Povolení vícefaktorového ověřování Microsoft Entra pro jednotlivé uživatele za účelem zabezpečení událostí přihlašování
Pokud chcete zabezpečit události přihlašování uživatelů v Microsoft Entra ID, můžete vyžadovat vícefaktorové ověřování Microsoft Entra (MFA). Nejlepším způsobem, jak chránit uživatele pomocí vícefaktorového ověřování Microsoft Entra, je vytvořit zásady podmíněného přístupu. Podmíněný přístup je funkce Microsoft Entra ID P1 nebo P2, která umožňuje použít pravidla, která vyžadují vícefaktorové ověřování podle potřeby v určitých scénářích. Pokud chcete začít používat podmíněný přístup, přečtěte si kurz : Zabezpečení událostí přihlašování uživatelů pomocí vícefaktorového ověřování Microsoft Entra.
V případě tenantů Bezplatného ID Microsoftu bez podmíněného přístupu můžete k ochraně uživatelů použít výchozí nastavení zabezpečení. Uživatelům se zobrazí výzva k zadání vícefaktorového ověřování podle potřeby, ale nemůžete definovat vlastní pravidla pro řízení chování.
V případě potřeby můžete místo toho povolit jednotlivé účty pro microsoft Entra MFA pro jednotlivé uživatele. Když povolíte uživatele jednotlivě, budou při každém přihlášení provádět vícefaktorové ověřování. Můžete povolit výjimky, například když se přihlásí z důvěryhodných IP adres nebo když je zapnutá funkce MFA na důvěryhodných zařízeních .
Změna stavů uživatelů se nedoporučuje, pokud vaše licence Microsoft Entra ID nezahrnují podmíněný přístup a nechcete používat výchozí nastavení zabezpečení. Další informace o různých způsobech povolení vícefaktorového ověřování najdete v tématu Funkce a licence pro vícefaktorové ověřování Microsoft Entra.
Důležité
Tento článek podrobně popisuje, jak zobrazit a změnit stav vícefaktorového ověřování Microsoft Entra pro jednotlivé uživatele. Pokud používáte výchozí nastavení podmíněného přístupu nebo zabezpečení, nekontrolujete nebo nepovolujete uživatelské účty pomocí tohoto postupu.
Povolení vícefaktorového ověřování Microsoft Entra prostřednictvím zásad podmíněného přístupu nemění stav uživatele. Pokud se uživatelé zobrazují jako zakázaní, nebudějte varovní. Podmíněný přístup nezmění stav.
Nepovolujte ani nevynucujte vícefaktorové ověřování Microsoft Entra pro jednotlivé uživatele, pokud používáte zásady podmíněného přístupu.
Stavy uživatelů vícefaktorového ověřování Microsoft Entra
Stav uživatele odráží, jestli je správce ověřování zaregistroval do vícefaktorového ověřování Microsoft Entra uživatele. Uživatelské účty v vícefaktorovém ověřování Microsoft Entra mají následující tři různé stavy:
| Stát | Popis | Ovlivněné starší verze ověřování | Ovlivněné aplikace prohlížeče | Ovlivněné moderní ověřování |
|---|---|---|---|---|
| Zakázáno | Výchozí stav uživatele, který není zaregistrovaný v vícefaktorovém ověřování Microsoft Entra pro jednotlivé uživatele. | No | No | Ne |
| Povoleno | Uživatel je zaregistrovaný v vícefaktorovém ověřování Microsoft Entra pro jednotlivé uživatele, ale může stále používat své heslo pro starší ověřování. Pokud uživatel nemá žádné registrované metody ověřování MFA, zobrazí se mu výzva k registraci při příštím přihlášení pomocí moderního ověřování (například při přihlášení ve webovém prohlížeči). | Ne. Starší verze ověřování nadále funguje, dokud se proces registrace nedokončil. | Ano. Po vypršení platnosti relace se vyžaduje registrace vícefaktorového ověřování Microsoft Entra. | Ano. Po vypršení platnosti přístupového tokenu se vyžaduje registrace vícefaktorového ověřování Microsoft Entra. |
| Vynucené | Uživatel je zaregistrovaný pro jednotlivé uživatele v vícefaktorovém ověřování Microsoft Entra. Pokud uživatel nemá žádné registrované metody ověřování, zobrazí se mu výzva k registraci při příštím přihlášení pomocí moderního ověřování (například při přihlášení ve webovém prohlížeči). Uživatelé, kteří dokončí registraci, když jsou povoleni , se automaticky přesunou do stavu Vynuceno . | Ano. Aplikace vyžadují hesla aplikací. | Ano. Při přihlášení se vyžaduje vícefaktorové ověřování Microsoft Entra. | Ano. Při přihlášení se vyžaduje vícefaktorové ověřování Microsoft Entra. |
Všichni uživatelé začínají vypnuto. Při registraci uživatelů do vícefaktorového ověřování Microsoft Entra pro jednotlivé uživatele se jejich stav změní na Povoleno. Když se uživatelé aktivovali a dokončili proces registrace, změní se jejich stav na Vynuceno. Správci můžou přesouvat uživatele mezi stavy, včetně vynucení na Povoleno nebo Zakázáno.
Poznámka:
Pokud je u uživatele znovu povolené vícefaktorové ověřování pro jednotlivé uživatele a uživatel se znovu neregistruje, jeho stav vícefaktorového ověřování se v uživatelském rozhraní pro správu vícefaktorového ověřování nepřechází z povoleného na vynucené . Správce musí uživatele přesunout přímo do vynucení.
Zobrazení stavu uživatele
Prostředí pro správu vícefaktorového ověřování pro jednotlivé uživatele v Centru pro správu Microsoft Entra je nedávno vylepšeno. Pokud chcete zobrazit a spravovat stavy uživatelů, proveďte následující kroky:
Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce zásad ověřování.
Přejděte do části Identita>Uživatelé>Všichni uživatelé.
Vyberte uživatelský účet a klikněte na Nastavení vícefaktorového ověřování uživatele.
Po provedení jakýchkoli změn klikněte na Uložit.
Pokud se pokusíte seřadit tisíce uživatelů, výsledek může bezúhotně vrátit. Zkuste zadat konkrétnější kritéria hledání, abyste hledání zúžili, nebo použijte konkrétní filtry stavu nebo zobrazení .
Během přechodu na nové prostředí vícefaktorového ověřování pro jednotlivé uživatele můžete také přistupovat ke starší verzi vícefaktorového ověřování pro jednotlivé uživatele. Formát je následující:
https://account.activedirectory.windowsazure.com/usermanagement/multifactorverification.aspx?tenantId=${userTenantID}
Pokud chcete získat userTenantIDID tenanta, zkopírujte ho na stránce Přehled v Centru pro správu Microsoft Entra. Pokud chcete zobrazit stav uživatele se starší verzí, postupujte takto:
- Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce ověřování.
- Přejděte do části Identita>Uživatelé>Všichni uživatelé.
- Vyberte Vícefaktorové ověřování pro jednotlivé uživatele.
- Otevře se nová stránka, která zobrazí stav uživatele, jak je znázorněno v následujícím příkladu.
Změna stavu uživatele
Pokud chcete pro uživatele změnit stav vícefaktorového ověřování uživatele microsoft Entra, proveďte následující kroky:
Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce zásad ověřování.
Přejděte do části Identita>Uživatelé>Všichni uživatelé.
Vyberte uživatelský účet a klikněte na Povolit vícefaktorové ověřování.
Tip
Povolené uživatele se při registraci k vícefaktorovým ověřováním Microsoft Entra automaticky přepnou na vynucené . Neměňte ručně stav uživatele na Vynuceno , pokud není uživatel již zaregistrovaný nebo pokud je přijatelné, aby uživatel zaznamenal přerušení připojení ke starším ověřovacím protokolům.
Potvrďte výběr v automaticky otevíraných otevíraných oknech, které se otevře.
Jakmile povolíte uživatele, pošlete jim e-mailem upozornění. Řekněte uživatelům, že se zobrazí výzva, aby se jim při příštím přihlášení zobrazila výzva k registraci. Pokud vaše organizace používá aplikace, které neběží v prohlížeči nebo nepodporují moderní ověřování, můžete vytvořit hesla aplikací. Další informace najdete v tématu Vynucení vícefaktorového ověřování Microsoft Entra ve starších aplikacích pomocí hesel aplikací.
Použití Microsoft Graphu ke správě vícefaktorového ověřování pro jednotlivé uživatele
Nastavení vícefaktorového ověřování pro jednotlivé uživatele můžete spravovat pomocí rozhraní Microsoft Graph REST API Beta. Typ prostředku ověřování můžete použít k zveřejnění stavů metod ověřování pro uživatele.
Pokud chcete spravovat vícefaktorové ověřování pro jednotlivé uživatele, použijte vlastnost perUserMfaState v rámci users/id/authentication/requirements. Další informace naleznete v tématu strongAuthenticationRequirements typ prostředku.
Zobrazení stavu vícefaktorového ověřování pro jednotlivé uživatele
Načtení stavu vícefaktorového ověřování pro jednotlivé uživatele pro uživatele:
GET /users/{id | userPrincipalName}/authentication/requirements
Příklad:
GET https://graph.microsoft.com/beta/users/071cc716-8147-4397-a5ba-b2105951cc0b/authentication/requirements
Pokud je pro uživatele povolené vícefaktorové ověřování pro jednotlivé uživatele, bude odpověď následující:
HTTP/1.1 200 OK
Content-Type: application/json
{
"perUserMfaState": "enforced"
}
Další informace naleznete v tématu Získání stavů metody ověřování.
Změna stavu vícefaktorového ověřování pro uživatele
Pokud chcete u uživatele změnit stav vícefaktorového ověřování, použijte strongAuthenticationRequirements uživatele. Příklad:
PATCH https://graph.microsoft.com/beta/users/071cc716-8147-4397-a5ba-b2105951cc0b/authentication/requirements
Content-Type: application/json
{
"perUserMfaState": "disabled"
}
V případě úspěchu je odpověď následující:
HTTP/1.1 204 No Content
Další informace naleznete v tématu Aktualizace stavů metody ověřování.
Další kroky
Informace o konfiguraci nastavení vícefaktorového ověřování Microsoft Entra najdete v tématu Konfigurace nastavení vícefaktorového ověřování Microsoft Entra.
Pokud chcete spravovat uživatelská nastavení pro vícefaktorové ověřování Microsoft Entra, přečtěte si téma Správa uživatelských nastavení pomocí vícefaktorového ověřování Microsoft Entra.
Informace o tom, proč se uživateli zobrazila výzva k provedení vícefaktorového ověřování, najdete v sestavách vícefaktorového ověřování Microsoft Entra.