Konfigurace nastavení vícefaktorového ověřování Microsoft Entra

  • Článek

Pokud chcete přizpůsobit prostředí koncového uživatele pro vícefaktorové ověřování (MFA) Microsoft Entra, můžete nakonfigurovat možnosti pro nastavení, jako jsou prahové hodnoty uzamčení účtu nebo upozornění na podvody a oznámení.

K dispozici jsou následující nastavení vícefaktorového ověřování Microsoft Entra:

Funkce Popis
Uzamčení účtu (jenom MFA Server) Pokud je na řádku příliš mnoho pokusů o odepření ověřování, dočasně zamkněte účty z používání vícefaktorového ověřování Microsoft Entra MFA. Tato funkce platí jenom pro uživatele, kteří k ověření používají MFA Server.
Blokování nebo odblokování uživatelů Zablokujte, aby konkrétní uživatelé mohli přijímat žádosti Microsoft Entra MFA. Všechny pokusy o ověření zablokovaných uživatelů se automaticky zamítnou. Uživatel není vyzván k vícefaktorovým ověřováním po dobu 90 dnů od doby, kdy je blokovaný.
Upozornění na podvod Nakonfigurujte nastavení, která uživatelům umožňují hlásit podvodné žádosti o ověření.
Nahlášení podezřelé aktivity Nakonfigurujte nastavení, která uživatelům umožňují hlásit podvodné žádosti o ověření.
Oznámení Povolte oznámení událostí ze serveru MFA.
Tokeny OATH Používá se v cloudových prostředích Microsoft Entra MFA ke správě tokenů OATH pro uživatele.
nastavení volání Telefon Nakonfigurujte nastavení týkající se telefonních hovorů a pozdravů pro cloudová a místní prostředí.
Poskytovatelé Zobrazí se všechny existující zprostředkovatele ověřování, které jste přidružili ke svému účtu. Přidání nových poskytovatelů je od 1. září 2018 zakázané.

Nastavení vícefaktorového ověřování Microsoft Entra

Uzamčení účtu (jenom MFA Server)

Poznámka:

Uzamčení účtu má vliv jenom na uživatele, kteří se přihlašují pomocí místního MFA Serveru.

Aby se zabránilo opakovaným pokusům o vícefaktorové ověřování v rámci útoku, nastavení uzamčení účtu umožňuje určit, kolik neúspěšných pokusů o povolení před tím, než se účet po určitou dobu uzamkne. Nastavení uzamčení účtu se použije jenom v případě, že se pro výzvu vícefaktorového ověřování zadá kód PIN pomocí místního serveru MFA.

K dispozici jsou následující nastavení:

  • Počet odepření vícefaktorového ověřování, které aktivují uzamčení účtu
  • Počet minut do resetování čítače uzamčení účtu
  • Počet minut do automatického odblokování účtu

Pokud chcete nakonfigurovat nastavení uzamčení účtu, proveďte následující kroky:

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň zásady ověřování Správa istrator.

  2. Přejděte k >uzamčení účtu vícefaktorového ověřování.> Možná budete muset kliknout na zobrazit vícefaktorovéověřování.

  3. Zadejte hodnoty pro vaše prostředí a pak vyberte Uložit.

    Snímek obrazovky znázorňující nastavení uzamčení účtu

Blokování a odblokování uživatelů

Pokud dojde ke ztrátě nebo odcizení zařízení uživatele, můžete zablokovat pokusy Microsoft Entra MFA pro přidružený účet. Všechny pokusy o vícefaktorové ověřování Microsoft Entra pro blokované uživatele se automaticky odepře. Uživatel není vyzván k vícefaktorovým ověřováním po dobu 90 dnů od doby, kdy je blokovaný.

Blokování uživatele

Pokud chcete uživatele zablokovat, proveďte následující kroky.

  1. Přejděte na Možnost Blokovat>vícefaktorové ověřování>nebo odblokovat uživatele.
  2. Vyberte Přidat a zablokujte uživatele.
  3. Zadejte uživatelské jméno blokovaného uživatele ve formátu username@domain.coma do pole Důvod zadejte komentář.
  4. Výběrem možnosti OK zablokujte uživatele.

Odblokování uživatele

Pokud chcete uživatele odblokovat, proveďte následující kroky:

  1. Přejděte na Blok>vícefaktorového ověřování>nebo odblokujte uživatele.
  2. Ve sloupci Akce vedle uživatele vyberte Odblokovat.
  3. Do pole Důvod odblokování zadejte komentář.
  4. Pokud chcete uživatele odblokovat, vyberte OK .

Výstraha podvodů

Funkce upozornění na podvod umožňuje uživatelům hlásit podvodné pokusy o přístup ke svým prostředkům. Když se zobrazí neznámá a podezřelá výzva k vícefaktorovým ověřováním, můžou uživatelé nahlásit pokus o podvod pomocí aplikace Microsoft Authenticator nebo přes telefon.

Společnost Microsoft doporučuje místo výstrahy podvodu používat podezřelou aktivitu sestav kvůli integraci se službou Identity Protection pro nápravu řízenou rizikem, lepší možnosti vytváření sestav a nejméně privilegovanou správu.

K dispozici jsou následující možnosti konfigurace upozornění na podvody:

  • Automaticky blokovat uživatele, kteří hlásí podvod. Pokud uživatel hlásí podvod, pokusy o vícefaktorové ověřování Azure AD pro uživatelský účet se zablokují po dobu 90 dnů nebo dokud správce účet neodblokuje. Správce může zkontrolovat přihlášení pomocí sestavy přihlašování a provést odpovídající opatření, aby se zabránilo budoucím podvodům. Správce pak může účet uživatele odblokovat .

  • Kód pro hlášení podvodů během počátečního pozdravu Když se uživatelům zobrazí telefonní hovor, který provede vícefaktorové ověřování, obvykle stiskne # a potvrdí přihlášení. Pokud chcete nahlásit podvod, uživatel před stisknutím klávesy #zadá kód . Tento kód je ve výchozím nastavení 0 , ale můžete ho přizpůsobit. Pokud je povolené automatické blokování, po stisknutí 0# uživatel oznámí podvod, musí stisknout 1 , aby potvrdil blokování účtu.

    Poznámka:

    Výchozí pozdravy hlasu od Microsoftu dávají uživatelům pokyn, aby stiskli 0# a odeslali upozornění na podvod. Pokud chcete použít jiný kód než 0, nahrajte a nahrajte vlastní pozdravy hlasu s odpovídajícími pokyny pro uživatele.

Pokud chcete povolit a nakonfigurovat upozornění na podvody, proveďte následující kroky:

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň zásady ověřování Správa istrator.
  2. Přejděte k upozornění na ochranu>před podvody s vícefaktorovým ověřováním>.
  3. Nastavte Možnost Povolit uživatelům odesílat upozornění na podvody na zapnuto.
  4. Nakonfigurujte uživatele, kteří automaticky blokují podvody nebo kód, a podle potřeby hlásí podvod při počátečním nastavení pozdravu.
  5. Zvolte Uložit.

Nahlášení podezřelé aktivity

Nahlásit podezřelou aktivitu, aktualizovanou funkci upozornění na podvod s vícefaktory, je teď dostupná. Když se zobrazí neznámá a podezřelá výzva k vícefaktorovým ověřováním, můžou uživatelé nahlásit pokus o podvod pomocí aplikace Microsoft Authenticator nebo přes telefon. Tato upozornění jsou integrovaná se službou Identity Protection , která poskytuje komplexnější pokrytí a možnosti.

Uživatelé, kteří hlásí výzvu vícefaktorového ověřování jako podezřelou, jsou nastavená na vysoké uživatelské riziko. Správa istrátory můžou pomocí zásad založených na rizicích omezit přístup pro tyto uživatele nebo povolit samoobslužné resetování hesla (SSPR), aby uživatelé mohli sami napravit problémy. Pokud jste dříve použili funkci automatického blokování upozornění na podvod a nemáte licenci Microsoft Entra ID P2 pro zásady založené na riziku, můžete pomocí událostí detekce rizik identifikovat a zakázat ovlivněné uživatele a automaticky zabránit jejich přihlášení. Další informace o používání zásad založených na rizicích najdete v tématu Zásady přístupu na základě rizik.

Povolení podezřelé aktivity sestavy z metod ověřování Nastavení:

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň zásady ověřování Správa istrator.
  2. Přejděte na metody> ověřování ochrany>Nastavení.
  3. Nastavte podezřelou aktivitu sestavy na Povoleno. Tato funkce zůstane zakázaná, pokud zvolíte Spravované Microsoftem. Další informace o spravovaných hodnotách Společnosti Microsoft naleznete v tématu Ochrana metod ověřování v Microsoft Entra ID.
  4. Vyberte Všechny uživatele nebo konkrétní skupinu.
  5. Pokud také nahrajete vlastní pozdravy pro vašeho tenanta, vyberte kód pro vytváření sestav. Kód pro hlášení je číslo, které uživatelé zadávají do svého telefonu, aby nahlásili podezřelou aktivitu. Kód pro vytváření sestav se dá použít jenom v případě, že vlastní pozdravy nahraje Správa istrator zásad ověřování. Jinak je výchozí kód 0 bez ohledu na libovolnou hodnotu zadanou v zásadách.
  6. Klikněte na možnost Uložit.

Poznámka:

Pokud povolíte podezřelou aktivitu sestav a zadáte vlastní hodnotu hlasového hlášení, zatímco tenant má stále zapnuté upozornění na podvody paralelně s nakonfigurovaným vlastním číslem hlášení hlasu, použije se hodnota podezřelé aktivity sestavy místo upozornění na podvod.

Zobrazení podezřelých událostí aktivit

Když uživatel hlásí výzvu vícefaktorového ověřování jako podezřelou, zobrazí se událost v sestavě přihlášení (jako přihlášení, které uživatel odmítl), v protokolech auditu a v sestavě Detekce rizik.

  • Pokud chcete zobrazit sestavu detekce rizik, vyberte Detekci rizik ochrany>identity Identity Protection>. Riziková událost je součástí standardní sestavy detekce rizik a zobrazí se jako aktivita Typu detekce Hlášená podezřelá aktivita uživatele, vysoká úroveň rizika, nahlášený koncový uživatel zdroje.

  • Pokud chcete zobrazit sestavy podvodů v sestavě přihlášení, vyberte Podrobnosti ověřování v protokolech>monitorování identit>a přihlášení ke stavu.> Zpráva o podvodech je součástí standardní sestavy přihlášení Microsoft Entra a zobrazí se v podrobnostech výsledku jako vícefaktorové ověřování odepřeno, kód podvodu byl zadán.

  • Pokud chcete zobrazit sestavy podvodů v protokolech auditu, vyberte protokoly auditu monitorování identit>a stavu>. Sestava podvodu se zobrazí v části Nahlášené podvody typu Aktivity – uživatel je zablokovaný pro vícefaktorové ověřování nebo podvody – na základě nastavení na úrovni tenanta pro hlášení podvodů se neprojeví žádná akce.

Poznámka:

Uživatel není hlášen jako vysoké riziko, pokud provádí ověřování bez hesla.

Správa podezřelých událostí aktivit

Jakmile uživatel nahlásí výzvu jako podezřelou, mělo by se riziko prošetřit a napravit pomocí identity Protection.

Hlášení podezřelých aktivit a upozornění na podvod

Hlásit podezřelou aktivitu a starší implementaci upozornění na podvod může fungovat paralelně. Funkce upozornění na podvody v rámci celého tenanta můžete zachovat, když začnete používat podezřelou aktivitu sestav s cílovou testovací skupinou.

Pokud je upozornění na podvod povolené s automatickým blokováním a je povolená podezřelá aktivita , přidá se uživatel do seznamu blokovaných položek a nastaví se jako vysoce rizikový a v rozsahu pro všechny ostatní nakonfigurované zásady. Tito uživatelé budou muset odebrat ze seznamu blokovaných položek a opravit rizika, aby se mohli přihlásit pomocí vícefaktorového ověřování.

Notifications

Microsoft Entra ID můžete nakonfigurovat tak, aby odesílala e-mailová oznámení, když uživatelé hlásí upozornění na podvody. Tato oznámení se obvykle posílají správcům identit, protože přihlašovací údaje účtu uživatele jsou pravděpodobně ohroženy. Následující příklad ukazuje, jak e-mail s oznámením o podvodech vypadá:

Snímek obrazovky s e-mailem s oznámením o podvodech

Konfigurace oznámení upozornění na podvody:

  1. Přejděte na Oznámení o vícefaktorové ověřování ochrany>>.
  2. Zadejte e-mailovou adresu, na kterou chcete oznámení odeslat.
  3. Pokud chcete odebrat existující e-mailovou adresu, vyberte ... vedle e-mailové adresy a pak vyberte Odstranit.
  4. Zvolte Uložit.

Tokeny OATH

Microsoft Entra ID podporuje použití tokenů SHA-1 OATH, které aktualizují kódy každých 30 nebo 60 sekund. Tyto tokeny si můžete zakoupit od dodavatele podle vašeho výběru.

Hardwarové tokeny OATH TOTP obvykle obsahují tajný kód (počáteční kód) předem naprogramovaný v tokenu. Tyto klíče musíte zadat do ID Microsoft Entra, jak je popsáno v následujících krocích. Tajné klíče jsou omezené na 128 znaků, což nemusí být kompatibilní se všemi tokeny. Tajný klíč může obsahovat pouze znaky a-z nebo A-Z a číslice 1-7. Musí být kódován v Base32.

Hardwarové tokeny OATH TOTP, které je možné převést, je možné nastavit také pomocí Microsoft Entra ID v toku nastavení softwarového tokenu.

Hardwarové tokeny OATH jsou podporovány jako součást verze Public Preview. Další informace o verzích Preview najdete v dodatečných podmínkách použití systémů Microsoft Azure Preview.

Snímek obrazovky znázorňující oddíl tokenů OATH

Po získání tokenů je potřeba je nahrát ve formátu souboru s oddělovači (CSV). Uveďte hlavní název uživatele (UPN), sériové číslo, tajný klíč, časový interval, výrobce a model, jak je znázorněno v tomto příkladu:

upn,serial number,secret key,time interval,manufacturer,model
Helga@contoso.com,1234567,1234567abcdef1234567abcdef,60,Contoso,HardwareKey

Poznámka:

Nezapomeňte do souboru CSV zahrnout řádek záhlaví.

Přihlaste se do Centra pro správu Microsoft Entra jako globální Správa istrator, přejděte na Vícefaktorové>ověřovací tokeny OATH a>nahrajte soubor CSV.

V závislosti na velikosti souboru CSV může zpracování trvat několik minut. Stav získáte výběrem možnosti Aktualizovat . Pokud v souboru dojde k nějakým chybám, můžete si stáhnout soubor CSV se seznamem. Názvy polí ve staženého souboru CSV se liší od polí v nahrané verzi.

Po vyřešení jakýchkoli chyb může správce aktivovat každý klíč výběrem možnosti Aktivovat token a zadáním jednorázového hesla zobrazeného v tokenu.

Uživatelé můžou mít kombinaci až pěti hardwarových tokenů OATH nebo ověřovacích aplikací, jako je aplikace Microsoft Authenticator, nakonfigurovaných pro použití kdykoli.

Důležité

Nezapomeňte každému tokenu přiřadit pouze jednomu uživateli. V budoucnu se podpora přiřazení jednoho tokenu více uživatelům zastaví, aby se zabránilo bezpečnostnímu riziku.

Nastavení telefonních hovorů

Pokud uživatelé dostanou telefonní hovory pro výzvy vícefaktorového ověřování, můžete nakonfigurovat jejich prostředí, jako je ID volajícího nebo hlasový pozdrav, který uslyší.

Pokud jste v USA nenakonfigurovali ID volajícího vícefaktorového ověřování, hlasové hovory od Microsoftu pocházejí z následujících čísel. Uživatelé s filtry spamu by tato čísla měli vyloučit.

Výchozí číslo: +1 (855) 330-8653

Následující tabulka uvádí více čísel pro různé země.

Země/oblast Číslo(a)
Rakousko +43 6703062076
Bangladéš +880 9604606026
Chorvatsko +385 15507766
Ekvádor +593 964256042
Estonsko +372 6712726
Francie +33 744081468
Ghana +233 308250245
Řecko +30 2119902739
Guatemala +502 23055056
Hongkong – zvláštní administrativní oblast +852 25716964
Indie +91 3371568300, +91 1205089400, +91 4471566601, +91 2271897557, +91 1203524400, +91 3335105700, +91 2235544120, +91 4435279600
Jordánsko +962 797639442
Keňa +254 709605276
Nizozemsko +31 202490048
Nigérie +234 7080627886
Pákistán +92 4232618686
Polsko +48 699740036
Saúdská Arábie +966 115122726
Jižní Afrika +27 872405062
Španělsko +34 913305144
Srí Lanka +94 117750440
Švédsko +46 701924176
Tchaj-wan +886 277515260
Turecko +90 8505404893
Ukrajina +380 443332393
Spojené arabské emiráty +971 44015046
Vietnam +84 2039990161

Poznámka:

Když jsou volání vícefaktorového ověřování Microsoft Entra umístěna prostřednictvím veřejné telefonní sítě, někdy se volání směrují přes operátora, který nepodporuje ID volajícího. Z tohoto důvodu není ID volajícího zaručeno, i když microsoft Entra vícefaktorové ověřování vždy odesílá. To platí jak pro telefonní hovory, tak textové zprávy poskytované vícefaktorovým ověřováním Microsoft Entra. Pokud potřebujete ověřit, že textová zpráva pochází z vícefaktorového ověřování Microsoft Entra, přečtěte si, jaké krátké kódy se používají k odesílání zpráv?

Pokud chcete nakonfigurovat vlastní číslo ID volajícího, proveďte následující kroky:

  1. Přejděte na Vícefaktorové>ověřování Telefon> nastavení volání.
  2. Nastavte číslo ID volajícího MFA na číslo, které mají uživatelé vidět na svých telefonech. Jsou povolena pouze čísla založená na USA.
  3. Zvolte Uložit.

Poznámka:

Když jsou volání vícefaktorového ověřování Microsoft Entra umístěna prostřednictvím veřejné telefonní sítě, někdy se volání směrují přes operátora, který nepodporuje ID volajícího. Z tohoto důvodu není ID volajícího zaručeno, i když microsoft Entra vícefaktorové ověřování vždy odesílá. To platí jak pro telefonní hovory, tak textové zprávy poskytované vícefaktorovým ověřováním Microsoft Entra. Pokud potřebujete ověřit, že textová zpráva pochází z vícefaktorového ověřování Microsoft Entra, přečtěte si, jaké krátké kódy se používají k odesílání zpráv?

Vlastní hlasové zprávy

Pro vícefaktorové ověřování Microsoft Entra můžete použít vlastní nahrávky nebo pozdravy. Tyto zprávy je možné použít kromě výchozích nahrávek Microsoftu nebo je nahradit.

Než začnete, mějte na paměti následující omezení:

  • Podporované formáty souborů jsou .wav a .mp3.
  • Limit velikosti souboru je 1 MB.
  • Ověřovací zprávy by měly být kratší než 20 sekund. Zprávy delší než 20 sekund můžou způsobit selhání ověření. Pokud uživatel neodpoví, než se zpráva dokončí, vyprší časový limit ověření.

Vlastní chování jazyka zpráv

Když se uživateli přehraje vlastní hlasová zpráva, závisí jazyk zprávy na následujících faktorech:

  • Jazyk uživatele.
    • Jazyk zjištěný prohlížečem uživatele.
    • Jiné scénáře ověřování se můžou chovat jinak.
  • Jazyk všech dostupných vlastních zpráv.
    • Tento jazyk zvolí správce při přidání vlastní zprávy.

Pokud je například jenom jedna vlastní zpráva a je v němčině:

  • Uživatel, který se ověřuje v německém jazyce, uslyší vlastní německou zprávu.
  • Uživatel, který se ověřuje v angličtině, uslyší standardní anglickou zprávu.

Výchozí hodnoty vlastních hlasových zpráv

K vytvoření vlastních zpráv můžete použít následující ukázkové skripty. Tyto fráze jsou výchozí, pokud nenakonfigurujete vlastní zprávy.

Název zprávy Skript
Úspěšné ověření Vaše přihlášení bylo úspěšně ověřeno. Nashledanou.
Výzva k rozšíření Děkujeme, že jste používali systém ověřování přihlašování od Microsoftu. Pokračujte stisknutím libry.
Potvrzení podvodu Bylo odesláno upozornění na podvod. Pokud chcete účet odblokovat, obraťte se prosím na technickou podporu IT vaší společnosti.
Pozdrav podvodu (standardní) Děkujeme, že jste používali systém ověřování přihlašování od Microsoftu. Dokončete ověření stisknutím křížku. Pokud jste toto ověření nezahájili, může se někdo pokusit o přístup k vašemu účtu. Pokud chcete odeslat upozornění na podvod, stiskněte nula liber. Tím oznámíte IT týmu vaší společnosti a zablokuje se další pokusy o ověření.
Nahlášené podvody Bylo odesláno upozornění na podvod. Pokud chcete účet odblokovat, obraťte se prosím na technickou podporu IT vaší společnosti.
Aktivace Děkujeme, že jste používali ověřovací systém přihlašování Microsoftu. Dokončete ověření stisknutím křížku.
Opakované pokusy o odepření ověřování Ověření bylo zamítnuto.
Opakování (standard) Děkujeme, že jste používali ověřovací systém přihlašování Microsoftu. Dokončete ověření stisknutím křížku.
Pozdrav (standardní) Děkujeme, že jste používali ověřovací systém přihlašování Microsoftu. Dokončete ověření stisknutím křížku.
Pozdrav (PIN) Děkujeme, že jste používali systém ověřování přihlašování od Microsoftu. Zadejte svůj PIN kód následovaný klíčem libry a dokončete ověření.
Pozdrav podvodu (PIN) Děkujeme, že jste používali systém ověřování přihlašování od Microsoftu. Zadejte svůj PIN kód následovaný klíčem libry a dokončete ověření. Pokud jste toto ověření nezahájili, může se někdo pokusit o přístup k vašemu účtu. Pokud chcete odeslat upozornění na podvod, stiskněte nula liber. Tím oznámíte IT týmu vaší společnosti a zablokuje se další pokusy o ověření.
Opakovat (PIN) Děkujeme, že jste používali systém ověřování přihlašování od Microsoftu. Zadejte svůj PIN kód následovaný klíčem libry a dokončete ověření.
Výzva k rozšíření za číslicemi Pokud už v tomto rozšíření, pokračujte stisknutím libry.
Ověřování bylo odepřeno. Omlouvám se, ale v tuto chvíli vás nemůžeme přihlásit. Zkuste to později.
Pozdrav aktivace (standardní) Děkujeme, že jste používali ověřovací systém přihlašování Microsoftu. Dokončete ověření stisknutím křížku.
Opakování aktivace (standard) Děkujeme, že jste používali ověřovací systém přihlašování Microsoftu. Dokončete ověření stisknutím křížku.
Pozdrav aktivace (PIN) Děkujeme, že jste používali systém ověřování přihlašování od Microsoftu. Zadejte svůj PIN kód následovaný klíčem libry a dokončete ověření.
Výzva k rozšíření před číslicemi Děkujeme, že jste používali systém ověřování přihlašování od Microsoftu. Přepošli prosím toto volání na rozšíření rozšíření<>.

Nastavení vlastní zprávy

Pokud chcete používat vlastní zprávy, proveďte následující kroky:

  1. Přejděte na Vícefaktorové>ověřování Telefon> nastavení volání.
  2. Vyberte Přidat pozdrav.
  3. Zvolte typ pozdravu, například Pozdrav (standardní) nebo Ověření bylo úspěšné.
  4. Vyberte jazyk. Viz předchozí část o chování jazyka vlastních zpráv.
  5. Vyhledejte a vyberte .mp3 nebo .wav zvukový soubor, který chcete nahrát.
  6. Vyberte Přidat a pak Uložit.

Nastavení služby MFA

Nastavení pro hesla aplikací, důvěryhodné IP adresy, možnosti ověřování a zapamatování vícefaktorového ověřování na důvěryhodných zařízeních jsou k dispozici v nastavení služby. Toto je starší verze portálu.

K nastavení služby se dostanete z Centra pro správu Microsoft Entra tak, že přejdete do části Začínáme s>vícefaktorovým ověřováním s vícefaktorovým>ověřováním– Konfigurace>dalších cloudových nastavení vícefaktorového ověřování.> Otevře se okno nebo karta s dalšími možnostmi nastavení služby.

Důvěryhodné IP adresy

Podmínky umístění představují doporučený způsob konfigurace vícefaktorového ověřování s podmíněným přístupem kvůli podpoře protokolu IPv6 a dalším vylepšením. Další informace o podmínkách umístění najdete v tématu Použití podmínky umístění v zásadách podmíněného přístupu. Postup definování umístění a vytvoření zásady podmíněného přístupu najdete v tématu Podmíněný přístup: Blokování přístupu podle umístění.

Funkce důvěryhodných IP adres vícefaktorového ověřování Microsoft Entra také obchází výzvy vícefaktorového ověřování pro uživatele, kteří se přihlašují z definovaného rozsahu IP adres. Pro vaše místní prostředí můžete nastavit důvěryhodné rozsahy IP adres. Pokud jsou uživatelé v některém z těchto umístění, nezobrazuje se výzva vícefaktorového ověřování Microsoft Entra. Funkce důvěryhodných IP adres vyžaduje edici Microsoft Entra ID P1.

Poznámka:

Důvěryhodné IP adresy můžou obsahovat rozsahy privátních IP adres jenom v případech, kdy používáte MFA Server. Pro cloudové vícefaktorové ověřování Microsoft Entra můžete použít pouze rozsahy veřejných IP adres.

Rozsahy IPv6 jsou podporovány v pojmenovaných umístěních.

Pokud vaše organizace používá rozšíření NPS k poskytování vícefaktorového ověřování místním aplikacím, bude se zdrojová IP adresa vždy zobrazovat jako server NPS, přes který probíhá pokus o ověření.

Typ tenanta Microsoft Entra Možnosti funkce důvěryhodné IP adresy
Spravované Konkrétní rozsah IP adres: Správa istrátory určují rozsah IP adres, které můžou obejít vícefaktorové ověřování pro uživatele, kteří se přihlašují z podnikového intranetu. Je možné nakonfigurovat maximálně 50 důvěryhodných rozsahů IP adres.
Federovaní Všichni federovaní uživatelé: Všichni federovaní uživatelé, kteří se přihlašují z organizace, můžou obejít vícefaktorové ověřování. Uživatelé obejdou ověření pomocí deklarace identity vydané službou Active Directory Federation Services (AD FS) (AD FS).
Konkrétní rozsah IP adres: Správa istrátory určují rozsah IP adres, které můžou obejít vícefaktorové ověřování pro uživatele, kteří se přihlašují z podnikového intranetu.

Obcházení důvěryhodných IP adres funguje jenom v intranetu společnosti. Pokud vyberete možnost Všichni federovaní uživatelé a uživatel se přihlásí mimo firemní intranet, musí se uživatel ověřit pomocí vícefaktorového ověřování. Proces je stejný i v případě, že uživatel prezentuje deklaraci identity služby AD FS.

Poznámka:

Pokud jsou v tenantovi nakonfigurované zásady vícefaktorového ověřování pro jednotlivé uživatele i zásady podmíněného přístupu, musíte přidat důvěryhodné IP adresy do zásad podmíněného přístupu a aktualizovat nastavení služby MFA.

Uživatelské prostředí v podnikové síti

Pokud je funkce důvěryhodných IP adres zakázaná, vyžaduje se pro toky prohlížeče vícefaktorové ověřování. Hesla aplikací se vyžadují pro starší plnohodnotné klientské aplikace.

Při použití důvěryhodných IP adres se pro toky prohlížeče nevyžaduje vícefaktorové ověřování. Pokud uživatel nevytvořil heslo aplikace, nevyžaduje se pro starší plnohodnotné klientské aplikace. Po použití hesla aplikace se vyžaduje heslo.

Uživatelské prostředí mimo podnikovou síť

Bez ohledu na to, jestli jsou definované důvěryhodné IP adresy, se pro toky prohlížeče vyžaduje vícefaktorové ověřování. Hesla aplikací se vyžadují pro starší plnohodnotné klientské aplikace.

Povolení pojmenovaných umístění pomocí podmíněného přístupu

Pravidla podmíněného přístupu můžete použít k definování pojmenovaných umístění pomocí následujícího postupu:

  1. Přihlaste se do Centra pro správu Microsoft Entra s úrovní minimálně jako Správce podmíněného přístupu.
  2. Přejděte k pojmenovaným umístěním> podmíněného přístupu ochrany.>
  3. Vyberte Nové umístění.
  4. Zadejte název umístění.
  5. Vyberte Označit jako důvěryhodné umístění.
  6. Do zápisu CIDR zadejte rozsah IP adres pro vaše prostředí. Například 40.77.182.32/27.
  7. Vyberte Vytvořit.

Povolení funkce důvěryhodných IP adres s využitím podmíněného přístupu

Pokud chcete povolit důvěryhodné IP adresy pomocí zásad podmíněného přístupu, proveďte následující kroky:

  1. Přihlaste se do Centra pro správu Microsoft Entra s úrovní minimálně jako Správce podmíněného přístupu.

  2. Přejděte k pojmenovaným umístěním> podmíněného přístupu ochrany.>

  3. Vyberte Konfigurovat důvěryhodné IP adresy vícefaktorového ověřování.

  4. Na stránce Nastavení služby v části Důvěryhodné IP adresy zvolte jednu z těchto možností:

    • U žádostí od federovaných uživatelů pocházejících z mého intranetu: Chcete-li vybrat tuto možnost, zaškrtněte políčko. Všichni federovaní uživatelé, kteří se přihlašují z podnikové sítě, obcházejí vícefaktorové ověřování pomocí deklarace identity vydané službou AD FS. Ujistěte se, že služba AD FS má pravidlo pro přidání deklarace intranetu do příslušného provozu. Pokud pravidlo neexistuje, vytvořte ve službě AD FS následující pravidlo:

      c:[Type== "https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork"] => issue(claim = c);

      Poznámka:

      Možnost Přeskočit vícefaktorové ověřování pro požadavky federovaných uživatelů na mém intranetu ovlivní vyhodnocení podmíněného přístupu pro umístění. Všechny požadavky s deklarací identity insidecorporatenetwork by byly považovány za přicházející z důvěryhodného umístění, pokud je tato možnost vybrána.

    • Pro žádosti z konkrétního rozsahu veřejných IP adres: Tuto možnost zvolíte tak, že do textového pole zadáte IP adresy v zápisu CIDR.

      • Pro IP adresy, které jsou v rozsahu xxx.xxx.xxx.1xxx.xxx.xxx.254, použijte notaci jako xxx.xxx.xxx.0/24.
      • Pro jednu IP adresu použijte notaci, jako je xxx.xxx.xxx.xxx/32.
      • Zadejte až 50 rozsahů IP adres. Uživatelé, kteří se z těchto IP adres přihlašují, obcházejí vícefaktorové ověřování.

  5. Zvolte Uložit.

Povolení funkce důvěryhodných IP adres s využitím nastavení služby

Pokud nechcete používat zásady podmíněného přístupu k povolení důvěryhodných IP adres, můžete nakonfigurovat nastavení služby pro vícefaktorové ověřování Microsoft Entra pomocí následujícího postupu:

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň zásady ověřování Správa istrator.

  2. Přejděte do části Ochrana>Vícefaktorového ověřování Další cloudová nastavení vícefaktorového>ověřování.

  3. Na stránce Nastavení služby v části Důvěryhodné IP adresy zvolte jednu nebo obě z následujících možností:

    • U žádostí federovaných uživatelů na mém intranetu: Pokud chcete vybrat tuto možnost, zaškrtněte políčko. Všichni federovaní uživatelé, kteří se přihlašují z podnikové sítě, obcházejí vícefaktorové ověřování pomocí deklarace identity vydané službou AD FS. Ujistěte se, že služba AD FS má pravidlo pro přidání deklarace intranetu do příslušného provozu. Pokud pravidlo neexistuje, vytvořte ve službě AD FS následující pravidlo:

      c:[Type== "https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork"] => issue(claim = c);

    • Pro požadavky ze zadaného rozsahu podsítí IP adres: Tuto možnost zvolíte tak, že do textového pole zadáte IP adresy v zápisu CIDR.

      • Pro IP adresy, které jsou v rozsahu xxx.xxx.xxx.1xxx.xxx.xxx.254, použijte notaci jako xxx.xxx.xxx.0/24.
      • Pro jednu IP adresu použijte notaci, jako je xxx.xxx.xxx.xxx/32.
      • Zadejte až 50 rozsahů IP adres. Uživatelé, kteří se z těchto IP adres přihlašují, obcházejí vícefaktorové ověřování.

  4. Zvolte Uložit.

Metody ověřování

Na portálu nastavení služby můžete zvolit metody ověřování, které jsou pro uživatele k dispozici. Když uživatelé zaregistrují své účty pro vícefaktorové ověřování Microsoft Entra, vyberou si upřednostňovanou metodu ověření z možností, které jste povolili. Pokyny k procesu registrace uživatele najdete v části Nastavení účtu pro vícefaktorové ověřování.

K dispozici jsou následující metody ověřování:

metoda Popis
Telefonní hovor Umístí automatizovaný hlasový hovor. Uživatel odpoví na hovor a stisknutím klávesy # na telefonu se ověří. Telefonní číslo se nesynchronuje s místní Active Directory.
Textová zpráva na telefon Odešle textovou zprávu obsahující ověřovací kód. Uživateli se zobrazí výzva k zadání ověřovacího kódu do přihlašovacího rozhraní. Tento proces se nazývá jednosměrná sms. Obousměrná sms znamená, že uživatel musí textovat zpět konkrétní kód. Obousměrná zpráva SMS je zastaralá a po 14. listopadu 2018 se nepodporuje. Správa istrátory by měly uživatelům, kteří dříve používali obousměrnou sms, povolit jinou metodu.
Oznámení přes mobilní aplikaci Odešle nabízené oznámení na telefon nebo registrované zařízení uživatele. Uživatel zobrazí oznámení a vybere Ověřit , aby se dokončilo ověření. Aplikace Microsoft Authenticator je dostupná pro Windows Telefon, Android a iOS.
Ověřovací kód z mobilní aplikace nebo hardwarového tokenu Aplikace Microsoft Authenticator každých 30 sekund vygeneruje nový ověřovací kód OATH. Uživatel zadá ověřovací kód do přihlašovacího rozhraní. Aplikace Microsoft Authenticator je dostupná pro Windows Telefon, Android a iOS.

Další informace naleznete v tématu Jaké metody ověřování a ověřování jsou k dispozici v Microsoft Entra ID?.

Povolení a zakázání metod ověřování

Pokud chcete povolit nebo zakázat metody ověřování, proveďte následující kroky:

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň zásady ověřování Správa istrator.
  2. Přejděte na Uživatele identity>.
  3. Vyberte Vícefaktorové ověřování pro jednotlivé uživatele.
  4. V části Vícefaktorové ověřování v horní části stránky vyberte Nastavení služby.
  5. Na stránce Nastavení služby v části Možnosti ověření zaškrtněte nebo zrušte zaškrtnutí příslušných políček.
  6. Zvolte Uložit.

Pamatovat si vícefaktorové ověřování

Funkce pamatovat si vícefaktorové ověřování umožňuje uživatelům obejít následná ověření po zadaný počet dní po úspěšném přihlášení k zařízení pomocí vícefaktorového ověřování. Pokud chcete zvýšit použitelnost a minimalizovat počet, kolikrát uživatel musí na daném zařízení provádět vícefaktorové ověřování, vyberte dobu trvání 90 dnů nebo více.

Důležité

Pokud dojde k ohrožení zabezpečení účtu nebo zařízení, mějte na paměti vícefaktorové ověřování pro důvěryhodná zařízení. Pokud dojde k ohrožení podnikového účtu nebo dojde ke ztrátě nebo odcizení důvěryhodného zařízení, měli byste odvolat relace MFA.

Akce odvolání odvolá důvěryhodný stav ze všech zařízení a uživatel musí znovu provést vícefaktorové ověřování. Můžete také dát uživatelům pokyn, aby obnovili původní stav vícefaktorového ověřování na vlastních zařízeních, jak je uvedeno v části Správa nastavení pro vícefaktorové ověřování.

Jak funkce funguje

Funkce vícefaktorového ověřování nastaví v prohlížeči trvalý soubor cookie, když uživatel při přihlášení vybere možnost Neptat se znovu na X dní . Dokud nevyprší platnost souboru cookie, nezobrazí se uživateli výzva k opětovnému zadání vícefaktorového ověřování z daného prohlížeče. Pokud uživatel na stejném zařízení otevře jiný prohlížeč nebo vymaže soubory cookie, zobrazí se znovu výzva k ověření.

V aplikacích, které nejsou prohlížečem, se možnost Nepožádejte znovu o X dní , bez ohledu na to, jestli aplikace podporuje moderní ověřování. Tyto aplikace používají obnovovací tokeny , které poskytují nové přístupové tokeny každou hodinu. Při ověření obnovovacího tokenu microsoft Entra ID zkontroluje, že během zadaného počtu dnů došlo k poslednímu vícefaktorovém ověřování.

Tato funkce snižuje počet ověřování ve webových aplikacích, které se obvykle pokaždé zobrazí výzva. Tato funkce může zvýšit počet ověřování pro moderní klienty ověřování, kteří se obvykle každých 180 dnů vyzve, pokud je nakonfigurovaná nižší doba trvání. Může také zvýšit počet ověřování v kombinaci se zásadami podmíněného přístupu.

Důležité

Zapamatovat si funkci vícefaktorového ověřování není kompatibilní s funkcí zůstat přihlášeni ke službě AD FS, když uživatelé provádějí vícefaktorové ověřování pro službu AD FS prostřednictvím MFA Serveru nebo vícefaktorového řešení ověřování třetí strany.

Pokud vaši uživatelé vyberou , aby mě přihlásili ke službě AD FS a označili své zařízení jako důvěryhodné pro MFA, uživatel se po vypršení počtu dní, kdy vyprší platnost vícefaktorového ověřování , automaticky neověří. Microsoft Entra ID požaduje nové vícefaktorové ověřování, ale služba AD FS vrátí token s původní deklarací identity vícefaktorového ověřování a datem místo opětovného provádění vícefaktorového ověřování. Tato reakce nastaví ověřovací smyčku mezi ID Microsoft Entra a AD FS.

Funkce vícefaktorového ověřování není kompatibilní s uživateli B2B a při přihlášení k pozvaným tenantům se uživatelům B2B nezobrazí.

Funkce pamatovat si vícefaktorové ověřování není kompatibilní s řízením podmíněného přístupu frekvence přihlašování. Další informace najdete v tématu Konfigurace správy relací ověřování pomocí podmíněného přístupu.

Povolení vícefaktorového ověřování

Pokud chcete povolit a nakonfigurovat možnost povolit uživatelům zapamatovat si jejich stav vícefaktorového ověřování a obejít výzvy, proveďte následující kroky:

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň zásady ověřování Správa istrator.
  2. Přejděte na Uživatele identity>.
  3. Vyberte Vícefaktorové ověřování pro jednotlivé uživatele.
  4. V části Vícefaktorové ověřování v horní části stránky vyberte nastavení služby.
  5. Na stránce nastavení služby v části Pamatovat vícefaktorové ověřování vyberte Povolit uživatelům zapamatovat vícefaktorové ověřování na zařízeních, kterým důvěřují.
  6. Nastavte počet dní, aby důvěryhodná zařízení mohla obejít vícefaktorové ověřování. Pro optimální uživatelské prostředí prodlužte dobu trvání na 90 nebo více dnů.
  7. Zvolte Uložit.

Označení zařízení jako důvěryhodné

Po povolení funkce pamatovat si vícefaktorové ověřování můžou uživatelé zařízení označit jako důvěryhodné, když se přihlásí, a to tak , že znovu vyberou Možnost Nepožádejte se.

Další kroky

Další informace najdete v tématu Jaké metody ověřování a ověřování jsou k dispozici v Microsoft Entra ID?