Regisztrációs kampány futtatása a Microsoft Authenticator beállításához

A felhasználókat elmozdíthatja a Microsoft Authenticator beállításához a bejelentkezés során. A felhasználók rendszeresen bejelentkeznek, a szokásos módon többtényezős hitelesítést hajtanak végre, majd a rendszer kérni fogja a Microsoft Authenticator beállítását. Felvehet vagy kizárhat felhasználókat vagy csoportokat, hogy szabályozhassa, hogy ki legyen elmozdulva az alkalmazás beállításához. Ez lehetővé teszi, hogy a célzott kampányok áthelyezik a felhasználókat a kevésbé biztonságos hitelesítési módszerekből az Authenticatorba.

Azt is megadhatja, hogy egy felhasználó hány napot halaszthat el, vagy hogy "snooze" a lökés. Ha egy felhasználó egyelőre a Skip (Ugrás) gombra koppint az alkalmazás beállításának elhalasztásához, a rendszer ismét elmozdul a következő MFA-kísérlet során, miután a snooze időtartama lejárt. Eldöntheti, hogy a felhasználó határozatlan ideig vagy legfeljebb három alkalommal szundikálódhat-e (ezt követően regisztrációra van szükség).

Feljegyzés

A felhasználók rendszeres bejelentkezése során a biztonsági adatok regisztrációját szabályozó feltételes hozzáférési szabályzatok érvényesek, mielőtt a rendszer a felhasználót az Authenticator beállítására kéri. Ha például egy feltételes hozzáférési szabályzat biztonsági információfrissítést igényel, akkor a rendszer csak belső hálózaton kérheti a felhasználókat az Authenticator beállítására, kivéve, ha a belső hálózaton vannak.

Előfeltételek

• A szervezetnek engedélyeznie kell a Többtényezős Microsoft Entra hitelesítést. A Microsoft Entra ID minden kiadása tartalmazza a Microsoft Entra többtényezős hitelesítést. A regisztrációs kampányhoz nincs szükség más licencre.
• A felhasználók még nem állíthatták be az Authenticator alkalmazást leküldéses értesítésekhez a fiókjukban.
• Rendszergazda a felhasználóknak engedélyezniük kell az Authenticator alkalmazás felhasználóit az alábbi szabályzatok egyikével:
  • MFA regisztrációs szabályzat: A felhasználókat engedélyezni kell az értesítéshez mobilalkalmazáson keresztül.
  • Hitelesítési módszerekre vonatkozó szabályzat: A felhasználóknak engedélyezni kell az Authenticator alkalmazást, a hitelesítési módot pedig Bármely vagy Leküldés értékre kell állítani. Ha a szabályzat jelszó nélküli értékre van állítva, a felhasználó nem jogosult az elmozdításra. A hitelesítési mód beállításáról további információt a Jelszó nélküli bejelentkezés engedélyezése a Microsoft Authenticator használatával című témakörben talál.

Felhasználó felület

1. Először is sikeresen hitelesítenie kell a Microsoft Entra többtényezős hitelesítéssel (MFA).

2. Ha engedélyezte az Authenticator leküldéses értesítéseit, és még nincs beállítva, a rendszer kérni fogja, hogy állítsa be az Authenticatort a bejelentkezési élmény javítása érdekében.

   Feljegyzés

   Más biztonsági funkciók, például a jelszó nélküli hozzáférési kulcs, az önkiszolgáló jelszó-visszaállítás vagy a biztonsági alapértelmezett beállítások is kérhetik a telepítést.

   

3. Koppintson a Tovább gombra, és lépjen végig az Authenticator alkalmazás beállításán.

4. Először töltse le az alkalmazást.

   

   1. Megtudhatja, hogyan állíthatja be az Authenticator alkalmazást.

      

   2. Vizsgálja meg a QR-kódot.

      

   3. Ellenőrizze a személyazonosságát.

      

   4. Hagyja jóvá a tesztértesítést az eszközön.

      

   5. Az Authenticator alkalmazás most már sikeresen be van állítva.

      

5. Ha nem szeretné telepíteni az Authenticator alkalmazást, a Skip (Ugrás) gombra koppintva akár 14 napig is leállíthatja a kérést, amelyet egy rendszergazda állíthat be. Az ingyenes és próbaverziós előfizetéssel rendelkező felhasználók akár háromszor is kiugorhatják a kérést.

   

A regisztrációs kampány szabályzatának engedélyezése a Microsoft Entra Felügyeleti központban

Ha engedélyezni szeretne egy regisztrációs kampányt a Microsoft Entra felügyeleti központban, hajtsa végre a következő lépéseket:

1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább hitelesítési szabályzatként Rendszergazda istratorként.

2. Keresse meg a Védelmi>hitelesítési módszerek>regisztrációs kampányát, és kattintson a Szerkesztés gombra.

3. Állapot esetén:

   • Válassza az Engedélyezve lehetőséget az összes felhasználó regisztrációs kampányának engedélyezéséhez.
   • Válassza a Microsoft által felügyelt lehetőséget, hogy csak hanghívási vagy szöveges üzenetek felhasználói számára engedélyezze a regisztrációs kampányt. A Microsoft által felügyelt beállítás lehetővé teszi a Microsoft számára az alapértelmezett érték beállítását. További információ: Hitelesítési módszerek védelme a Microsoft Entra-azonosítóban.

   Ha a regisztrációs kampány állapota Engedélyezve vagy Microsoft által felügyeltre van állítva, a felhasználói élményt korlátozott számú sznúcióval konfigurálhatja a végfelhasználók számára:

   • Ha korlátozott számú sznúsz engedélyezve van, a felhasználók háromszor kihagyhatják a megszakítási kérést, amely után az Authenticator regisztrálására lesznek kényszerítve.
   • Ha a korlátozott számú sznúsz le van tiltva, a felhasználók korlátlan számú alkalommal szunózhatnak, és elkerülhetik az Authenticator regisztrálását.

   A napok száma két egymást követő megszakítási kérés közötti időszakot határozza meg. Ha például 3 napra van állítva, a regisztrációt kihagyó felhasználók csak 3 nap elteltével kapják meg újra a kérést.

   

4. Jelölje ki a regisztrációs kampányból kizárni kívánt felhasználókat vagy csoportokat, majd kattintson a Mentés gombra.

A regisztrációs kampány szabályzatának engedélyezése a Graph Explorerrel

A Microsoft Entra Felügyeleti központ használata mellett a regisztrációs kampány szabályzatát is engedélyezheti a Graph Explorerrel. A regisztrációs kampány szabályzatának engedélyezéséhez a Hitelesítési módszerek házirendet kell használnia Graph API-k használatával. A globális Rendszergazda istratorok és hitelesítési szabályzatok Rendszergazda istratorok frissíthetik a szabályzatot.

A szabályzat konfigurálása a Graph Explorerrel:

1. Jelentkezzen be a Graph Explorerbe, és győződjön meg arról, hogy hozzájárult a Policy.Read.All és a Policy.ReadWrite.AuthenticationMethod engedélyhez.

   Az Engedélyek panel megnyitása:

   

2. A hitelesítési módszerek házirendjének lekérése:

   GET https://graph.microsoft.com/v1.0/policies/authenticationmethodspolicy
   

3. Frissítse a registrationEnforcement és authenticationMethodsRegistrationCampaign szakaszt a szabályzathoz, hogy engedélyezze a felhasználó vagy csoport elmozdítását.

   

   A szabályzat frissítéséhez végezzen javítást a hitelesítési módszerek házirendjén, csak a frissített registrationEnforcement szakaszsal:

   PATCH https://graph.microsoft.com/v1.0/policies/authenticationmethodspolicy
   

Az alábbi táblázat a authenticationMethodsRegistrationCampaign tulajdonságokat sorolja fel.

Név	Lehetséges értékek	Leírás
snoozeDurationInDays	Tartomány: 0 - 14	Meghatározza, hogy hány nap van hátra, amíg a felhasználó ismét elmozdul. Ha az érték 0, a rendszer minden MFA-kísérlet során elmozdul a felhasználótól. Alapértelmezett: 1 nap
enforceRegistrationAfterAllowedSnoozes	"igaz" "hamis"	Meghatározza, hogy egy felhasználónak 3 szundi után végre kell-e hajtania a telepítést. Ha igaz, a felhasználónak regisztrálnia kell. Ha hamis, a felhasználó korlátlan ideig szunózhat. Alapértelmezett: igaz
állapot	"engedélyezve" "letiltva" "alapértelmezett"	Lehetővé teszi a funkció engedélyezését vagy letiltását. Az alapértelmezett érték akkor használatos, ha a konfiguráció nincs explicit módon beállítva, és ehhez a beállításhoz a Microsoft Entra ID alapértelmezett értékét fogja használni. Az alapértelmezett állapot minden bérlőben engedélyezve van a hanghívások és a szöveges üzenetek felhasználói számára. Szükség szerint módosítsa az állapotot engedélyezve (az összes felhasználó esetében) vagy letiltva állapotra.
excludeTargets	n/a	Lehetővé teszi, hogy kizárja a funkcióból kihagyni kívánt felhasználókat és csoportokat. Ha egy felhasználó egy kizárt és egy belefoglalt csoportban van, a felhasználó ki lesz zárva a szolgáltatásból.
includeTargets	n/a	Lehetővé teszi, hogy különböző felhasználókat és csoportokat tartalmazzon, amelyeket meg szeretne célozni.

Az alábbi táblázatlisták tartalmazzák aTargets-tulajdonságokat .

Név	Lehetséges értékek	Leírás
targetType	"felhasználó" "csoport"	A megcélzott entitás típusa.
ID (Azonosító)	Guid azonosító	A megcélzott felhasználó vagy csoport azonosítója.
targetedAuthenticationMethod	"microsoftAuthenticator"	A rendszer kérni fogja a hitelesítési módszer felhasználójának a regisztrálását. Az egyetlen megengedett érték a "microsoftAuthenticator".

Az alábbi táblázat az excludeTargets tulajdonságokat sorolja fel.

Név	Lehetséges értékek	Leírás
targetType	"felhasználó" "csoport"	A megcélzott entitás típusa.
ID (Azonosító)	Sztring	A megcélzott felhasználó vagy csoport azonosítója.

Példák

Íme néhány példa JSON-ra az első lépésekhez!

• Az összes felhasználó belefoglalása

  Ha minden felhasználót be szeretne vonni a bérlőbe, frissítse a következő JSON-példát a felhasználók és csoportok megfelelő GRAFIKUS GUID-jével. Ezután illessze be a Graph Explorerbe, és futtassa PATCH a végponton.

  {
  "registrationEnforcement": {
          "authenticationMethodsRegistrationCampaign": {
              "snoozeDurationInDays": 1,
              "enforceRegistrationAfterAllowedSnoozes": true,
              "state": "enabled",
              "excludeTargets": [],
              "includeTargets": [
                  {
                      "id": "all_users",
                      "targetType": "group",
                      "targetedAuthenticationMethod": "microsoftAuthenticator"
                  }
              ]
          }
      }
  }
  

• Adott felhasználók vagy felhasználói csoportok belefoglalása

  Ha bizonyos felhasználókat vagy csoportokat szeretne belefoglalni a bérlőbe, frissítse a következő JSON-példát a felhasználók és csoportok megfelelő GRAFIKUS GUID-jével. Ezután illessze be a JSON-t a Graph Explorerbe, és futtassa PATCH a végponton.

  {
  "registrationEnforcement": {
        "authenticationMethodsRegistrationCampaign": {
            "snoozeDurationInDays": 1,
            "enforceRegistrationAfterAllowedSnoozes": true,
            "state": "enabled",
            "excludeTargets": [],
            "includeTargets": [
                {
                    "id": "*********PLEASE ENTER GUID***********",
                    "targetType": "group",
                    "targetedAuthenticationMethod": "microsoftAuthenticator"
                },
                {
                    "id": "*********PLEASE ENTER GUID***********",
                    "targetType": "user",
                    "targetedAuthenticationMethod": "microsoftAuthenticator"
                }
            ]
        }
    }
  }  
  

• Adott felhasználók vagy csoportok belefoglalása és kizárása

  Ha bizonyos felhasználókat vagy csoportokat szeretne belefoglalni és kizárni a bérlőjéből, frissítse a következő JSON-példát a felhasználók és csoportok megfelelő FELHASZNÁLÓI FELÜLETeivel. Ezután illessze be a Graph Explorerbe, és futtassa PATCH a végponton.

  {
  "registrationEnforcement": {
          "authenticationMethodsRegistrationCampaign": {
              "snoozeDurationInDays": 1,
              "enforceRegistrationAfterAllowedSnoozes": true,
              "state": "enabled",
              "excludeTargets": [
                  {
                      "id": "*********PLEASE ENTER GUID***********",
                      "targetType": "group"
                  },
                {
                      "id": "*********PLEASE ENTER GUID***********",
                      "targetType": "user"
                  }
              ],
              "includeTargets": [
                  {
                      "id": "*********PLEASE ENTER GUID***********",
                      "targetType": "group",
                      "targetedAuthenticationMethod": "microsoftAuthenticator"
                  },
                  {
                      "id": "*********PLEASE ENTER GUID***********",
                      "targetType": "user",
                      "targetedAuthenticationMethod": "microsoftAuthenticator"
                  }
              ]
          }
      }
  }
  

A JSON-ekben beszúrandó felhasználók GRAFIKUS GUID-jainak azonosítása

1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább hitelesítési szabályzatként Rendszergazda istratorként.

2. A Kezelés panelen koppintson a Felhasználók elemre.

3. A Felhasználók lapon azonosítsa a megcélzni kívánt felhasználót.

4. Amikor az adott felhasználóra koppint, megjelenik az objektumazonosítójuk, amely a felhasználó GUID azonosítója.

   

A JSON-kbe beszúrni kívánt csoportok GUID-jainak azonosítása

1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább hitelesítési szabályzatként Rendszergazda istratorként.

2. A Kezelés panelen koppintson a Csoportok elemre.

3. A Csoportok lapon azonosítsa a megcélzni kívánt csoportot.

4. Koppintson a csoportra, és kérje le az objektumazonosítót.

   

Korlátozások

Az elmozdítás nem jelenik meg androidos vagy iOS rendszerű mobileszközökön.

Gyakori kérdések

Elérhető a regisztrációs kampány az MFA-kiszolgálóhoz?

Nem, a regisztrációs kampány csak a Microsoft Entra többtényezős hitelesítést használó felhasználók számára érhető el.

Elmozdíthatók a felhasználók egy alkalmazásban?

Igen, bizonyos alkalmazásokban támogatjuk a beágyazott böngészőnézeteket. A windowsos beállításokba ágyazott böngészőnézetek nem érintik a felhasználókat.

Elmozdíthatók a felhasználók mobileszközön?

A regisztrációs kampány mobileszközökön nem érhető el.

Mennyi ideig fut a kampány?

A kampányt addig engedélyezheti, amíg csak szeretné. Amikor le szeretné tiltani a kampányt, a felügyeleti központ vagy API-k segítségével tiltsa le a kampányt.

A felhasználók minden csoportjának eltérő a szundi időtartama?

Szám A kérés snooze időtartama bérlőszintű beállítás, és a hatókörben lévő összes csoportra vonatkozik.

Elmozdíthatja a felhasználókat a jelszó nélküli telefonos bejelentkezés beállításához?

A funkció célja, hogy lehetővé tegye a rendszergazdák számára, hogy az Authenticator alkalmazással állítsanak be felhasználókat az MFA-val, és ne jelszó nélküli telefonos bejelentkezéssel.

A harmadik féltől származó hitelesítő alkalmazással bejelentkező felhasználó látni fogja az elmozdítást?

Igen. Ha egy felhasználó engedélyezve van a regisztrációs kampányhoz, és nincs beállítva a Microsoft Authenticator leküldéses értesítésekhez, a felhasználót a rendszer elmozdíthatja az Authenticator beállításához.

A csak TOTP-kódokhoz beállított Authenticator-felhasználó látja az elmozdítást?

Igen. Ha egy felhasználó engedélyezve van a regisztrációs kampányhoz, és az Authenticator alkalmazás nincs beállítva leküldéses értesítésekhez, a felhasználó nem lesz elmozdulva, hogy leküldéses értesítéseket állítson be az Authenticator használatával.

Ha egy felhasználó éppen most ment keresztül az MFA-regisztráción, akkor ugyanabban a bejelentkezési munkamenetben van elmozdulva?

Szám A megfelelő felhasználói élmény biztosítása érdekében a rendszer nem fogja elmozdítani a felhasználókat az Authenticator beállításához ugyanabban a munkamenetben, amelyben más hitelesítési módszereket regisztráltak.

Elmozdíthatom a felhasználókat egy másik hitelesítési módszer regisztrálásához?

Szám A funkció egyelőre a felhasználók elmozdítását célozza, hogy csak az Authenticator alkalmazást állítsa be.

Van mód arra, hogy elrejtsem a snooze lehetőséget, és kényszerítsem a felhasználókat az Authenticator alkalmazás beállítására?

Állítsa be a korlátozott számú sznúzsot engedélyezve, hogy a felhasználók akár háromszor is elhalaszthassákaz alkalmazás beállítását, amely után a beállítás szükséges.

Elmozdíthatom a felhasználókat, ha nem használok Többtényezős Microsoft Entra-hitelesítést?

Szám Az elmozdítás csak azoknak a felhasználóknak működik, akik MFA-t használnak a Microsoft Entra többtényezős hitelesítési szolgáltatással.

A bérlő vendég-/B2B-felhasználói el lesznek ítélve?

Igen. Ha az elmozdítás hatóköre a szabályzat használatával lett korlátozva.

Mi történik, ha a felhasználó bezárja a böngészőt?

Ugyanaz, mint a horzsolás. Ha a felhasználónak a háromszori kiugratás után be kell állítania a beállítást, a rendszer a következő bejelentkezéskor kéri a felhasználót.

Miért nem lát néhány felhasználó elmozdítást, ha a "Biztonsági adatok regisztrálása" feltételes hozzáférési szabályzatot tartalmaz?

Nem jelenik meg elmozdítás, ha egy felhasználó olyan feltételes hozzáférési szabályzat hatókörében van, amely letiltja a Biztonsági adatok regisztrálása laphoz való hozzáférést.

A felhasználók elmozdulnak, ha a bejelentkezés során megjelenik egy használati feltételek képernyője?

Nem jelenik meg elmozdítás, ha a felhasználó a bejelentkezés során a használati feltételek (ToU) képernyőjét jeleníti meg.

A felhasználók elmozdulnak, ha a feltételes hozzáférés egyéni vezérlői alkalmazhatók a bejelentkezésre?

Nem jelenik meg elmozdítás, ha a rendszer átirányít egy felhasználót a bejelentkezés során a feltételes hozzáférés egyéni vezérlőinek beállításai miatt.

Tervezik az SMS és a Voice használatát az MFA-hoz használható módszerekként?

Nem, nincsenek ilyen tervek.

Következő lépések

Jelszó nélküli bejelentkezés engedélyezése a Microsoft Authenticatorrel