Så här fungerar det: Azure AD Multi-Factor Authentication

Multifaktorautentisering är en process där en användare under inloggningen uppmanas att ange ytterligare en typ av identifiering, till exempel att ange en kod på sin mobiltelefon eller ange ett fingeravtryck.

Om du bara använder ett lösenord för att autentisera en användare lämnar det en osäker vektor för angrepp. Om lösenordet är svag eller har gjorts tillgängligt någon annanstans, är det i så fall användaren som loggar in med användarnamnet och lösenordet, eller är det en angripare? När du behöver en andra form av autentisering ökar säkerheten eftersom den här ytterligare faktorn inte är något som är lätt för en angripare att hämta eller duplicera.

Conceptual image of the different forms of multi-factor authentication

Azure AD Multi-Factor Authentication kräver två eller flera av följande autentiseringsmetoder:

  • Något du känner till, vanligtvis ett lösenord.
  • Något du har, till exempel en betrodd enhet som inte är enkel att duplicera, till exempel en telefon- eller maskinvarunyckel.
  • Något du är – biometrik som fingeravtryck eller ansiktsskanning.

Azure AD Multi-Factor Authentication kan också ytterligare skydda lösenordsåterställning. När användarna registrerar sig själva för Azure AD Multi-Factor Authentication kan de också registrera sig för självbetjäning av lösenordsåterställning i ett enda steg. Administratörer kan välja former av sekundär autentisering och konfigurera utmaningar för MFA baserat på konfigurationsbeslut.

Appar och tjänster behöver inte ändras för att använda Azure AD Multi-Factor Authentication. Verifieringsuppmaningar är en del av Azure AD-inloggningshändelsen, som automatiskt begär och bearbetar MFA-kontrollen vid behov.

Authentication methods in use at the sign-in screen

Tillgängliga verifieringsmetoder

När en användare loggar in på ett program eller en tjänst och får en MFA-prompt kan de välja någon av sina registrerade former av ytterligare verifiering. Användare kan komma åt Min profil för att redigera eller lägga till verifieringsmetoder.

Följande ytterligare former av verifiering kan användas med Azure AD Multi-Factor Authentication:

  • Microsoft Authenticator-appen
  • OATH-maskinvarutoken (förhandsversion)
  • OATH-programvarutoken
  • SMS
  • Röstsamtal

Så här aktiverar och använder du Azure AD Multi-Factor Authentication

Alla Azure AD-klienter kan använda standardinställningar för säkerhet för att snabbt Microsoft Authenticator för alla användare. Användare och grupper kan aktiveras för Azure AD Multi-Factor Authentication för att fråga efter ytterligare verifiering under inloggningshändelsen.

För mer detaljerade kontroller kan principer för villkorsstyrd åtkomst användas för att definiera händelser eller program som kräver MFA. Dessa principer kan tillåta regelbundna inloggningshändelser när användaren är i företagsnätverket eller en registrerad enhet, men fråga efter ytterligare verifieringsfaktorer när användaren är fjärransluten eller på en personlig enhet.

Overview diagram of how Conditional Access works to secure the sign-in process

Nästa steg

Mer information om licensiering finns i Funktioner och licenser för Azure AD Multi-Factor Authentication.

Mer information om olika autentiserings- och valideringsmetoder finns i Autentiseringsmetoder i Azure Active Directory.

Om du vill se hur MFA fungerar i praktiken aktiverar du Azure AD Multi-Factor Authentication för en uppsättning testanvändare i följande självstudie: