FÖRSÄLJNING: 1-800-867-1389

Använda flerfaktorsautentisering med Windows Azure AD

Utgivet: oktober 2012

Uppdaterad: februari 2013

Gäller för: Windows Azure Active Directory

Det här avsnittet innehåller en allmän översikt över flerfaktorsautentisering. Här beskrivs också hur en global administratör kan använda flerfaktorsautentisering i Windows Azure Active Directory för att ge ett starkare skydd åt organisationens identitetsuppgifter i molnet.

Hur fungerar flerfaktorsautentisering?

Med flerfaktorsautentisering läggs ett extra säkerhetsskikt till vid användarinloggningar och transaktioner. Vid en sådan autentisering används två eller fler av följande kontrollmetoder:

  • Något du vet (vanligtvis ett lösenord)

  • Något du har (en betrodd enhet som inte kan kopieras så lätt, t.ex. en telefon)

  • Något du är (biometri)

Det som gör flerfaktorsautentiseringen så säker är principen med flera skyddsnivåer. Kombinationen av flera autentiseringsfaktorer försvårar för många angripare. Även om en angripare lyckas komma över en användares lösenord är det värdelöst om angriparen inte också har tillgång till användarens enhet. Och om en användare råkar bli av med sin enhet kan upphittaren inte använda den utan att känna till lösenordet.

Windows Azure AD har som standard stöd för användning av lösenord som enda autentiseringsmetod för användarinloggning.

Hur används det med Windows Azure AD?

När du aktiverar flerfaktorsautentisering för ett användarkonto i Windows Azure AD måste användaren använda telefonen (förutom det vanliga lösenordet) som extra säkerhetsmetod varje gång han eller hon loggar in och för att använda organisationens tjänster.

Varför används telefoner som säkerhetsmetod?

I ett telefonbaserat autentiseringssystem fungerar användarens telefon som den betrodda enheten i ett andra autentiseringssteg. Det är mycket svårt att kopiera telefoner och komma över telefonnummer. Telefoner är också ett mycket vanligt personligt föremål som normalt bärs med överallt av anställda/studenter, vilket gör att du slipper köpa in stora mängder smarta kort eller annan maskinvara och därmed hålla ned IT-utgifterna.

Kombinationen av telefon och användarnamn/lösenord utgör en stark flerfaktorsautentisering. Aktivering av flerfaktorsautentisering påverkar dock hela användarupplevelsen, vilket beskrivs i nästa avsnitt.

Tänk på följande innan du aktiverar flerfaktorsautentisering

Läs igenom följande information innan du aktiverar funktionen eftersom den påverkar alla konton du aktiverar.

  1. Användningen avser endast administratörskonton – För närvarande går det bara att aktivera flerfaktorsautentisering för användare som loggar in med administratörsbehörighet i klientorganisationen. Globala administratörer som ska aktivera flerfaktorsautentisering i Windows Azure AD-portalen ser en lista över alla användare med administratörsroller. Mer information om olika administratörsroller finns i Tilldela administratörsroller.

    ImportantViktigt
    Tänk på att inte vanligtvis använda konton med utökade privilegier, till exempel administratörsroller, för vanliga aktiviteter som att läsa e-post och arbeta i SharePoint Online. Detta gäller framförallt konton med privilegier av sådan art att de i orätta händer kan skada produktiviteten i hela organisationen.

  2. Lokal konfigurering av befintlig flerfaktorsautentisering – Om du redan använder flerfaktorsautentisering i din lokala miljö och har konfigurerat klientorganisationen för användning av enkel inloggning, kan du fortsätta att använda det för inloggning till Microsoft-molntjänsterna.

  3. Ingen support för feta klientprogram – När du aktiverar flerfaktorsautentisering för ett användarkonto kan du inte använda feta klientprogram som Microsoft Outlook, Lync, Windows PowerShell eller andra installerade program på datorn för att skicka och ta emot data från molntjänsterna som du prenumererar på i klientorganisationen.

    Om din organisation exempelvis prenumererar på Office 365 kan användaren inte komma åt sin e-post via Outlook som är installerat lokalt utan i stället via en webbläsare med Outlook Web Access.

  4. Inget Lync-baserat stöd för IP-telefon – Lync-baserade IP-telefoner kan inte användas med flerfaktorsautentisering.

Konfigurera flerfaktorsautentisering

Endast användare som har rollen global administratör i Windows Azure AD-klientorganisationen kan aktivera och inaktivera flerfaktorsautentisering.

Aktivera flerfaktorsautentisering för ett konto

Så här aktiverar du flerfaktorsautentisering för ett användarkonto:

  1. Beroende på vilken portal du använder klickar du till vänster på antingen Användare eller Användare och grupper.

  2. Markera kryssrutan vid de konton som du vill aktivera och klicka sedan på Aktivera.

  3. Klicka på Ja i rutan Vill du aktivera flerfaktorsautentisering?.

Inaktivera flerfaktorsautentisering för ett konto

Så här inaktiverar du flerfaktorsautentisering för ett användarkonto:

  1. Beroende på vilken portal du använder klickar du till vänster på antingen Användare eller Användare och grupper.

  2. Markera kryssrutan vid de administratörskonton som du vill inaktivera och klicka sedan på Aktivera.

Felsöka problem med flerfaktorsautentisering

I det här avsnittet beskrivs olika problem med flerfaktorsautentisering och hur du löser dem.

Jag tog bort en användare från en administratörsroll men glömde att inaktivera flerfaktorsautentisering och nu visas det inte i listan. Hur tar jag bort funktionen?

  1. Beroende på vilken portal du använder klickar du till vänster på antingen Användare eller Användare och grupper.

  2. Beroende på vilken portal du använder markerar du kryssrutan bredvid användaren som du vill redigera och klickar sedan antingen på Redigera eller på ikonen Redigera .

  3. Klicka på Inställningar, gå till Tilldela roll och välj Ja och återför användaren till den tidigare administratörsrollen.

  4. Gå till sidan för flerfaktorsautentisering. Kontot ska nu visas längst upp i listan på sidan. Följ stegen ovan för att inaktivera flerfaktorsautentisering för ett konto. Nu kan du ta bort kontot från administratörsrollen.

Se även

Var detta till hjälp?
(1500 tecken kvar)
Tack för dina kommentarer

Gruppinnehåll

Visa:
© 2015 Microsoft