Jak to działa: Azure AD Multi-Factor Authentication

Uwierzytelnianie wieloskładnikowe to proces, w którym podczas procesu logowania użytkownik otrzymuje monit mający na celu uzyskanie dodatkowej formy identyfikacji, na przykład wprowadzenie kodu w telefonie komórkowym lub zeskanowanie odcisku palca.

Jeśli używasz tylko hasła do uwierzytelniania użytkownika, pozostawia to niezabezpieczony wektor ataku. Jeśli hasło jest słabe lub zostało ujawnione w innym miejscu, to czy naprawdę użytkownik loguje się przy użyciu nazwy użytkownika i hasła, czy jest to osoba atakująca? Jeśli potrzebujesz drugiej formy uwierzytelniania, zwiększa się bezpieczeństwo, ponieważ ten dodatkowy czynnik nie jest łatwy do uzyskania lub zduplikowania przez atakującego.

Obraz koncepcyjny różnych form uwierzytelniania wieloskładnikowego

Usługa Azure AD Multi-Factor Authentication wymaga co najmniej dwóch następujących metod uwierzytelniania:

  • Coś, co znasz, zwykle hasło.
  • Coś, co masz, na przykład zaufane urządzenie, które nie jest łatwo zduplikowane, takie jak telefon lub klucz sprzętowy.
  • Coś, czym jesteś — dane biometryczne, takie jak odcisk palca lub skan twarzy.

Usługa Azure AD Multi-Factor Authentication może również dodatkowo zabezpieczyć resetowanie hasła. Gdy użytkownicy zarejestrują się w usłudze Azure AD Multi-Factor Authentication, mogą również zarejestrować się w celu samoobsługowego resetowania hasła w jednym kroku. Administratorzy mogą wybierać formy uwierzytelniania pomocniczego i konfigurować wyzwania dla usługi MFA na podstawie decyzji konfiguracyjnych.

Aplikacje i usługi nie wymagają zmian w celu korzystania z usługi Azure AD Multi-Factor Authentication. Monity weryfikacji są częścią zdarzenia logowania usługi Azure AD, które w razie potrzeby automatycznie żąda i przetwarza żądanie uwierzytelniania wieloskładnikowego.

Metody uwierzytelniania w użyciu na ekranie logowania

Dostępne metody weryfikacji

Gdy użytkownik się do aplikacji lub usługi lub usługi otrzymuje monit uwierzytelniania wieloskładnikowego, może wybrać jedną z zarejestrowanych form dodatkowej weryfikacji. Użytkownicy mogą uzyskać dostęp do strony Mój profil, aby edytować lub dodać metody weryfikacji.

Następujące dodatkowe formy weryfikacji mogą być używane z usługą Azure AD Multi-Factor Authentication:

  • Aplikacja Microsoft Authenticator
  • Token sprzętu OATH (wersja zapoznawcza)
  • Token oprogramowania OATH
  • SMS
  • Połączenie głosowe

Jak włączyć usługę Azure AD Multi-Factor Authentication i korzystać z tej usługi

Wszystkie dzierżawy usługi Azure AD mogą używać wartości domyślnych zabezpieczeń, aby szybko Microsoft Authenticator dla wszystkich użytkowników. Dla użytkowników i grup można włączyć usługę Azure AD Multi-Factor Authentication, aby monitować o dodatkową weryfikację podczas zdarzenia logowania.

Aby uzyskać bardziej szczegółową kontrolę, zasady dostępu warunkowego mogą służyć do definiowania zdarzeń lub aplikacji, które wymagają uwierzytelniania wieloskładnikowego. Te zasady mogą zezwalać na regularne zdarzenia logowania, gdy użytkownik znajduje się w sieci firmowej lub zarejestrowanym urządzeniu, ale monitują o dodatkowe czynniki weryfikacji w przypadku urządzeń zdalnych lub osobistych.

Diagram przedstawiający sposób działania dostępu warunkowego w celu zabezpieczenia procesu logowania

Następne kroki

Aby dowiedzieć się więcej o licencjonowaniu, zobacz Funkcje i licencje usługi Azure AD Multi-Factor Authentication.

Aby dowiedzieć się więcej na temat różnych metod uwierzytelniania i walidacji, zobacz Metody uwierzytelniania w Azure Active Directory.

Aby zobaczyć, jak usługa MFA jest w akcji, włącz usługę Azure AD Multi-Factor Authentication dla zestawu użytkowników testowych w następującym samouczku: