Jak to funguje: Vícefaktorové ověřování Microsoft Entra

Vícefaktorové ověřování je proces, při kterém se uživatelům během procesu přihlašování zobrazí výzva k další formě identifikace, jako je například kód na mobilním telefonu nebo při skenování otisku prstu.

Pokud k ověření uživatele použijete jenom heslo, ponechá nezabezpečený vektor útoku. Pokud je heslo slabé nebo je vystavené jinde, útočník ho může použít k získání přístupu. Pokud vyžadujete druhou formu ověřování, zvyšuje se zabezpečení, protože tento dodatečný faktor není něco, co útočník snadno získá nebo duplikuje.

Conceptual image of the various forms of multifactor authentication.

Vícefaktorové ověřování Microsoft Entra funguje tak, že vyžaduje dvě nebo více následujících metod ověřování:

  • Něco, co víte, obvykle heslo.
  • Něco, co máte, například důvěryhodné zařízení, které není snadno duplikované, jako je telefon nebo hardwarový klíč.
  • Něco, co jste - biometrické údaje jako otisk prstu nebo sken obličeje.

Vícefaktorové ověřování Microsoft Entra může také zabezpečit resetování hesla. Když se uživatelé zaregistrují pro vícefaktorové ověřování Microsoft Entra, můžou si také zaregistrovat samoobslužné resetování hesla v jednom kroku. Správa istrátory můžou zvolit formy sekundárního ověřování a nakonfigurovat výzvy pro vícefaktorové ověřování na základě rozhodnutí o konfiguraci.

Abyste mohli používat vícefaktorové ověřování Microsoft Entra, nemusíte měnit aplikace a služby. Výzvy k ověření jsou součástí přihlášení Microsoft Entra, které automaticky požaduje a zpracovává výzvu vícefaktorového ověřování v případě potřeby.

Poznámka:

Jazyk výzvy je určen nastavením národního prostředí prohlížeče. Pokud používáte vlastní pozdravy, ale nemáte ho pro jazyk identifikovaný v národním prostředí prohlížeče, používá se ve výchozím nastavení angličtina. Server NPS (Network Policy Server) bude vždy používat angličtinu ve výchozím nastavení bez ohledu na vlastní pozdravy. Angličtina se ve výchozím nastavení používá také v případě, že národní prostředí prohlížeče není možné identifikovat.

MFA sign-in screen.

Dostupné metody ověřování

Když se uživatelé přihlásí k aplikaci nebo službě a dostanou výzvu k vícefaktorovém ověřování, můžou si vybrat z některého z registrovaných formulářů dodatečného ověření. Uživatelé mají přístup k mému profilu a můžou upravovat nebo přidávat metody ověřování.

S vícefaktorovým ověřováním Microsoft Entra lze použít následující další formy ověření:

  • Microsoft Authenticator
  • Authenticator Lite (v Outlooku)
  • Windows Hello pro firmy
  • Klíč zabezpečení FIDO2
  • Hardwarový token OATH (Preview)
  • Softwarový token OATH
  • SMS
  • Hlasový hovor

Povolení a používání vícefaktorového ověřování Microsoft Entra

Výchozí nastavení zabezpečení v tenantech Microsoft Entra můžete použít k rychlému povolení aplikace Microsoft Authenticator pro všechny uživatele. Vícefaktorové ověřování Microsoft Entra můžete povolit tak, aby během přihlašování zobrazovaly výzvy uživatelům a skupinám k dalšímu ověření.

Podrobnější ovládací prvky můžete použít k definování událostí nebo aplikací vyžadujících vícefaktorové ověřování pomocí zásad podmíněného přístupu . Tyto zásady můžou povolit pravidelné přihlašování, pokud je uživatel v podnikové síti nebo registrovaném zařízení, ale může se zobrazit výzva k dalším ověřovacím faktorům, když je uživatel vzdálený nebo na osobním zařízení.

Diagram that shows how Conditional Access works to secure the sign-in process.

Další kroky

Další informace o licencování najdete v tématu Funkce a licence pro vícefaktorové ověřování Microsoft Entra.

Další informace o různých metodách ověřování a ověřování najdete v tématu Metody ověřování v Microsoft Entra ID.

Pokud chcete zobrazit MFA v akci, povolte vícefaktorové ověřování Microsoft Entra pro sadu testovacích uživatelů v následujícím kurzu: