Milyen hitelesítési és ellenőrzési módszerek érhetők el az Azure Active Directoryban?

A Microsoft az olyan jelszó nélküli hitelesítési módszereket javasolja, mint a Windows Hello, a FIDO2 biztonsági kulcsok és a Microsoft Authenticator-alkalmazás, mivel ezek biztosítják a legbiztonságosabb bejelentkezési élményt. Bár a felhasználók más gyakori módszerekkel is bejelentkeznek, például felhasználónévvel és jelszóval, a jelszavakat biztonságosabb hitelesítési módszerekkel kell helyettesíteni.

Table of the strengths and preferred authentication methods in Azure AD

Az Azure AD Multi-Factor Authentication (MFA) csak jelszó használata esetén biztosít további biztonságot, amikor egy felhasználó bejelentkezik. A felhasználótól további hitelesítési formákat is be lehet kérni, például a leküldéses értesítésekre való válaszadáshoz, a kód szoftverből vagy hardvertokenből való beíratáskor, illetve SMS-hez vagy telefonhíváshoz való válaszadáshoz.

A felhasználói regisztrációs élmény egyszerűsítése és az MFA és az önkiszolgáló jelszóáttelepítés (SSPR) regisztrálása érdekében javasoljuk, hogy engedélyezze a kombinált biztonsági információk regisztrációját. A rugalmasság érdekében azt javasoljuk, hogy a felhasználóknak több hitelesítési módszert is regisztrálnia kell. Ha az egyik módszer nem érhető el a felhasználó számára a bejelentkezés vagy az SSPR során, választhatják a másik módszerrel való hitelesítést. További információ: Rugalmas hozzáférés-vezérlési stratégia létrehozása az Azure AD-ben.

Az alábbi videó segítségével kiválaszthatja a legjobb hitelesítési módszert a szervezet biztonságának érdekében.

Hitelesítési módszer erőssége és biztonsága

Amikor olyan szolgáltatásokat helyez üzembe a szervezetében, mint az Azure AD Multi-Factor Authentication, tekintse át az elérhető hitelesítési módszereket. Válassza ki a követelményeket a biztonság, a használhatóság és a rendelkezésre állás szempontjából megfelelő vagy meghaladó módszereket. Ahol lehetséges, használjon a legmagasabb szintű biztonsággal rendelkező hitelesítési módszereket.

Az alábbi táblázat az elérhető hitelesítési módszerek biztonsági szempontjait ismerteti. A rendelkezésre állás azt jelzi, hogy a felhasználó a hitelesítési módszert használhatja, nem pedig az Azure AD-beli szolgáltatás rendelkezésre állását:

Hitelesítési módszer Biztonság Használhatóság Rendelkezésre állás
Vállalati Windows Hello Magas Magas Magas
A Microsoft Authenticator alkalmazás Magas Magas Magas
FIDO2 biztonsági kulcs Magas Magas Magas
OATH hardvertokenek (előzetes verzió) Közepes Közepes Magas
OATH szoftvertokenek Közepes Közepes Magas
SMS Közepes Magas Közepes
Hang Közepes Közepes Közepes
Jelszó Alacsony Magas Magas

A biztonsággal kapcsolatos legfrissebb információkért tekintse meg blogbejegyzésünket:

Tipp

A rugalmasság és a használhatóság érdekében javasoljuk, hogy használja a Microsoft Authenticator alkalmazást. Ez a hitelesítési módszer biztosítja a legjobb felhasználói élményt és többféle módot, például jelszó nélküli, MFA leküldéses értesítéseket és OATH kódokat.

Az egyes hitelesítési módszerek működése

Egyes hitelesítési módszerek használhatók elsődleges tényezőként az alkalmazásokba vagy eszközökbe való bejelentkezéskor, például egy FIDO2 biztonsági kulcs vagy jelszó használatával. Más hitelesítési módszerek csak másodlagos tényezőként érhetők el az Azure AD Multi-Factor Authentication vagy az SSPR használata esetén.

A következő táblázat ismerteti, hogy mikor használható hitelesítési módszer egy bejelentkezési esemény során:

Metódus Elsődleges hitelesítés Másodlagos hitelesítés
Vállalati Windows Hello Yes MFA
A Microsoft Authenticator alkalmazás Yes MFA és SSPR
FIDO2 biztonsági kulcs Yes MFA
OATH hardvertokenek (előzetes verzió) No MFA és SSPR
OATH szoftvertokenek No MFA és SSPR
SMS Yes MFA és SSPR
Hanghívás No MFA és SSPR
Jelszó Yes

Ezek a hitelesítési módszerek mind konfigurálhatóak a Azure Portal, és egyre inkább a Microsoft Graph REST API.

Ha többet szeretne megtudni az egyes hitelesítési módszerekről, tekintse meg a következő különálló elméleti cikkeket:

Megjegyzés

Az Azure AD-ban a jelszó gyakran az egyik elsődleges hitelesítési módszer. A jelszó-hitelesítési módszer nem tiltható le. Ha jelszót használ elsődleges hitelesítési tényezőként, növelje a bejelentkezési események biztonságát az Azure AD Multi-Factor Authentication használatával.

Bizonyos esetekben a következő további ellenőrzési módszerek használhatók:

  • Alkalmazásjelszavak – olyan régi alkalmazásokhoz használatos, amelyek nem támogatják a modern hitelesítést, és felhasználónkénti Azure AD Multi-Factor Authenticationre konfigurálhatóak.
  • Biztonsági kérdések – csak SSPR-hez használatos
  • E-mail-cím – csak az SSPR-hez használatos

Következő lépések

Első lépésekért tekintse meg az önkiszolgáló jelszó-visszaállítás (SSPR) és az Azure AD Multi-Factor Authentication oktatóanyagát.

További információ az SSPR fogalmairól: Az Azure AD önkiszolgáló jelszóát állításának működése.

További információ az MFA-fogalmakról: How Azure AD Multi-Factor Authentication works (Az Azure AD Multi-Factor Authentication működése).

További információ a hitelesítési módszerek MicrosoftGraph REST API.

A használt hitelesítési módszerek áttekintéséhez lásd: Azure AD Multi-Factor Authenticationhitelesítési módszer elemzése a PowerShell használatával.