Pozn.: V článku jsou uvedeny pouze vybrané ověřovací metody a určité situace. Microsoft vše často mění, takže je platné k datu publikace článku.
Registrace ověřovacích metod
Registraci ověřovacích metod můžeme vyvolat dvěma způsoby:
- při přihlášení - pokud je z nějakého důvodu vyžadováno registrovat nebo aktualizovat metody uživatele, dojde k přerušení přihlašovacího procesu a zobrazí se průvodce pro nastavení bezpečnostních údajů
- v nastavení účtu - součástí profilu uživatele je správa ověřovacích metod (bezpečnostních údajů), kde můžeme ručně registrovat nové metody
Nastavení ověřovacích metod během přihlášení
Správa ověřovacích metod v rámci účtu
V rámci svého účtu My Account máme volbu Security Info. Zde vidíme všechny metody ověření, které máme nastavené pro přihlášení k účtu nebo resetu hesla. Existující metody můžeme upravit nebo (ve většině případů) smazat.
Pozn.: Do nastavení se také můžeme dostat přes odkaz MFA Setup, kde je vynuceno nové přihlášení.
Kliknutím na + Add sign-in method
spustíme průvodce přidání nové metody.
V prvním kroku volíme metodu, kterou chceme registrovat.
Microsoft Authenticator
Pro registraci aplikace Microsoft Authenticator zvolíme Authenticator app
a procházíme průvodce (v prvním kroku můžeme zvolit, že chceme instalovat jinou než Microsoft aplikaci).
V telefonu potřebujeme nainstalovanou aplikaci. V horním řádku klikneme na + Add account
. Zvolíme Work or school account a Scan a QR code. Naskenujeme kód z obrazovky počítače. Účet se v aplikaci přidá.
Pak je potřeba schválit notifikaci v aplikaci zadáním čísla zobrazeného na počítači.
Tím dojde k registraci ověřovací metody. Pro Microsoft Authenticator se registruje Push Notification, která potřebuje připojení k internetu. A zároveň se aplikace nastaví jako SW token pro generování OATH ověřovacího kódu (která funguje offline).
Microsoft Authenticator (Phone Sign-in)
Když máme aplikaci Microsoft Authenticator registrovanou ke svému účtu, tak můžeme nastavit bezpečnější a pohodlnější možnost přihlašování bez hesla. Tato metoda se označuje jako přihlášení telefonem Phone Sign-in.
Pozn.: Microsoft Authenticator běžící na OS Android podporuje v tuto chvíli registraci pouze jednoho účtu pro Phone sign-in. Na iOS zařízeních je podporováno registrovat více účtů.
Podmínkou je, aby bylo mobilní zařízení registrováno k našemu účtu a musí být nastaven zámek obrazovky (typicky PIN nebo otisk prstu).
Povolení přihlášení telefonem provedeme v aplikaci Microsoft Authenticator. Otevřeme účet a klikneme na Set up phone sign-in
(je vidět na obrázku nad touto kapitolou). Poté se musíme přihlásit pomocí MFA.
Pokud nesplňujeme, třeba registraci zařízení, tak se nabídne její provedení. Nakonec se dokončí nastavení Phone sign-in.
Zda máme registrovanou metodu Phone sign-in vidíme přímo v aplikaci Microsoft Authenticator. A také v nastavení účtu pod Security Info, kde je jedna ze dvou možností.
FIDO2 Security key
Registrace FIDO2 bezpečnostního klíče je popsána v článku Přihlašování pomocí FIDO2 bezpečnostního klíče.
Windows Hello for Business
Windows Hello for Business je speciální metoda a nezobrazuje se mezi metodami na stránce Security Info (správce tuto metodu vidí u uživatele v Entra ID). Registrace se provádí v operačním systému a je popsána v článku Windows Hello for Business - uživatelské nastavení a používání.
Průběh MFA přihlášení
Určení účtu (zadání emailu)
Když se přihlašujeme poprvé, tak musíme zadat svoji emailovou adresu. Pouze pro přihlášení pomocí FIDO2 security key není určení účtu potřeba, stačí kliknout na Sign-in options
a následně Sign in with a security key.
Pokud máme na stejné emailové adrese firemní i soukromý účet, tak se zobrazí výběr, o který účet jde.
Při opakovaném přihlášení se většinou nabídne dříve použitý účet a stačí jej zvolit.
Autentizace uživatele
Pokud máme nastavenu nějakou metodu přihlášení bez hesla, tak se použije v dalším kroku. Může se zobrazit schválení přihlášení pomocí Microsoft Authenticator Phone Sign-in (zadání dvou číslic) nebo Windows bezpečnostní dialog pro přihlášení pomocí FIDO2 klíče.
V ostatních případech se zobrazí dialog na zadání hesla jako prvního faktoru přihlášení. Následuje dialog pro nakonfigurovaný druhý faktor, třeba schválení přihlášení pomocí Microsoft Authenticator Push Notification (zadání dvou číslic) nebo zadání ověřovacího kódu.
Změna ověřovací metody
Pokud máme registrovaných více metod, tak vždy můžeme přerušit aktuálně použitou metodu a zvolit jinou. V řadě variant dialogu se nabízí volba Other ways to sign in
, případně I can't use my Microsoft Authenticator app right now
. Ve Windows dialogu přihlášení FIDO2 klíčem musíme nejprve zvolit Cancel.
Podle toho, zda jsme v kroku přihlášení bez hesla nebo jsme již heslo zadali, a samozřejmě jaké metody máme registrované, se nabízí různý výběr dostupných metod.
Microsoft Authenticator (Phone Sign-in)
Pokud máme nastavené přihlášení bez hesla pomocí aplikace Microsoft Authenticator, tak by se po určení účtu měl rovnou zobrazit dialog na schválení přihlášení v aplikaci zadáním zobrazených číslic.
Pokud se zobrazí dialog na zadání hesla, tak by zde měl být odkaz Other ways to sign in
, kde vybereme Approve a request on my Microsoft Authenticator app.
Microsoft Authenticator (Push Notification)
Aplikaci Microsoft Authenticator můžeme využít pro klasické MFA přihlášení. To znamená, že určíme účet a v prvním kroku zadáme heslo. Pak můžeme využít Push Notification, kdy do aplikace přijde notifikace, kterou musíme schválit. Průběh je naprosto stejný, jako u Phone Sign-in. Zobrazí se dialog Approve sign in s číslem, které musíme zadat v mobilní aplikaci.
Rozdíl je, že u Push Notification musíme v prvním kroku zadat heslo, které se posílá přes internet. Kdežto Phone Sign-in je bezpečnější a pohodlnější, žádné heslo nezadáváme a přihlašujeme se pomocí asymetrického páru klíčů, který je svázán s aplikací a mobilním zařízením.
Nahlášení podezřelé aktivity - zablokování MFA přihlášení
V notifikaci v aplikaci Microsoft Authenticator je také volba No, it’s not me
. Pokud ji použijeme, tak se zobrazí dialog Report suspicious aktivity. Při volbě Report může dojít k zablokování MFA přihlášení, které musí správce organizace odblokovat.
Ověřovací kód - OATH One Time Password (OTP)
Druhá možnost klasického MFA přihlášení spočívá v zadání ověřovacího kódu (Verification Code). Můžeme využít registrovaný Microsoft Authenticator nebo aplikaci třetích stran, která podporuje OATH TOTP. Zobrazí se dialog na zadání kódu.
Otevřeme aplikaci Microsoft Authenticator na mobilním zařízení a vybereme náš účet. Zde se zobrazuje aktuální OTP kód a jeho zbývající platnost z 30 vteřin. Kód opíšeme do přihlašovacího dialogu.
dekuji za pekny popis
prima