Konfigurace a povolení ověřování na základě SMS pomocí Azure Active Directory

Pro zjednodušení a zabezpečení přihlašování k aplikacím a službám nabízí Azure Active Directory (Azure AD) několik možností ověřování. Ověřování pomocí SMS umožňuje uživatelům přihlásit se bez poskytnutí nebo dokonce znalosti uživatelského jména a hesla. Po vytvoření účtu správcem identity může na výzvu k přihlášení zadat své telefonní číslo. Obdrží ověřovací kód prostřednictvím textové zprávy, kterou může poskytnout k dokončení přihlášení. Tato metoda ověřování zjednodušuje přístup k aplikacím a službám, zejména pracovníkům front-line.

Tento článek ukazuje, jak povolit ověřování pomocí SMS pro vybrané uživatele nebo skupiny v Azure AD. Seznam aplikací, které podporují přihlašování pomocí SMS, najdete v tématu Podpora aplikací pro ověřování pomocí SMS.

Než začnete

K dokončení tohoto článku potřebujete následující prostředky a oprávnění:

Známé problémy

Tady jsou některé známé problémy:

  • Ověřování pomocí SMS není v současné době kompatibilní se službou Azure AD Multi-Factor Authentication.
  • S výjimkou Teams není ověřování pomocí SMS kompatibilní s nativními Office aplikacemi.
  • Ověřování pomocí SMS se pro účty B2B nedoporučuje.
  • Federovaní uživatelé se neověřují v domovském tenantovi. Ověřují se jenom v cloudu.
  • Pokud je výchozí metodou přihlášení uživatele textová zpráva nebo volání na vaše telefonní číslo, je sms kód nebo hlasový hovor odeslán automaticky během vícefaktorového ověřování. Od června 2021 budou některé aplikace žádat uživatele, aby jako první zvolili Text nebo Volat. Tato možnost zabraňuje odesílání příliš mnoha bezpečnostních kódů pro různé aplikace. Pokud je výchozí metodou přihlášení aplikace Microsoft Authenticator(coždůrazně doporučujeme), pak se oznámení aplikace odesílá automaticky.

Povolení metody ověřování na základě SMS

Existují tři hlavní kroky, jak ve vaší organizaci povolit a používat ověřování pomocí SMS:

  • Povolte zásady metody ověřování.
  • Vyberte uživatele nebo skupiny, které mohou používat metodu ověřování na základě SMS.
  • Každému uživatelskému účtu přiřaďte telefonní číslo.
    • Toto telefonní číslo je možné přiřadit v Azure Portal (který je zobrazený v tomto článku) a v části Moji zaměstnancinebo Můj účet.

Nejprve povolíme ověřování na základě SMS pro vašeho tenanta Azure AD.

  1. Přihlaste se k Azure Portal jako globální správce.

  2. Vyhledejte a vyberte Azure Active Directory.

  3. V navigační nabídce na levé straně okna Azure Active Directory zabezpečení vyberte Metody ověřování Zásady metody > ověřování.

    Browse to and select the Authentication method policy window in the Azure portal.

  4. V seznamu dostupných metod ověřování vyberte Textová zpráva.

  5. Nastavte Povolit na Ano.

    Enable text authentication in the authentication method policy window

    Ověřování na základě SMS můžete povolit pro Všechny uživatele nebo Vybrat uživatele a skupiny. V další části povolíte ověřování pomocí SMS pro testovacího uživatele.

Přiřazení metody ověřování uživatelům a skupinám

Když je ve vašem tenantovi Azure AD povolené ověřování na základě SMS, vyberte teď některé uživatele nebo skupiny, kteří mají tuto metodu ověřování povolit.

  1. V okně zásad ověřování textovou zprávou nastavte Cíl na Vybrat uživatele.

  2. Zvolte Přidat uživatele nebo skupinya pak vyberte testovacího uživatele nebo skupinu, například Contoso User nebo Contoso SMS Users.

    Choose users or groups to enable for SMS-based authentication in the Azure portal.

  3. Po výběru uživatelů nebo skupin zvolte Vybrata pak uložte aktualizovanou zásadu metody ověřování.

Každý uživatel, který je povolený v zásadách metody ověřování textových zpráv, musí mít licenci, i když ji nepou ití. Ujistěte se, že máte odpovídající licence pro uživatele, které povolíte v zásadách metody ověřování, zejména pokud tuto funkci povolíte pro velké skupiny uživatelů.

Nastavení telefonního čísla pro uživatelské účty

Uživatelé teď mají povolené ověřování pomocí SMS, ale jejich telefonní číslo musí být přidružené k profilu uživatele v Azure AD, aby se mohli přihlásit. Uživatel může toto telefonní číslo nastavit sami včástiMůj účet nebo můžete telefonní číslo přiřadit pomocí Azure Portal. Telefon mohou nastavit globálnísprávci, správci ověřovánínebo správci privilegovaného ověřování.

Pokud je u telefonního čísla nastavené znaménko SMS, je také k dispozici pro použití se službou Azure AD Multi-Factor Authentication a samoobslužné resetování hesla.

  1. Vyhledejte a vyberte Azure Active Directory.

  2. V navigační nabídce na levé straně okna Azure Active Directory vyberte Uživatelé.

  3. Vyberte uživatele, pro který jste v předchozí části povolili ověřování pomocí SMS, například Uživatel Contoso,a pak vyberte Metody ověřování.

  4. Vyberte + Přidat metoduověřování a pak v rozevírací nabídce Zvolit metodu zvolte Telefon číslo.

    Zadejte telefonní číslo uživatele včetně kódu země, například +1 xxxxxxxxx. V Azure Portal ověří, že je telefonní číslo ve správném formátu.

    Potom v rozevírací Telefon typ vyberte Podle potřeby Mobilní,Alternativní mobilní nebo Jiné.

    Set a phone number for a user in the Azure portal to use with SMS-based authentication

    Telefonní číslo musí být v tenantovi jedinečné. Pokud se pokusíte použít stejné telefonní číslo pro více uživatelů, zobrazí se chybová zpráva.

  5. Pokud chcete telefonní číslo použít na uživatelský účet, vyberte Přidat.

Po úspěšném zřízení se u služby SMS Sign-in enabled zobrazí značka zaškrtnutí.

Test přihlášení na základě SMS

Pokud chcete otestovat uživatelský účet, který je teď povolený pro přihlášení na základě SMS, proveďte následující kroky:

  1. Otevřete nové okno webového prohlížeče InPrivate nebo Incognito. https://www.office.com

  2. V pravém horním rohu vyberte Přihlásit se.

  3. Na výzvu k přihlášení zadejte telefonní číslo přidružené k uživateli v předchozí části a pak vyberte Další.

    Enter a phone number at the sign-in prompt for the test user

  4. Na poskytnuté telefonní číslo se odesílá textová zpráva. Proces přihlášení dokončíte zadáním 6ciferného kódu, který je v textové zprávě na výzvu k přihlášení.

    Enter the confirmation code sent via text message to the user's phone number

  5. Uživatel je teď přihlášený bez nutnosti zazadat uživatelské jméno nebo heslo.

Řešení potíží s přihlášením přes SMS

Pokud máte problémy s povolením a používáním přihlášení na základě SMS, můžete použít následující scénáře a kroky pro řešení potíží. Seznam aplikací, které podporují přihlašování pomocí SMS, najdete v tématu Podpora aplikací pro ověřování pomocí SMS.

Telefon číslo už nastavené pro uživatelský účet

Pokud už uživatel zaregistroval službu Azure AD Multi-Factor Authentication nebo samoobslužné resetování hesla (SSPR), ke svému účtu už má přidružené telefonní číslo. Toto telefonní číslo není automaticky dostupné pro použití s přihlášením přes SMS.

Uživateli, který už má nastavené telefonní číslo pro svůj účet, se na stránce Můj profil zobrazí tlačítko Povolit pro přihlášení POMOCÍ SMS. Vyberte toto tlačítko a účet se povolí pro použití s přihlášením pomocí SMS a předchozí registrací služby Azure AD Multi-Factor Authentication nebo SSPR.

Další informace o prostředí pro koncové uživatele najdete v tématu Uživatelské prostředí pro přihlášení pomocí SMS pro telefonní číslo.

Chyba při pokusu o nastavení telefonního čísla v účtu uživatele

Pokud se vám při pokusu o nastavení telefonního čísla pro uživatelský účet v části Azure Portal, projděte si následující postup řešení potíží:

  1. Ujistěte se, že máte povolené přihlašování pomocí SMS.
  2. Ověřte, že je uživatelský účet povolený v zásadách metody ověřování textových zpráv.
  3. Ujistěte se, že jste telefonní číslo nastavili se správným formátováním, jak je ověřeno v Azure Portal (například +1 4251234567).
  4. Ujistěte se, že telefonní číslo není použité jinde ve vašem tenantovi.
  5. Zkontrolujte, že účet nemá nastavené žádné hlasové číslo. Pokud je nastavené hlasové číslo, odstraňte ho a zkuste to znovu.

Další kroky

  • Seznam aplikací, které podporují přihlašování pomocí SMS, najdete v tématu Podpora aplikací pro ověřování pomocí SMS.
  • Další způsoby přihlášení k Azure AD bez hesla, jako jsou klíče zabezpečení Microsoft Authenticator App nebo FIDO2, najdete v tématu Možnosti ověřování bez hesla pro Azure AD.
  • K povolení nebo zakázání přihlašování založeného na Graph REST API SMS můžete použít také Microsoft Graph REST API.