Povolení bezheslového přihlašování pomocí aplikace Microsoft Authenticator

Microsoft Authenticator se dá použít k přihlášení k libovolnému účtu Microsoft Entra bez použití hesla. Microsoft Authenticator používá ověřování na základě klíčů k povolení přihlašovacích údajů uživatele, které jsou svázané se zařízením, kde zařízení používá PIN kód nebo biometrické údaje. Windows Hello pro firmy používá podobnou technologii.

Tuto ověřovací technologii lze použít na libovolné platformě zařízení, včetně mobilních zařízení. Tuto technologii lze také použít s libovolnou aplikací nebo webem, které se integrují s knihovnami ověřování Microsoftu.

Lidé, kteří povolili přihlášení k telefonu z Aplikace Microsoft Authenticator, se zobrazí zpráva s dotazem, jestli má klepnout na číslo v aplikaci. Není požádáno o žádné uživatelské jméno ani heslo. K dokončení procesu přihlašování v aplikaci musí uživatel provést následující akce:

1. Zadejte číslo, které uvidí na přihlašovací obrazovce, do dialogového okna Microsoft Authenticatoru.
2. Zvolte Schválit.
3. Zadejte svůj PIN nebo biometrický kód.

Více účtů v iOSu

Přihlášení k telefonu bez hesla můžete povolit pro více účtů v Microsoft Authenticatoru na jakémkoli podporovaném zařízení s iOSem. Konzultanti, studenti a další uživatelé s více účty v Microsoft Entra ID můžou přidat každý účet do Microsoft Authenticatoru a používat pro ně přihlašování pomocí telefonu bez hesla ze stejného zařízení s iOSem.

Dříve správci nemuseli vyžadovat přihlášení bez hesla pro uživatele s více účty, protože vyžadují, aby při přihlašování přenášeli více zařízení. Odebráním omezení přihlašování jednoho uživatele ze zařízení můžou správci s jistotou vyzvat uživatele, aby si zaregistrovali přihlášení pomocí telefonu bez hesla a použili ho jako výchozí způsob přihlašování.

Účty Microsoft Entra můžou být ve stejném tenantovi nebo v různých tenantech. Účty hostů nejsou podporované pro více přihlášení k účtům z jednoho zařízení.

Požadavky

Pokud chcete používat přihlášení k telefonu bez hesla pomocí aplikace Microsoft Authenticator, musí být splněné následující požadavky:

• Doporučeno: Vícefaktorové ověřování Microsoft Entra s povolenými nabízenými oznámeními jako metodou ověřování. Nabízená oznámení do smartphonu nebo tabletu pomáhají aplikaci Authenticator zabránit neoprávněnému přístupu k účtům a zastavit podvodné transakce. Aplikace Authenticator automaticky generuje kódy při nastavování nabízených oznámení. Uživatel má metodu zálohování přihlášení, i když zařízení nemá připojení.
• Nejnovější verze aplikace Microsoft Authenticator nainstalovaná na zařízeních s iOSem nebo Androidem
• Pro Android musí být zařízení, na kterém běží Microsoft Authenticator, zaregistrované jednotlivým uživatelům. Aktivně pracujeme na povolení více účtů v Androidu.
• Pro iOS musí být zařízení zaregistrované v každém tenantovi, ve kterém se přihlašuje. Například následující zařízení musí být zaregistrované ve společnosti Contoso a Wingtiptoys, aby se mohly přihlásit všechny účty:
  • balas@contoso.com
  • balas@wingtiptoys.com a bsandhu@wingtiptoys

Pokud chcete použít ověřování bez hesla v MICROSOFT Entra ID, nejprve povolte kombinované prostředí registrace a pak povolte uživatele pro metodu bez hesla.

Povolení metod ověřování přihlašování telefonem bez hesla

Tip

Postup v tomto článku se může mírně lišit v závislosti na portálu, od který začínáte.

Microsoft Entra ID vám umožní zvolit, které metody ověřování se dají použít během procesu přihlašování. Uživatelé si pak zaregistrují metody, které chtějí používat. Zásady metody ověřování Microsoft Authenticator spravují tradiční metodu MFA nabízených oznámení i metodu ověřování bez hesla.

Poznámka:

Pokud jste pomocí PowerShellu povolili přihlašování bez hesla Microsoft Authenticatoru, bylo povoleno pro celý adresář. Pokud tuto novou metodu povolíte, nahradí zásady PowerShellu. Doporučujeme povolit všem uživatelům ve vašem tenantovi prostřednictvím nové nabídky Metody ověřování, jinak se uživatelé, kteří nejsou v nových zásadách, nemůžou přihlásit bez hesla.

Pokud chcete povolit metodu ověřování pro přihlašování telefonem bez hesla, proveďte následující kroky:

1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň zásady ověřování Správa istrator.

2. Přejděte do zásad ověřování>ochrany.>

3. V části Microsoft Authenticator zvolte následující možnosti:

   1. Povolení – Ano nebo Ne
   2. Cíl – Všichni uživatelé nebo Vybrat uživatele

4. Každá přidaná skupina nebo uživatel je ve výchozím nastavení povolená tak, aby používala Aplikaci Microsoft Authenticator v režimu bez hesla i v režimu nabízených oznámení (režim Any). Pokud chcete režim změnit, pro každý řádek pro režim ověřování – zvolte Libovolný nebo Bez hesla. Volba Funkce Push zabraňuje použití přihlašovacích údajů pro telefon bez hesla.

5. Chcete-li použít novou zásadu, klikněte na tlačítko Uložit.

   Poznámka:

   Pokud se při pokusu o uložení zobrazí chyba, příčinou může být počet přidaných uživatelů nebo skupin. Jako alternativní řešení nahraďte uživatele a skupiny, které se pokoušíte přidat jednou skupinou, ve stejné operaci a pak znovu vyberte Uložit .

Registrace uživatele

Uživatelé se zaregistrují pro metodu ověřování bez hesla Microsoft Entra ID. Pokud uživatelé, kteří už aplikaci Microsoft Authenticator zaregistrovali pro vícefaktorové ověřování, přejděte k další části a povolte přihlášení přes telefon.

Přímá registrace přihlášení přes telefon

Uživatelé se můžou zaregistrovat pro přihlášení k telefonu bez hesla přímo v aplikaci Microsoft Authenticator, aniž by museli nejdřív zaregistrovat Aplikaci Microsoft Authenticator pomocí svého účtu, a to vše při tom, že nikdy nenabídá heslo. Postupujte následovně:

1. Získání dočasného přístupového passu z vaší Správa nebo organizace
2. Stáhněte a nainstalujte aplikaci Microsoft Authenticator na mobilní zařízení.
3. Otevřete Aplikaci Microsoft Authenticator a klikněte na Přidat účet a pak zvolte Pracovní nebo školní účet.
4. Zvolte Přihlásit se.
5. Postupujte podle pokynů pro přihlášení ke svému účtu pomocí dočasného přístupového passu poskytnutého vaší Správa nebo organizací.
6. Po přihlášení pokračujte podle dalších kroků a nastavte přihlášení k telefonu.

Registrace s asistencí u mých přihlášení

Poznámka:

Uživatelé budou moct aplikaci Microsoft Authenticator zaregistrovat pouze prostřednictvím kombinované registrace, pokud je režim ověřování Microsoft Authenticatoru jakýkoli nebo nabízený.

Pokud chcete zaregistrovat aplikaci Microsoft Authenticator, postupujte takto:

1. Přejděte na https://aka.ms/mysecurityinfo.
2. Přihlaste se a pak vyberte Přidat metodu>Authenticator aplikace>Přidat a přidejte Microsoft Authenticator.
3. Podle pokynů nainstalujte a nakonfigurujte aplikaci Microsoft Authenticator na zařízení.
4. Výběrem možnosti Hotovo dokončete konfiguraci aplikace Microsoft Authenticator.

Povolení přihlášení k telefonu

Jakmile se uživatelé zaregistrovali do aplikace Microsoft Authenticator, musí povolit přihlášení přes telefon:

1. V aplikaci Microsoft Authenticator vyberte zaregistrovaný účet.
2. Vyberte Povolit přihlášení telefonem.
3. Podle pokynů v aplikaci dokončete registraci účtu pro přihlášení k telefonu bez hesla.

Organizace může své uživatele nasměrovat, aby se přihlásili pomocí svých telefonů bez použití hesla. Další pomoc s konfigurací Microsoft Authenticatoru a povolením přihlášení k telefonu najdete v tématu Přihlášení k účtům pomocí aplikace Microsoft Authenticator.

Poznámka:

Uživatelé, kteří nejsou zásadami povoleni pro používání přihlašování přes telefon, už ho nemůžou povolit v microsoft Authenticatoru.

Přihlášení pomocí přihlašovacích údajů bez hesla

Uživatel může začít používat přihlášení bez hesla po dokončení všech následujících akcí:

• Správce povolil tenanta uživatele.
• Uživatel přidal Microsoft Authenticator jako metodu přihlašování.

Při prvním spuštění procesu přihlášení k telefonu provede uživatel následující kroky:

1. Na přihlašovací stránce zadá jejich jméno.
2. Vybere další.
3. V případě potřeby vybere možnost Další způsoby přihlášení.
4. Vybere schválení žádosti v aplikaci Authenticator.

Uživateli se pak zobrazí číslo. Aplikace vyzve uživatele k ověření zadáním příslušného čísla, nikoli zadáním hesla.

Jakmile uživatel využívá přihlášení k telefonu bez hesla, bude aplikace pokračovat v průvodci uživatele touto metodou. Uživatel ale uvidí možnost zvolit jinou metodu.

Dočasný přístupový pass

Pokud správce tenanta povolil samoobslužné resetování hesla (SSPR) a uživatel nastavuje přihlašování bez hesla pomocí aplikace Authenticator poprvé pomocí dočasného hesla, měli byste postupovat následovně:

1. Uživatel by měl otevřít prohlížeč na mobilním zařízení nebo na ploše a přejít na stránku s informacemi o mySecurity .
2. Uživatel musí jako metodu přihlašování zaregistrovat aplikaci Authenticator. Tato akce pro propojení účtu uživatele s aplikací.
3. Uživatel by se pak měl vrátit do svého mobilního zařízení a aktivovat přihlášení bez hesla prostřednictvím aplikace Authenticator.

Správa

Zásady metod ověřování se doporučují ke správě aplikace Microsoft Authenticator. Zásady ověřování Správa istrátory mohou tuto zásadu upravit a povolit nebo zakázat aplikaci Microsoft Authenticator. Správa můžou do používání zahrnout nebo vyloučit konkrétní uživatele a skupiny.

Správa můžou také konfigurovat parametry, aby lépe ovládly způsob použití aplikace Microsoft Authenticator. Do žádosti o přihlášení můžou například přidat umístění nebo název aplikace, aby uživatelé měli před schválením větší kontext.

Globální Správa istrátory můžou také spravovat Microsoft Authenticator na úrovni tenanta pomocí starších zásad vícefaktorového ověřování a SSPR. Tyto zásady umožňují povolit nebo zakázat Aplikaci Microsoft Authenticator pro všechny uživatele v tenantovi. Neexistují žádné možnosti, jak nikoho zahrnout nebo vyloučit, nebo řídit způsob použití aplikace Microsoft Authenticator pro přihlášení.

Známé problémy

Existují následující známé problémy.

Možnost pro přihlášení k telefonu bez hesla se nezobrazuje

V jednom scénáři může uživatel mít nezodpovězené ověřování bez hesla pro přihlášení k telefonu, které čeká na vyřízení. Pokud se uživatel pokusí znovu přihlásit, může se mu zobrazit jenom možnost zadat heslo.

Pokud chcete tento scénář vyřešit, postupujte takto:

1. Otevřete Microsoft Authenticator.
2. Odpovězte na všechny výzvy k oznámení.

Uživatel pak může dál používat přihlášení k telefonu bez hesla.

AuthenticatorAppSignInPolicy se nepodporuje

AuthenticatorAppSignInPolicy je starší zásada, která se v Microsoft Authenticatoru nepodporuje. Pokud chcete uživatelům povolit nabízená oznámení nebo přihlášení přes telefon bez hesla pomocí aplikace Authenticator, použijte zásadu Metody ověřování.

Federované účty

Pokud uživatel povolil jakékoli přihlašovací údaje bez hesla, proces přihlášení Microsoft Entra přestane používat login_hint. Proto proces už nezrychluje uživatele směrem k federované přihlašovací poloze.

Tato logika obecně brání tomu, aby se uživatel v hybridním tenantovi přesměroval na službu Ad FS (Active Directory Federated Services) pro ověření přihlášení. Uživatel si ale ponechá možnost místo toho kliknout na Použít heslo.

Místní uživatelé

Koncový uživatel může být povolený pro vícefaktorové ověřování prostřednictvím místního zprostředkovatele identity. Uživatel může stále vytvářet a využívat přihlašovací údaje pro telefon bez hesla.

Pokud se uživatel pokusí upgradovat více instalací microsoft Authenticatoru s přihlašovacími údaji bez hesla, může tato změna způsobit chybu.

Další kroky

Další informace o metodách ověřování Microsoft Entra a bez hesla najdete v následujících článcích:

• Zjistěte, jak funguje ověřování bez hesla
• Informace o registraci zařízení
• Další informace o vícefaktorové ověřování Microsoft Entra