www.SAMURAJ-cz.com 

02.05.2024 Zikmund Translate to English by Google     VÍTEJTE V MÉM SVĚTĚ

Články

Vícefaktorová autentizace (MFA) registrace ověřovacích metod a přihlašování

Neděle, 22.10.2023 09:56 | Samuraj - Petr Bouška |
Po obecném popisu Microsoft Entra Multi-Factor Authentication (MFA) se podíváme více prakticky na registraci a správu ověřovacích metod. Zaměříme se na možnosti Microsoft Authenticator, v tomto případě je optimální Phone sign-in. Pak si ukážeme průběh přihlášení pomocí MFA a použití některých ověřovacích metod.

Pozn.: V článku jsou uvedeny pouze vybrané ověřovací metody a určité situace. Microsoft vše často mění, takže je platné k datu publikace článku.

Registrace ověřovacích metod

Registraci ověřovacích metod můžeme vyvolat dvěma způsoby:

  • při přihlášení - pokud je z nějakého důvodu vyžadováno registrovat nebo aktualizovat metody uživatele, dojde k přerušení přihlašovacího procesu a zobrazí se průvodce pro nastavení bezpečnostních údajů
  • v nastavení účtu - součástí profilu uživatele je správa ověřovacích metod (bezpečnostních údajů), kde můžeme ručně registrovat nové metody

Nastavení ověřovacích metod během přihlášení

MFA registrace ověřovacích metod během přihlášení 1
MFA registrace ověřovacích metod během přihlášení 2
MFA registrace ověřovacích metod během přihlášení 3

Správa ověřovacích metod v rámci účtu

V rámci svého účtu My Account máme volbu Security Info. Zde vidíme všechny metody ověření, které máme nastavené pro přihlášení k účtu nebo resetu hesla. Existující metody můžeme upravit nebo (ve většině případů) smazat.

Pozn.: Do nastavení se také můžeme dostat přes odkaz MFA Setup, kde je vynuceno nové přihlášení.

Kliknutím na + Add sign-in method spustíme průvodce přidání nové metody.

MFA registrace ověřovacích metod v nastavení účtu 1

V prvním kroku volíme metodu, kterou chceme registrovat.

MFA registrace ověřovacích metod v nastavení účtu 2

Microsoft Authenticator

Pro registraci aplikace Microsoft Authenticator zvolíme Authenticator app a procházíme průvodce (v prvním kroku můžeme zvolit, že chceme instalovat jinou než Microsoft aplikaci).

MFA registrace Microsoft Authenticator 1

V telefonu potřebujeme nainstalovanou aplikaci. V horním řádku klikneme na + Add account. Zvolíme Work or school account a Scan a QR code. Naskenujeme kód z obrazovky počítače. Účet se v aplikaci přidá.

MFA registrace Microsoft Authenticator 2

Pak je potřeba schválit notifikaci v aplikaci zadáním čísla zobrazeného na počítači.

MFA registrace Microsoft Authenticator 3

Tím dojde k registraci ověřovací metody. Pro Microsoft Authenticator se registruje Push Notification, která potřebuje připojení k internetu. A zároveň se aplikace nastaví jako SW token pro generování OATH ověřovacího kódu (která funguje offline).

MFA registrace Microsoft Authenticator 4

Microsoft Authenticator (Phone Sign-in)

Když máme aplikaci Microsoft Authenticator registrovanou ke svému účtu, tak můžeme nastavit bezpečnější a pohodlnější možnost přihlašování bez hesla. Tato metoda se označuje jako přihlášení telefonem Phone Sign-in.

Pozn.: Microsoft Authenticator běžící na OS Android podporuje v tuto chvíli registraci pouze jednoho účtu pro Phone sign-in. Na iOS zařízeních je podporováno registrovat více účtů.

Podmínkou je, aby bylo mobilní zařízení registrováno k našemu účtu a musí být nastaven zámek obrazovky (typicky PIN nebo otisk prstu).

Povolení přihlášení telefonem provedeme v aplikaci Microsoft Authenticator. Otevřeme účet a klikneme na Set up phone sign-in (je vidět na obrázku nad touto kapitolou). Poté se musíme přihlásit pomocí MFA.

MFA registrace Microsoft Authenticator Phone Sign-in

Pokud nesplňujeme, třeba registraci zařízení, tak se nabídne její provedení. Nakonec se dokončí nastavení Phone sign-in.

Zda máme registrovanou metodu Phone sign-in vidíme přímo v aplikaci Microsoft Authenticator. A také v nastavení účtu pod Security Info, kde je jedna ze dvou možností.

MFA registrace Microsoft Authenticator 5

FIDO2 Security key

Registrace FIDO2 bezpečnostního klíče je popsána v článku Přihlašování pomocí FIDO2 bezpečnostního klíče.

Windows Hello for Business

Windows Hello for Business je speciální metoda a nezobrazuje se mezi metodami na stránce Security Info (správce tuto metodu vidí u uživatele v Entra ID). Registrace se provádí v operačním systému a je popsána v článku Windows Hello for Business - uživatelské nastavení a používání.

Průběh MFA přihlášení

Určení účtu (zadání emailu)

Když se přihlašujeme poprvé, tak musíme zadat svoji emailovou adresu. Pouze pro přihlášení pomocí FIDO2 security key není určení účtu potřeba, stačí kliknout na Sign-in options a následně Sign in with a security key.

Microsoft Modern Authentication

Pokud máme na stejné emailové adrese firemní i soukromý účet, tak se zobrazí výběr, o který účet jde.

Microsoft přihlášení výběr typu účtu

Při opakovaném přihlášení se většinou nabídne dříve použitý účet a stačí jej zvolit.

Microsoft přihlášení výběr účtu

Autentizace uživatele

Pokud máme nastavenu nějakou metodu přihlášení bez hesla, tak se použije v dalším kroku. Může se zobrazit schválení přihlášení pomocí Microsoft Authenticator Phone Sign-in (zadání dvou číslic) nebo Windows bezpečnostní dialog pro přihlášení pomocí FIDO2 klíče.

V ostatních případech se zobrazí dialog na zadání hesla jako prvního faktoru přihlášení. Následuje dialog pro nakonfigurovaný druhý faktor, třeba schválení přihlášení pomocí Microsoft Authenticator Push Notification (zadání dvou číslic) nebo zadání ověřovacího kódu.

Microsoft přihlášení zadání hesla

Změna ověřovací metody

Pokud máme registrovaných více metod, tak vždy můžeme přerušit aktuálně použitou metodu a zvolit jinou. V řadě variant dialogu se nabízí volba Other ways to sign in, případně I can't use my Microsoft Authenticator app right now. Ve Windows dialogu přihlášení FIDO2 klíčem musíme nejprve zvolit Cancel.

Microsoft přihlášení MFA změna ověřovací metody

Podle toho, zda jsme v kroku přihlášení bez hesla nebo jsme již heslo zadali, a samozřejmě jaké metody máme registrované, se nabízí různý výběr dostupných metod.

Microsoft přihlášení MFA výběr ověřovací metody

Microsoft Authenticator (Phone Sign-in)

Pokud máme nastavené přihlášení bez hesla pomocí aplikace Microsoft Authenticator, tak by se po určení účtu měl rovnou zobrazit dialog na schválení přihlášení v aplikaci zadáním zobrazených číslic.

MFA autentizace schválení v aplikaci Microsoft Authenticator

Pokud se zobrazí dialog na zadání hesla, tak by zde měl být odkaz Other ways to sign in, kde vybereme Approve a request on my Microsoft Authenticator app.

Microsoft přihlášení MFA změna ověřovací metody 2

Microsoft Authenticator (Push Notification)

Aplikaci Microsoft Authenticator můžeme využít pro klasické MFA přihlášení. To znamená, že určíme účet a v prvním kroku zadáme heslo. Pak můžeme využít Push Notification, kdy do aplikace přijde notifikace, kterou musíme schválit. Průběh je naprosto stejný, jako u Phone Sign-in. Zobrazí se dialog Approve sign in s číslem, které musíme zadat v mobilní aplikaci.

Rozdíl je, že u Push Notification musíme v prvním kroku zadat heslo, které se posílá přes internet. Kdežto Phone Sign-in je bezpečnější a pohodlnější, žádné heslo nezadáváme a přihlašujeme se pomocí asymetrického páru klíčů, který je svázán s aplikací a mobilním zařízením.

Nahlášení podezřelé aktivity - zablokování MFA přihlášení

V notifikaci v aplikaci Microsoft Authenticator je také volba No, it’s not me. Pokud ji použijeme, tak se zobrazí dialog Report suspicious aktivity. Při volbě Report může dojít k zablokování MFA přihlášení, které musí správce organizace odblokovat.

Microsoft Authenticator - Report suspicious aktivity

Ověřovací kód - OATH One Time Password (OTP)

Druhá možnost klasického MFA přihlášení spočívá v zadání ověřovacího kódu (Verification Code). Můžeme využít registrovaný Microsoft Authenticator nebo aplikaci třetích stran, která podporuje OATH TOTP. Zobrazí se dialog na zadání kódu.

Microsoft přihlášení MFA zadání ověřovacího kódu OATH

Otevřeme aplikaci Microsoft Authenticator na mobilním zařízení a vybereme náš účet. Zde se zobrazuje aktuální OTP kód a jeho zbývající platnost z 30 vteřin. Kód opíšeme do přihlašovacího dialogu.

Microsoft přihlášení MFA ověřovací kód v Microsoft Authenticator
zobrazeno: 1838krát | Komentáře [2]

Autor:

Související články:

Azure AD / Entra ID identity a autentizace

Články související s identitou uživatelů a zařízení (nejen) v Microsoft Entra ID. Různé možnosti přihlašování a ověřování. Oblasti jako moderní autentizace, vícefaktorová autentizaci, přihlašování bez hesla, apod.

Azure, Microsoft 365, Office 365, Cloud

Různá populární témata ohledně veřejného cloudu. Více zaměřeno na služby Microsoft, tedy IaaS, PaaS, SaaS Azure, adresářové služby Azure AD a hostované služby Microsoft 365 / Office 365.

Pokud se chcete vyjádřit k tomuto článku, využijte komentáře níže.

Komentáře

  1. [1] Ondrej Podrouzek

    ;-) dekuji za pekny popis

    Pondělí, 27.11.2023 10:23 | odpovědět
  2. [2] je to na pikaču

    :-)prima;-)

    Úterý, 28.11.2023 11:35 | odpovědět
Přidat komentář

Vložit tag: strong em link

Vložit smajlík: :-) ;-) :-( :-O

Nápověda:
  • maximální délka komentáře je 2000 znaků
  • HTML tagy nejsou povoleny (budou odstraněny), použít se mohou pouze speciální tagy (jsou uvedeny nad vstupním polem)
  • nový řádek (ENTER) ukončí odstavec a začne nový
  • pokud odpovídáte na jiný komentář, vložte na začátek odstavce (řádku) číslo komentáře v hranatých závorkách