Správa metod ověřování pro Microsoft Entra ID
Microsoft Entra ID umožňuje použití řady metod ověřování pro podporu široké škály scénářů přihlašování. Správa istrátory mohou konkrétně nakonfigurovat jednotlivé metody tak, aby splňovaly své cíle pro uživatelské prostředí a zabezpečení. Toto téma vysvětluje, jak spravovat metody ověřování pro ID Microsoft Entra a jak možnosti konfigurace ovlivňují scénáře přihlašování uživatelů a resetování hesla.
Zásady metod ověřování
Zásady metod ověřování se doporučují ke správě metod ověřování, včetně moderních metod, jako je ověřování bez hesla. Zásady ověřování Správa istrátory můžou tuto zásadu upravit, aby umožňovaly metody ověřování pro všechny uživatele nebo konkrétní skupiny.
Metody povolené v zásadách metod ověřování se obvykle dají použít kdekoli v MICROSOFT Entra ID pro scénáře ověřování i resetování hesla. Výjimkou je, že některé metody jsou ze své podstaty omezené na použití při ověřování, jako je FIDO2 a Windows Hello pro firmy, a jiné jsou omezené na použití při resetování hesla, jako jsou bezpečnostní otázky. Pokud chcete mít větší kontrolu nad metodami použitelnými v daném scénáři ověřování, zvažte použití funkce Síla ověřování.
Většina metod má také konfigurační parametry pro přesnější řízení způsobu použití této metody. Pokud například povolíte hlasové hovory, můžete také určit, jestli se dá kromě mobilního telefonu použít i telefon do kanceláře.
Nebo řekněme, že chcete povolit ověřování bez hesla pomocí Microsoft Authenticatoru. Můžete nastavit další parametry, například zobrazení přihlašovacího umístění uživatele nebo názvu aplikace, ke které se přihlašujete. Tyto možnosti poskytují uživatelům další kontext při přihlašování a pomáhají zabránit náhodným schválením vícefaktorového ověřování.
Pokud chcete spravovat zásady metod ověřování, přihlaste se do Centra pro správu Microsoft Entra jako alespoň zásady ověřování Správa istrator a přejděte na Zásady ověřování>ochrany.>
O zásadách metod ověřování vědí pouze konvergované prostředí registrace. Uživatelé v oboru zásad metod ověřování, ale ne konvergované prostředí registrace neuvidí správné metody registrace.
Starší zásady vícefaktorového ověřování a samoobslužného resetování hesla
Dvě další zásady umístěné v nastavení vícefaktorového ověřování a nastavení resetování hesla poskytují starší způsob správy některých metod ověřování pro všechny uživatele v tenantovi. Nemůžete řídit, kdo používá povolenou metodu ověřování nebo jak se tato metoda dá použít. Ke správě těchto zásad je potřeba globální Správa istrator.
Důležité
V březnu 2023 jsme oznámili vyřazení metod ověřování ve starších zásadách vícefaktorového ověřování a samoobslužného resetování hesla (SSPR). Od 30. září 2025 nejde v těchto starších zásadách MFA a SSPR spravovat metody ověřování. Zákazníkům doporučujeme použít řízení ruční migrace k migraci na zásady metod ověřování podle data vyřazení.
Pokud chcete spravovat starší zásady vícefaktorového ověřování, vyberte Možnost Vícefaktorové ověřování zabezpečení>Další nastavení vícefaktorového ověřování>založené na cloudu.
Pokud chcete spravovat metody ověřování pro samoobslužné resetování hesla (SSPR), klikněte na Metody ověřování resetování>hesla. Možnost Mobilní telefon v této zásadě umožňuje posílání hlasových hovorů nebo textových zpráv na mobilní telefon. Možnost Telefon v Office umožňuje jenom hlasové hovory.
Jak zásady spolupracují
Nastavení se mezi zásadami nesynchronizovat, což správcům umožňuje nezávisle spravovat jednotlivé zásady. Microsoft Entra ID respektuje nastavení ve všech zásadách, takže uživatel, který má povolenou metodu ověřování v jakékoli zásadě, může tuto metodu zaregistrovat a používat. Aby uživatelé nemohli používat metodu, musí být ve všech zásadách zakázaná.
Pojďme si projít příklad, ve kterém chce uživatel, který patří do účetní skupiny, zaregistrovat Microsoft Authenticator. Proces registrace nejprve zkontroluje zásady metod ověřování. Pokud je pro Microsoft Authenticator povolená skupina Accounting, může ji uživatel zaregistrovat.
Pokud ne, proces registrace zkontroluje starší zásady vícefaktorového ověřování. V této zásadě může každý uživatel zaregistrovat Aplikaci Microsoft Authenticator, pokud je pro vícefaktorové ověřování povoleno jedno z těchto nastavení:
- Oznámení prostřednictvím mobilní aplikace
- Ověřovací kód z mobilní aplikace nebo hardwarového tokenu
Pokud uživatel nemůže zaregistrovat Microsoft Authenticator na základě některé z těchto zásad, proces registrace zkontroluje starší zásady samoobslužného resetování hesla. V těchto zásadách může uživatel zaregistrovat Aplikaci Microsoft Authenticator, pokud je uživatel povolený pro samoobslužné resetování hesla a je povolená některá z těchto nastavení:
- Oznámení mobilní aplikace
- Kód mobilní aplikace
Pro uživatele, kteří mají povolené mobilní telefon pro SSPR, může nezávislé řízení mezi zásadami ovlivnit chování přihlašování. Pokud ostatní zásady mají samostatné možnosti pro textové zprávy a hlasové hovory, mobilní telefon pro SSPR umožňuje obě možnosti. V důsledku toho může každý, kdo používá mobilní telefon pro SSPR, používat také hlasové hovory pro resetování hesla, i když ostatní zásady nepovolují hlasové hovory.
Podobně předpokládejme, že pro skupinu povolíte hlasové hovory . Po povolení zjistíte, že i uživatelé, kteří nejsou členy skupiny, se můžou přihlásit pomocí hlasového hovoru. V tomto případě je pravděpodobné, že tito uživatelé budou mít ve starších zásadách samoobslužného resetování hesla povolenou funkci Mobilní telefon nebo volat na telefon ve starších zásadách MFA.
Migrace mezi zásadami
Zásady metod ověřování poskytují cestu migrace ke sjednocené správě všech metod ověřování. Všechny požadované metody je možné povolit v zásadách metod ověřování za předpokladu, že byly definovány skupiny uživatelů vyžadované pro každou zásadu metody ověřování (pokud neplatí pro všechny uživatele). Po této aktivitě správy skupin uživatelů je možné zakázat metody ve starších zásadách vícefaktorového ověřování a samoobslužného resetování hesla. Migrace má tři nastavení, která vám umožní pohybovat se vlastním tempem a vyhnout se problémům s přihlášením nebo SSPR během přechodu. Po dokončení migrace centralizujete kontrolu nad metodami ověřování pro přihlášení i samoobslužné resetování hesla na jednom místě a starší zásady vícefaktorového ověřování a samoobslužného resetování hesla se deaktivují.
Poznámka:
Bezpečnostní otázky je možné dnes povolit jenom pomocí starších zásad samoobslužného resetování hesla. V budoucnu se zpřístupní v zásadách metod ověřování. Pokud používáte bezpečnostní otázky a nechcete je zakázat, nezapomeňte je povolit ve starších zásadách samoobslužného resetování hesla, dokud nebude nový ovládací prvek v budoucnu dostupný. Zbývající metody ověřování můžete migrovat a dál spravovat bezpečnostní otázky ve starších zásadách samoobslužného resetování hesla.
Pokud chcete zobrazit možnosti migrace, otevřete zásady metod ověřování a klikněte na Spravovat migraci.
Jednotlivé možnosti jsou popsány v následující tabulce.
| Možnost | Popis |
|---|---|
| Před migrací | Zásady metod ověřování se používají jenom pro ověřování. Respektují se starší nastavení zásad. |
| Probíhá migrace. | Zásady metod ověřování se používají pro ověřování a SSPR. Respektují se starší nastavení zásad. |
| Migrace dokončena | Pro ověřování a SSPR se používají pouze zásady metod ověřování. Starší nastavení zásad se ignorují. |
Tenanti jsou ve výchozím nastavení nastaveni na předmigrační nebo probíhající migraci v závislosti na aktuálním stavu tenanta. Pokud začnete s předběžnou migrací, můžete kdykoli přejít do libovolného stavu. Pokud jste začali s probíhající migrací, můžete se kdykoli přesunout mezi probíhající migrací a aplikací Microsoft Complete, ale nebude možné přejít na před migrací. Pokud přejdete na dokončení migrace a pak se rozhodnete vrátit zpět do dřívějšího stavu, zeptáme se, proč můžeme vyhodnotit výkon produktu.
Poznámka:
Po úplné migraci všech metod ověřování zůstanou aktivní následující prvky starších zásad samoobslužného resetování hesla:
- Počet metod potřebných k resetování řízení: správci můžou dál měnit počet metod ověřování, než může uživatel provést samoobslužné resetování hesla.
- Zásady správce SSPR: Správci můžou dál registrovat a používat všechny metody uvedené ve starších zásadách správce SSPR nebo metodách, které mají povolené v zásadách metod ověřování.
V budoucnu budou obě tyto funkce integrovány se zásadami metod ověřování.
Známé problémy a omezení
- V nedávných aktualizacích jsme odebrali možnost cílit na jednotlivé uživatele. Dříve cílení uživatelé zůstanou v zásadách, ale doporučujeme je přesunout do cílové skupiny.
- Registrace klíčů zabezpečení FIDO2 může u některých uživatelů selhat, pokud jsou zásady metody ověřování FIDO2 zacílené na skupinu a celkové zásady metod ověřování mají nakonfigurovaných více než 20 skupin. Pracujeme na zvýšení limitu velikosti zásad a v průměru doporučujeme omezit počet cílů skupiny na maximálně 20.