Aktualizováno: 31.7.2023, Vytvořeno: 31.7.2023 | V kategorii:

Povinná migrace zásad vícefaktorového ověřování a samoobslužného resetování hesla

Od 30. září 2024 budou starší zásady vícefaktorového ověřování a samoobslužného resetování hesla zastaralé a všechny stávající metody ověřování se budou se nadále spravovat pouze v nových zásadách metod ověřování v Microsoft Entra (dříve Azure Active Directory nebo zkráceně Azure AD).

Microsoft za tímto účelem zprovoznil ovládací prvek, kterým můžete spravovat migraci ze starších zásad na nové sjednocené zásady.

Povinná migrace zásad vícefaktorového ověřování a samoobslužného resetování hesla 1

Jak se připravit?

1. Zkontrolujte starší zásady vícefaktorového ověřování

Začněte dokumentováním metod, které jsou dostupné ve starších zásadách MFA. Přihlaste se k Azure Portal jako globální správce. Pokud chcete zobrazit nastavení, přejděte na Uživatelé>Všichni uživatelé>Vícefaktorové ověřování. Přepněte se do nastavení platné pro celého tenanta:

Povinná migrace zásad vícefaktorového ověřování a samoobslužného resetování hesla 3

U každé metody si všimněte, jestli je pro tenanta povolená. Následující tabulka uvádí metody dostupné ve starších zásadách vícefaktorového ověřování a odpovídající metody v zásadách metody ověřování.

Zásady vícefaktorového ověřováníZásady metody ověřování
Volání na telefonhlasové hovory
Textová zpráva na telefonSMS
Oznámení prostřednictvím mobilní aplikaceMicrosoft Authenticator
Ověřovací kód z mobilní aplikace nebo hardwarového tokenuSoftwarové tokeny OATH třetích stran
Hardwarové tokeny OATH (zatím nejsou k dispozici)
Microsoft Authenticator

2. Projděte si starší zásady samoobslužného resetování hesla.

Pokud chcete získat metody ověřování dostupné ve starších zásadách SSPR, přejděte na Metody ověřování pro Resetování hesla v původním Azure Active Directory.

Povinná migrace zásad vícefaktorového ověřování a samoobslužného resetování hesla 5

Poznamenejte si, kteří uživatelé jsou v rozsahu pro SSPR (všichni uživatelé, jedna konkrétní skupina nebo žádní uživatelé) a metody ověřování, které můžou použít. I když bezpečnostní otázky ještě nejsou k dispozici ke správě v zásadách Metody ověřování, nezapomeňte si je zaznamenat na později, až budou.

Metody ověřování SSPRZásady metody ověřování
Oznámení v mobilní aplikaciMicrosoft Authenticator
Kód mobilní aplikaceMicrosoft Authenticator
Softwarové tokeny OATH
E-mailEmail jednorázové heslo
Mobilní telefonhlasové hovory
SMS
Telefon do kancelářehlasové hovory
Bezpečnostní otázkyZatím není k dispozici; otázky týkající se kopírování pro pozdější použití

3. Zkontrolujte zásady metod ověřování

Pokud chcete zkontrolovat nastavení v zásadách Metody ověřování, přihlaste se jako správce zásad ověřování a přejděte na Zásady metod ověřování v Azure Active Directory. Každý nový tenant má ve svém výchozím nastavení všechny metody vypnuté, což usnadňuje migraci, protože starší nastavení zásad není potřeba sloučit se stávajícími nastaveními.

Povinná migrace zásad vícefaktorového ověřování a samoobslužného resetování hesla 7

Zásady metod ověřování mají další metody, které nejsou ve starších verzích zásad dostupné, jako je klíč zabezpečení FIDO2, dočasný přístup a Azure AD ověřování na základě certifikátu. Tyto metody nejsou v rozsahu migrace, a pokud jste je už nakonfigurovali, nebudete je muset nijak měnit.

Pokud jste v zásadách Metody ověřování povolili jiné metody, poznamenejte si uživatele a skupiny, kteří tyto metody můžou nebo nemůžou používat. Poznamenejte si konfigurační parametry, které řídí způsob použití metody. Aplikaci Microsoft Authenticator můžete například nakonfigurovat tak, aby poskytovala polohu v nabízených oznámeních. Vytvořte záznam o tom, kteří uživatelé a skupiny mají povolené podobné konfigurační parametry přidružené k jednotlivým metodách.

Jak migrovat

1. Spuštění migrace

Po zachycení dostupných metod ověřování ze zásad, které aktuálně používáte, můžete zahájit migraci. Otevřete zásadu Metody ověřování, vyberte Spravovat migraci a vyberte Probíhá migrace. Tuto možnost je vhodné nastavit před provedením jakýchkoli změn, protože nová zásada se použije pro scénáře přihlašování i resetování hesla.

2. Aktualizujte zásady metod ověřování

Jednotlivé metody si projděte jednotlivě. Pokud váš tenant používá jenom starší zásady vícefaktorového ověřování a nepoužívá SSPR, je aktualizace jednoduchá – můžete povolit každou metodu pro všechny uživatele a přesně odpovídat stávajícím zásadám.

Pokud váš tenant používá MFA i SSPR, budete muset zvážit každou metodu:

  • Pokud je metoda povolená v obou starších verzích zásad, povolte ji pro všechny uživatele v zásadách Metody ověřování.
  • Pokud je metoda v obou starších verzích zásad vypnutá, nechte ji vypnutou pro všechny uživatele v zásadách Metody ověřování.
  • Pokud je metoda povolená jenom v jedné zásadě, musíte se rozhodnout, jestli by měla být dostupná ve všech situacích.

Tam, kde se zásady shodují, můžete snadno odpovídat aktuálnímu stavu. Pokud dojde k neshodě, budete se muset rozhodnout, jestli tuto metodu úplně povolíte nebo zakážete. Předpokládejme například, že je povolené oznámení prostřednictvím mobilní aplikace , aby se povolila nabízená oznámení pro vícefaktorové ověřování. Ve starších zásadách SSPR není povolená metoda oznámení mobilní aplikace . V takovém případě starší zásady umožňují nabízená oznámení pro MFA, ale ne SSPR.

V zásadách Metody ověřování se pak budete muset rozhodnout, jestli chcete povolit microsoft Authenticator pro SSPR i MFA, nebo jestli ho chcete zakázat (doporučujeme povolit Microsoft Authenticator).

3. Dokončení migrace

Po aktualizaci zásad Metody ověřování projděte starší zásady MFA a SSPR a jednotlivé metody ověřování odeberte jednotlivě. Otestujte a ověřte změny pro každou metodu.

Když zjistíte, že MFA a SSPR fungují podle očekávání a že už nepotřebujete starší zásady MFA a SSPR, můžete změnit proces migrace na Migrace dokončená. V tomto režimu se Azure AD řídí pouze zásadami metody ověřování. Pokud je nastavená možnost Migrace dokončena , není možné provádět žádné změny starších zásad, s výjimkou bezpečnostních otázek v zásadách SSPR. Pokud se z nějakého důvodu potřebujete vrátit ke starším zásadám, můžete stav migrace kdykoli přesunout zpět do probíhající migrace .

Máte nějaké dotazy nebo připomínky? Zanechte komentář a neváhejte se s námi spojit na facebooku!