provozuje Innovative Business s.r.o.
Od 30. září 2024 budou starší zásady vícefaktorového ověřování a samoobslužného resetování hesla zastaralé a všechny stávající metody ověřování se budou se nadále spravovat pouze v nových zásadách metod ověřování v Microsoft Entra (dříve Azure Active Directory nebo zkráceně Azure AD).
Microsoft za tímto účelem zprovoznil ovládací prvek, kterým můžete spravovat migraci ze starších zásad na nové sjednocené zásady.
Začněte dokumentováním metod, které jsou dostupné ve starších zásadách MFA. Přihlaste se k Azure Portal jako globální správce. Pokud chcete zobrazit nastavení, přejděte na Uživatelé>Všichni uživatelé>Vícefaktorové ověřování. Přepněte se do nastavení platné pro celého tenanta:
U každé metody si všimněte, jestli je pro tenanta povolená. Následující tabulka uvádí metody dostupné ve starších zásadách vícefaktorového ověřování a odpovídající metody v zásadách metody ověřování.
| Zásady vícefaktorového ověřování | Zásady metody ověřování |
|---|---|
| Volání na telefon | hlasové hovory |
| Textová zpráva na telefon | SMS |
| Oznámení prostřednictvím mobilní aplikace | Microsoft Authenticator |
| Ověřovací kód z mobilní aplikace nebo hardwarového tokenu | Softwarové tokeny OATH třetích stran Hardwarové tokeny OATH (zatím nejsou k dispozici) Microsoft Authenticator |
Pokud chcete získat metody ověřování dostupné ve starších zásadách SSPR, přejděte na Metody ověřování pro Resetování hesla v původním Azure Active Directory.
Poznamenejte si, kteří uživatelé jsou v rozsahu pro SSPR (všichni uživatelé, jedna konkrétní skupina nebo žádní uživatelé) a metody ověřování, které můžou použít. I když bezpečnostní otázky ještě nejsou k dispozici ke správě v zásadách Metody ověřování, nezapomeňte si je zaznamenat na později, až budou.
| Metody ověřování SSPR | Zásady metody ověřování |
|---|---|
| Oznámení v mobilní aplikaci | Microsoft Authenticator |
| Kód mobilní aplikace | Microsoft Authenticator Softwarové tokeny OATH |
| Email jednorázové heslo | |
| Mobilní telefon | hlasové hovory SMS |
| Telefon do kanceláře | hlasové hovory |
| Bezpečnostní otázky | Zatím není k dispozici; otázky týkající se kopírování pro pozdější použití |
Pokud chcete zkontrolovat nastavení v zásadách Metody ověřování, přihlaste se jako správce zásad ověřování a přejděte na Zásady metod ověřování v Azure Active Directory. Každý nový tenant má ve svém výchozím nastavení všechny metody vypnuté, což usnadňuje migraci, protože starší nastavení zásad není potřeba sloučit se stávajícími nastaveními.
Zásady metod ověřování mají další metody, které nejsou ve starších verzích zásad dostupné, jako je klíč zabezpečení FIDO2, dočasný přístup a Azure AD ověřování na základě certifikátu. Tyto metody nejsou v rozsahu migrace, a pokud jste je už nakonfigurovali, nebudete je muset nijak měnit.
Pokud jste v zásadách Metody ověřování povolili jiné metody, poznamenejte si uživatele a skupiny, kteří tyto metody můžou nebo nemůžou používat. Poznamenejte si konfigurační parametry, které řídí způsob použití metody. Aplikaci Microsoft Authenticator můžete například nakonfigurovat tak, aby poskytovala polohu v nabízených oznámeních. Vytvořte záznam o tom, kteří uživatelé a skupiny mají povolené podobné konfigurační parametry přidružené k jednotlivým metodách.
Po zachycení dostupných metod ověřování ze zásad, které aktuálně používáte, můžete zahájit migraci. Otevřete zásadu Metody ověřování, vyberte Spravovat migraci a vyberte Probíhá migrace. Tuto možnost je vhodné nastavit před provedením jakýchkoli změn, protože nová zásada se použije pro scénáře přihlašování i resetování hesla.
Jednotlivé metody si projděte jednotlivě. Pokud váš tenant používá jenom starší zásady vícefaktorového ověřování a nepoužívá SSPR, je aktualizace jednoduchá – můžete povolit každou metodu pro všechny uživatele a přesně odpovídat stávajícím zásadám.
Pokud váš tenant používá MFA i SSPR, budete muset zvážit každou metodu:
Tam, kde se zásady shodují, můžete snadno odpovídat aktuálnímu stavu. Pokud dojde k neshodě, budete se muset rozhodnout, jestli tuto metodu úplně povolíte nebo zakážete. Předpokládejme například, že je povolené oznámení prostřednictvím mobilní aplikace , aby se povolila nabízená oznámení pro vícefaktorové ověřování. Ve starších zásadách SSPR není povolená metoda oznámení mobilní aplikace . V takovém případě starší zásady umožňují nabízená oznámení pro MFA, ale ne SSPR.
V zásadách Metody ověřování se pak budete muset rozhodnout, jestli chcete povolit microsoft Authenticator pro SSPR i MFA, nebo jestli ho chcete zakázat (doporučujeme povolit Microsoft Authenticator).
Po aktualizaci zásad Metody ověřování projděte starší zásady MFA a SSPR a jednotlivé metody ověřování odeberte jednotlivě. Otestujte a ověřte změny pro každou metodu.
Když zjistíte, že MFA a SSPR fungují podle očekávání a že už nepotřebujete starší zásady MFA a SSPR, můžete změnit proces migrace na Migrace dokončená. V tomto režimu se Azure AD řídí pouze zásadami metody ověřování. Pokud je nastavená možnost Migrace dokončena , není možné provádět žádné změny starších zásad, s výjimkou bezpečnostních otázek v zásadách SSPR. Pokud se z nějakého důvodu potřebujete vrátit ke starším zásadám, můžete stav migrace kdykoli přesunout zpět do probíhající migrace .