různých metodách ověřování a ověřování najdete v tématu metody ověřování v Azure Active Directory.

Pokud chcete zobrazit MFA v akci, povolte v následujícím kurzu Multi-Factor Authentication služby Azure AD pro skupinu testovacích uživatelů: