souhrnné informace o registraci informací o zabezpečení pro Azure Active Directory

Před kombinovanou registrací uživatelé zaregistrovali metody ověřování pro Azure AD Multi-Factor Authentication a Samoobslužné resetování hesla (SSPR) samostatně. Lidem se zaznamenalo, že podobné metody byly použity pro Multi-Factor Authentication a SSPR, ale musely se zaregistrovat pro obě funkce. Teď se při kombinované registraci můžou uživatelé zaregistrovat jednou a získat výhody Multi-Factor Authentication i SSPR. Doporučujeme toto video o tom, jak povolit a nakonfigurovat SSPR ve službě Azure AD .

Poznámka

Od 15. srpna 2020 budou všichni noví klienti Azure AD automaticky povoleni pro kombinovanou registraci.

Tento článek popisuje, jaká kombinovaná registrace zabezpečení je. Informace o tom, jak začít používat kombinovanou registraci zabezpečení, najdete v následujícím článku:

Můj účet zobrazující registrované bezpečnostní údaje pro uživatele

Než začnete s novým prostředím, přečtěte si dokumentaci k tomuto správci a dokumentaci zaměřenou na uživatele, abyste se ujistili, že jsou funkce a účinky této funkce důležité. Založte školení na dokumentaci pro uživatele a připravte uživatele na nové prostředí a pomůžou zajistit úspěšné zavedení.

Registrace informací o kombinovaném zabezpečení Azure AD je k dispozici pro vládu Azure USA, ale ne pro Azure Německo nebo Azure Čína 21Vianet.

Důležité

Pro uživatele, kteří jsou povoleni pro původní verzi Preview i pro rozšířené kombinované registrační prostředí, se zobrazí nové chování. Uživatelům, kteří jsou povoleni v obou prostředích, uvidí jenom možnosti můj účet. Můj účet se zarovnává s vzhledem a chováním kombinované registrace a poskytuje uživatelům bezproblémové prostředí. Uživatelé uvidí svůj účet tím, že se budou moct podívat na https://myaccount.microsoft.com .

Při pokusu o přístup k možnosti informace o zabezpečení se může zobrazit chybová zpráva, například "litujeme, ale nemůžeme vás přihlásit". Ověřte, že nemáte žádné konfigurační objekty nebo objekt zásad skupiny, který blokuje soubory cookie třetích stran ve webovém prohlížeči.

Stránky můj účet jsou lokalizovány na základě nastavení jazyka počítače, který přistupuje k stránce. Microsoft ukládá nejaktuálnější jazyk používaný v mezipaměti prohlížeče, takže následné pokusy o přístup ke stránkám se budou dál vykreslovat v posledním použitém jazyce. Pokud mezipaměť vymažete, stránky se znovu vykreslují.

Pokud chcete vynutit určitý jazyk, můžete přidat ?lng=<language> na konec adresy URL, kde <language> je kód jazyka, který chcete vykreslit.

Nastavení SSPR nebo jiných metod ověřování zabezpečení

Metody dostupné v kombinované registraci

Kombinovaná registrace podporuje následující metody ověřování a akce:

Metoda Registrovat Změnit Odstranit
Microsoft Authenticator Ano (maximálně 5) No Yes
Jiná ověřovací aplikace Ano (maximálně 5) No Yes
Hardwarový token No No Yes
Rozložení Yes Yes Yes
Alternativní telefon Yes Yes Yes
Telefon do kanceláře Yes Yes Yes
E-mail Yes Yes Yes
Bezpečnostní otázky Yes No Yes
Hesla aplikací Yes No Yes
FIDO2 klíče zabezpečení
Spravovaný režim pouze ze stránky bezpečnostní údaje
Yes Yes Yes

Poznámka

Hesla aplikací jsou k dispozici pouze pro uživatele, kteří byli vynutili Multi-Factor Authentication. Hesla aplikací nejsou k dispozici uživatelům, kteří jsou povoleni pro Multi-Factor Authentication prostřednictvím zásad podmíněného přístupu.

Uživatelé můžou jako výchozí metodu Multi-Factor Authentication nastavit jednu z následujících možností:

  • Microsoft Authenticator – nabízené oznámení
  • Authenticator app nebo hardwarového tokenu – kód
  • Telefon volání
  • Textová zpráva

Ověřovací aplikace třetích stran neposkytují nabízené oznámení. Jak budeme dál přidávat do Azure AD další metody ověřování, tyto metody budou k dispozici v kombinované registraci.

Režimy kombinované registrace

Existují dva režimy kombinované registrace: přerušení a správa.

  • Režim přerušení je prostředí podobné průvodci, které se uživatelům prezentuje při registraci nebo aktualizaci bezpečnostních údajů při přihlášení.
  • Režim správy je součástí profilu uživatele a umožňuje uživatelům spravovat své bezpečnostní údaje.

V obou režimech uživatelé, kteří dříve zaregistrovali metodu, kterou je možné použít pro Multi-Factor Authentication musí Multi-Factor Authentication předtím, než budou mít přístup k jejich bezpečnostním údajům. Uživatelé musí před pokračováním v používání dříve registrovaných metod potvrdit jejich údaje.

Režim přerušení

Kombinovaná registrace je v souladu se zásadami Multi-Factor Authentication a SSPR, pokud jsou obě povolené pro vašeho tenanta. Tyto zásady určují, jestli má uživatel během přihlašování přerušit registraci, a jaké metody jsou k dispozici pro registraci. Pokud je povolená jenom zásada SSPR, uživatelé budou moct přerušení registrace přeskočit a dokončit později.

Tady jsou ukázkové scénáře, kdy se uživatelům může zobrazit výzva k registraci nebo aktualizaci bezpečnostních údajů:

  • Multi-Factor Authentication registrace vynutila prostřednictvím Identity Protection: Uživatelům se zobrazí výzva k registraci během přihlašování. Registrují Multi-Factor Authentication metody a metody SSPR (Pokud je uživatel povolený pro SSPR).
  • Multi-Factor Authentication registrace vynutila prostřednictvím Multi-Factor Authentication pro jednotlivé uživatele: Uživatelům se zobrazí výzva k registraci během přihlašování. Registrují Multi-Factor Authentication metody a metody SSPR (Pokud je uživatel povolený pro SSPR).
  • Multi-Factor Authentication registrace vynutila prostřednictvím podmíněného přístupu nebo jiných zásad: Uživatelům se zobrazí výzva k registraci při použití prostředku, který vyžaduje Multi-Factor Authentication. Registrují Multi-Factor Authentication metody a metody SSPR (Pokud je uživatel povolený pro SSPR).
  • SSPR se vynutila registrace: Uživatelům se zobrazí výzva k registraci během přihlašování. Registrují pouze metody SSPR.
  • Vynutila se aktualizace SSPR: Uživatelé se musí podívat na své bezpečnostní údaje v intervalu nastaveném správcem. Uživatelům se zobrazí jejich informace a může potvrdit aktuální informace nebo provést změny v případě potřeby.

Když se registrace vynutila, zobrazí se uživatelům minimální počet metod, které musí být v souladu se zásadami Multi-Factor Authentication a SSPR, od nejvíce po nejméně bezpečnou.

Vezměte v úvahu následující vzorový scénář:

  • Uživatel je povolený pro SSPR. zásady SSPR vyžadují, aby se obnovily dvě metody a povolily Authenticator aplikací, e-mailu a telefonu.
  • Když se uživatel rozhodne zaregistrovat, vyžadují se dvě metody:
    • ve výchozím nastavení se uživateli zobrazí Authenticator aplikace a telefon.
    • uživatel se může rozhodnout k registraci e-mailu místo Authenticator aplikace nebo telefonu.

Následující vývojový diagram popisuje, které metody se uživateli zobrazí při přerušení registrace během přihlašování:

Diagram kombinovaných bezpečnostních údajů

Pokud máte povolené Multi-Factor Authentication i SSPR, doporučujeme, abyste vynutili registraci Multi-Factor Authentication.

Pokud zásady SSPR vyžadují, aby si uživatelé zkontrolovali své bezpečnostní údaje v pravidelných intervalech, přeruší se během přihlašování a zobrazí se všechny registrované metody. Může potvrdit aktuální informace, pokud je aktuální, nebo může dělat změny, pokud je potřebují. Uživatelé musí při přístupu k této stránce provádět službu Multi-Factor Authentication.

Režim správy

Uživatelé mají přístup ke správě režimu tak, že https://aka.ms/mysecurityinfo v něm nebo vyberou bezpečnostní údaje z mého účtu. Odtud mohou uživatelé přidávat metody, odstraňovat nebo měnit existující metody, měnit výchozí metodu a další.

Scénáře použití klíčů

Nastavení bezpečnostních údajů během přihlášení

Správce vynutil registraci.

Uživatel nenainstaloval všechny požadované bezpečnostní údaje a přejde na Azure Portal. Po zadání uživatelského jména a hesla se uživateli zobrazí výzva k nastavení bezpečnostních údajů. Uživatel pak podle kroků uvedených v průvodci nastaví požadované bezpečnostní údaje. Pokud to nastavení povoluje, může uživatel zvolit možnost nastavit jiné metody než ty, které jsou ve výchozím nastavení zobrazené. Po dokončení průvodce si uživatelé Prohlédněte metody, které nastavili, a jejich výchozí metodu pro Multi-Factor Authentication. K dokončení procesu instalace uživatel potvrdí informace a pokračuje Azure Portal.

Nastavit bezpečnostní údaje z mého účtu

Správce vynutil registraci.

Uživatel, který ještě nevytvořil všechny požadované bezpečnostní údaje, se dostane do https://myaccount.microsoft.com . Uživatel vybere v levém podokně informace o zabezpečení . Odtud se uživatel rozhodne přidat metodu, vybere některou z dostupných metod a postupuje podle pokynů k nastavení této metody. Po dokončení uživatel uvidí metodu, která byla nastavena na stránce informace o zabezpečení.

Odstranit informace o zabezpečení z mého účtu

Uživatel, který dříve nainstaloval alespoň jednu metodu, přejde na https://aka.ms/mysecurityinfo . Uživatel se rozhodne odstranit jednu z dříve registrovaných metod. Po dokončení již uživatel na stránce informace o zabezpečení nevidí tuto metodu.

Změna výchozí metody z mého účtu

Uživatel, který dříve nainstaloval alespoň jednu metodu, kterou lze použít pro Multi-Factor Authentication přejít na https://aka.ms/mysecurityinfo . Uživatel změní aktuální výchozí metodu na jinou výchozí metodu. Po dokončení uživatel uvidí novou výchozí metodu na stránce bezpečnostní údaje.

Přepnout adresář

Externí identita, jako je třeba uživatel B2B, může potřebovat přepnout adresář a změnit informace o registraci zabezpečení pro tenanta třetí strany. Uživatelé, kteří přistupují k tenantovi prostředků, se navíc můžou zaměňovat, když změní nastavení v jeho domovském tenantovi, ale změny se projeví v tenantovi poskytujícím prostředky.

například uživatel Microsoft Authenticator nastaví jako primární ověřování pro přihlášení k domovskému klientovi a také SMS/Text jako jinou možnost. Tento uživatel je také nakonfigurován s možností SMS/text v tenantovi prostředku. Pokud tento uživatel odebere SMS/text jako jednu z možností ověřování na svém domovském tenantovi, dojde k zaměňování při přístupu k tenantovi prostředku, aby reagoval na SMS/textovou zprávu.

Chcete-li přepnout adresář v Azure Portal, klikněte na název účtu uživatele v pravém horním rohu a klikněte na Přepnout adresář.

Externí uživatelé můžou přepnout do adresáře.

Další kroky

Informace o tom, jak začít, najdete v kurzech Povolení samoobslužného resetování hesla a Povolení Multi-Factor Authentication služby Azure AD.

Naučte se, jak Povolit kombinovanou registraci ve vašem tenantovi nebo přinutit uživatele, aby znovu zaregistrovali metody ověřování.

Můžete si také prohlédnout dostupné metody pro Azure AD Multi-Factor Authentication a SSPR.