Plánování nasazení vícefaktorového ověřování Microsoft Entra

Vícefaktorové ověřování Microsoft Entra pomáhá chránit přístup k datům a aplikacím a poskytuje další vrstvu zabezpečení pomocí druhé formy ověřování. Organizace můžou povolit vícefaktorové ověřování pomocí podmíněného přístupu , aby řešení vyhovovalo jejich konkrétním potřebám.

V tomto průvodci nasazením se dozvíte, jak naplánovat a implementovat zavedení vícefaktorového ověřování Microsoft Entra.

Požadavky pro nasazení vícefaktorového ověřování Microsoft Entra

Než začnete s nasazením, ujistěte se, že splňujete následující požadavky pro vaše relevantní scénáře.

Scénář Požadavek
Cloudové prostředí identit s moderním ověřováním Žádné požadované úkoly
Scénáře hybridní identity Nasaďte Microsoft Entra Connect a synchronizujte identity uživatelů mezi místní Active Directory Domain Services (AD DS) a Id Microsoft Entra.
Místní starší verze aplikací publikovaných pro přístup ke cloudu Nasazení proxy aplikace Microsoft Entra

Volba metod ověřování pro vícefaktorové ověřování

Existuje mnoho metod, které lze použít pro druhéfaktorové ověřování. Můžete si vybrat ze seznamu dostupných metod ověřování a vyhodnotit je z hlediska zabezpečení, použitelnosti a dostupnosti.

Důležité

Povolte více než jednu metodu MFA, aby uživatelé měli k dispozici metodu zálohování pro případ, že jejich primární metoda není k dispozici. Mezi metody patří:

Při volbě ověřování metod, které se použijí ve vašem tenantovi, zvažte zabezpečení a použitelnost těchto metod:

Volba vhodné metody ověřování

Další informace o síle a zabezpečení těchto metod a jejich fungování najdete v následujících zdrojích informací:

Pomocí tohoto skriptu PowerShellu můžete analyzovat konfigurace vícefaktorového ověřování uživatelů a navrhnout odpovídající metodu ověřování MFA.

K zajištění co nejlepší flexibility a použitelnosti použijte aplikaci Microsoft Authenticator. Tato metoda ověřování poskytuje nejlepší uživatelské prostředí a více režimů, jako jsou bez hesla, nabízená oznámení MFA a kódy OATH. Aplikace Microsoft Authenticator také splňuje požadavky standardu NIST (National Institute of Standards and Technology) Authenticator Assurance Úrovně 2.

Můžete řídit metody ověřování dostupné ve vašem tenantovi. Můžete například chtít blokovat některé z nejméně zabezpečených metod, například SMS.

Metoda ověřování Spravovat z Vymezení problému
Microsoft Authenticator (nabízené oznámení a přihlášení k telefonu bez hesla) Nastavení vícefaktorového ověřování nebo zásady metod ověřování Přihlášení k telefonu bez hesla pomocí ověřovacího hesla je možné nastavit na uživatele a skupiny.
Klíč zabezpečení FIDO2 Zásady metod ověřování Rozsah je možné nastavit na uživatele a skupiny.
Tokeny OATH softwaru nebo hardwaru Nastavení vícefaktorového ověřování
Ověření SMS Nastavení vícefaktorového ověřování
Správa přihlášení k serveru SMS pro primární ověřování v zásadách ověřování
Přihlášení přes SMS je možné nastavit na uživatele a skupiny.
hlasové hovory Zásady metod ověřování

Plánování zásad podmíněného přístupu

Vícefaktorové ověřování Microsoft Entra se vynucuje pomocí zásad podmíněného přístupu. Tyto zásady umožňují vyzvat uživatele k vícefaktorové ověřování v případě potřeby zabezpečení a v případě potřeby zůstat mimo cestu uživatelů.

Koncepční tok procesu podmíněného přístupu

V Centru pro správu Microsoft Entra nakonfigurujete zásady podmíněného přístupu v rámci podmíněného přístupu ochrany>.

Další informace o vytváření zásad podmíněného přístupu najdete v tématu Zásady podmíněného přístupu k zobrazení výzvy k vícefaktorové ověřování Microsoft Entra při přihlášení uživatele. To vám pomůže:

  • Seznámení s uživatelským rozhraním
  • Získejte první dojem, jak podmíněný přístup funguje

Kompletní pokyny k nasazení podmíněného přístupu Microsoft Entra najdete v plánu nasazení podmíněného přístupu.

Běžné zásady pro vícefaktorové ověřování Microsoft Entra

Mezi běžné případy použití, které vyžadují vícefaktorové ověřování Microsoftu, patří:

Pojmenovaná umístění

Pokud chcete spravovat zásady podmíněného přístupu, podmínka umístění zásady podmíněného přístupu umožňuje svázat nastavení řízení přístupu se síťovými umístěními uživatelů. Doporučujeme používat pojmenovaná umístění , abyste mohli vytvářet logické seskupení rozsahů IP adres nebo zemí a oblastí. Tím se vytvoří zásada pro všechny aplikace, které blokují přihlášení z tohoto pojmenovaného umístění. Nezapomeňte z této zásady vyloučit správce.

Zásady založené na rizicích

Pokud vaše organizace k detekci rizikových signálů používá Microsoft Entra ID Protection , zvažte použití zásad založených na rizicích místo pojmenovaných umístění. Zásady je možné vytvořit tak, aby vynutily změny hesel v případě ohrožení identity nebo vyžadování vícefaktorového ověřování, pokud je přihlášení považováno za ohrožené, jako jsou úniky přihlašovacích údajů, přihlášení z anonymních IP adres a další.

Mezi zásady rizik patří:

Převod uživatelů z vícefaktorového ověřování na základě podmíněného přístupu

Pokud uživatelé povolili vícefaktorové ověřování pro jednotlivé uživatele a vynucovali vícefaktorové ověřování Microsoft Entra, doporučujeme povolit podmíněný přístup pro všechny uživatele a pak ručně zakázat vícefaktorové ověřování pro jednotlivé uživatele. Další informace najdete v tématu Vytvoření zásad podmíněného přístupu.

Plánování životnosti relace uživatele

Při plánování nasazení vícefaktorového ověřování je důležité myslet na to, jak často byste chtěli uživatele vyzvat. Žádost uživatelů o přihlašovací údaje často vypadá jako rozumná věc, ale může to zase zastřelit. Pokud jsou uživatelé vytrénovaní tak, aby zadali své přihlašovací údaje bez myšlení, můžou jim neúmyslně poskytnout výzvu k zadání škodlivých přihlašovacích údajů. ID Microsoft Entra má několik nastavení, která určují, jak často potřebujete znovu ověřit. Seznamte se s potřebami vaší firmy a uživatelů a nakonfigurujte nastavení, která poskytují nejlepší rovnováhu pro vaše prostředí.

Pro lepší uživatelské prostředí doporučujeme používat zařízení s primárními obnovovacími tokeny (PRT) a zkrátit dobu života relace pomocí zásad frekvence přihlašování jenom u konkrétních obchodních případů použití.

Další informace naleznete v tématu Optimalizace výzvy k opětovnému ověření a vysvětlení životnosti relace pro vícefaktorové ověřování Microsoft Entra.

Plánování registrace uživatele

Hlavním krokem při každém nasazení vícefaktorového ověřování je registrace uživatelů k používání vícefaktorového ověřování Microsoft Entra. Metody ověřování, jako je hlas a SMS, umožňují předběžnou registraci, zatímco jiné, jako je aplikace Authenticator, vyžadují interakci uživatele. Správci musí určit, jak budou uživatelé registrovat své metody.

Kombinovaná registrace pro SSPR a vícefaktorové ověřování Microsoft Entra

Kombinované prostředí registrace pro vícefaktorové ověřování Microsoft Entra a samoobslužné resetování hesla (SSPR) umožňuje uživatelům zaregistrovat se pro vícefaktorové ověřování i samoobslužné resetování hesla v jednotném prostředí. SSPR umožňuje uživatelům resetovat heslo bezpečným způsobem pomocí stejných metod, které používají pro vícefaktorové ověřování Microsoft Entra. Abyste se ujistili, že rozumíte funkcím a prostředí koncového uživatele, podívejte se na koncepty kombinované registrace bezpečnostních informací.

Je důležité informovat uživatele o nadcházejících změnách, požadavcích na registraci a všech nezbytných akcích uživatelů. Poskytujeme komunikační šablony a uživatelskou dokumentaci , abychom připravili uživatele na nové prostředí a pomohli zajistit úspěšné zavedení. Pokud chcete uživatele zaregistrovat https://myprofile.microsoft.com , vyberte na této stránce odkaz Bezpečnostní údaje .

Registrace pomocí služby Microsoft Entra ID Protection

Microsoft Entra ID Protection přispívá k zásadám registrace i automatizovaným zásadám detekce rizik a nápravě do scénáře vícefaktorového ověřování Microsoft Entra. Zásady se dají vytvořit tak, aby vynutily změny hesla, když existuje hrozba ohrožené identity nebo když se považuje za rizikové vícefaktorové ověřování. Pokud používáte Microsoft Entra ID Protection, nakonfigurujte zásady registrace vícefaktorového ověřování Microsoft Entra tak, aby uživatele vyzve k registraci při příštím přihlášení interaktivně.

Registrace bez služby Microsoft Entra ID Protection

Pokud nemáte licence, které umožňují microsoft Entra ID Protection, zobrazí se uživatelům výzva k registraci při příštím vyžadování vícefaktorového ověřování při přihlášení. Pokud chcete vyžadovat, aby uživatelé používali vícefaktorové ověřování, můžete použít zásady podmíněného přístupu a cílit na často používané aplikace, jako jsou systémy hr. Pokud dojde k ohrožení zabezpečení hesla uživatele, může se použít k registraci do vícefaktorového ověřování a převzetí kontroly nad jeho účtem. Proto doporučujeme zabezpečit proces registrace zabezpečení pomocí zásad podmíněného přístupu, které vyžadují důvěryhodná zařízení a umístění. Proces můžete dále zabezpečit vyžadováním dočasného přístupového passu. Časově omezené heslo vydané správcem, které splňuje požadavky silného ověřování, a lze ho použít k onboardingu jiných metod ověřování, včetně bez hesel.

Zvýšení zabezpečení registrovaných uživatelů

Pokud máte uživatele zaregistrované pro vícefaktorové ověřování pomocí SMS nebo hlasových hovorů, můžete je přesunout do bezpečnějších metod, jako je aplikace Microsoft Authenticator. Microsoft teď nabízí verzi Public Preview funkcí, která umožňuje uživatelům při přihlašování zobrazit výzvu k nastavení aplikace Microsoft Authenticator. Tyto výzvy můžete nastavit podle skupin a určit, kdo se zobrazí, a umožnit tak cílovým kampaním přesunout uživatele do bezpečnější metody.

Plánování scénářů obnovení

Jak už jsme zmínili dříve, ujistěte se, že jsou uživatelé zaregistrovaní pro více než jednu metodu vícefaktorového ověřování, aby v případě nedostupnosti měli zálohu. Pokud uživatel nemá k dispozici metodu zálohování, můžete:

  • Zadejte dočasné přístupové heslo, aby mohli spravovat vlastní metody ověřování. Můžete také poskytnout dočasný přístupový přístup, který povolí dočasný přístup k prostředkům.
  • Aktualizujte své metody jako správce. Uděláte to tak, že vyberete uživatele v Centru pro správu Microsoft Entra a pak vyberete Metody ověřování ochrany>a aktualizujete jejich metody.

Plánování integrace s místními systémy

Aplikace, které se ověřují přímo pomocí Microsoft Entra ID a mají moderní ověřování (WS-Fed, SAML, OAuth, OpenID Connect), můžou využívat zásady podmíněného přístupu. Některé starší a místní aplikace se neověřují přímo vůči ID Microsoft Entra a vyžadují další kroky pro použití vícefaktorového ověřování Microsoft Entra. Můžete je integrovat pomocí proxy aplikací Microsoft Entra nebo služeb zásad sítě.

Integrace s prostředky služby AD FS

Doporučujeme migrovat aplikace zabezpečené pomocí Active Directory Federation Services (AD FS) (AD FS) na Microsoft Entra ID. Pokud ale nejste připraveni je migrovat na Microsoft Entra ID, můžete použít adaptér vícefaktorového ověřování Azure se službou AD FS 2016 nebo novější.

Pokud je vaše organizace federovaná s Microsoft Entra ID, můžete nakonfigurovat vícefaktorové ověřování Microsoft Entra jako zprostředkovatele ověřování s prostředky AD FS v místním prostředí i v cloudu.

Klienti RADIUS a vícefaktorové ověřování Microsoft Entra

U aplikací, které používají ověřování RADIUS, doporučujeme přesunout klientské aplikace do moderních protokolů, jako jsou SAML, OpenID Connect nebo OAuth v Microsoft Entra ID. Pokud aplikaci nejde aktualizovat, můžete nasadit rozšíření NPS (Network Policy Server). Rozšíření serveru NPS (Network Policy Server) funguje jako adaptér mezi aplikacemi založenými na protokolu RADIUS a vícefaktorovým ověřováním Microsoft Entra za účelem zajištění druhého faktoru ověřování.

Běžné integrace

Mnoho dodavatelů teď podporuje ověřování SAML pro své aplikace. Pokud je to možné, doporučujeme federovat tyto aplikace pomocí ID Microsoft Entra a vynucovat vícefaktorové ověřování prostřednictvím podmíněného přístupu. Pokud váš dodavatel nepodporuje moderní ověřování – můžete použít rozšíření NPS. Mezi běžné integrace klientů RADIUS patří aplikace, jako jsou brány vzdálené plochy a servery VPN.

Mezi další můžou patřit:

  • Citrix Gateway

    Citrix Gateway podporuje integraci rozšíření RADIUS i NPS a integraci SAML.

  • Cisco VPN

    • Cisco VPN podporuje ověřování RADIUS i SAML pro jednotné přihlašování.
    • Přechodem z ověřování RADIUS na SAML můžete integrovat Cisco VPN bez nasazení rozšíření NPS.
  • Všechny sítě VPN

Nasazení vícefaktorového ověřování Microsoft Entra

Plán nasazení vícefaktorového ověřování Microsoft Entra by měl zahrnovat pilotní nasazení následované vlnami nasazení, které jsou v rámci vaší kapacity podpory. Zahajte zavádění tím, že použijete zásady podmíněného přístupu u malé skupiny pilotních uživatelů. Po vyhodnocení účinku na pilotní uživatele, použitý proces a chování registrace můžete do zásad přidat další skupiny, nebo přidat další uživatele do existujících skupin.

Postupujte následovně:

  1. Splnění nezbytných požadavků
  2. Konfigurace zvolených metod ověřování
  3. Konfigurace zásad podmíněného přístupu
  4. Konfigurace nastavení doby života relace
  5. Konfigurace zásad registrace vícefaktorového ověřování Microsoft Entra

Správa vícefaktorového ověřování Microsoft Entra

Tato část obsahuje informace o vytváření sestav a řešení potíží pro vícefaktorové ověřování Microsoft Entra.

Vytváření sestav a monitorování

Microsoft Entra ID obsahuje sestavy, které poskytují technické a obchodní přehledy, sledují průběh nasazení a kontrolují, jestli jsou vaši uživatelé úspěšní při přihlášení pomocí vícefaktorového ověřování. Požádejte vlastníky obchodních a technických aplikací o vlastnictví a využívání těchto sestav na základě požadavků vaší organizace.

Pomocí řídicího panelu Aktivity metod ověřování můžete monitorovat registraci a využití metod ověřování v celé organizaci. To vám pomůže pochopit, jaké metody se registrují a jak se používají.

Sestava přihlášení pro kontrolu událostí vícefaktorového ověřování

Sestavy přihlášení Microsoft Entra obsahují podrobnosti o ověřování událostí, když se uživateli zobrazí výzva k vícefaktorovém ověřování a jestli se používaly nějaké zásady podmíněného přístupu. PowerShell můžete také použít k vytváření sestav uživatelů registrovaných pro vícefaktorové ověřování Microsoft Entra.

Rozšíření NPS a protokoly SLUŽBY AD FS pro cloudovou aktivitu MFA jsou teď součástí protokolů přihlašování a už se nepublikují do sestavy aktivit.

Další informace a další sestavy vícefaktorového ověřování Microsoft Entra naleznete v tématu Kontrola událostí vícefaktorového ověřování Microsoft Entra.

Řešení potíží s vícefaktorovým ověřováním Microsoft Entra

Běžné problémy najdete v tématu Řešení běžných problémů s vícefaktorovým ověřováním Microsoft Entra.

Návod s asistencí

Průvodce mnoha doporučeními v tomto článku najdete v průvodci konfigurací vícefaktorového ověřování s asistencí pro Microsoft 365.

Další kroky

Nasazení dalších funkcí identit