Jelszó nélküli bejelentkezés engedélyezése a Microsoft Authenticatorrel
A Microsoft Authenticator használatával jelszó nélkül is bejelentkezhet bármely Microsoft Entra-fiókba. A Microsoft Authenticator kulcsalapú hitelesítéssel engedélyezi az eszközhöz kötött felhasználói hitelesítő adatokat, ahol az eszköz PIN-kódot vagy biometrikus azonosítót használ. Vállalati Windows Hello hasonló technológiát használ.
Ez a hitelesítési technológia bármilyen eszközplatformon használható, beleértve a mobileszközöket is. Ez a technológia bármely olyan alkalmazással vagy webhelytel is használható, amely integrálható a Microsoft Authentication Libraries szolgáltatással.
Kapcsolatok, aki engedélyezte a telefonos bejelentkezést a Microsoft Authenticatorból, megjelenik egy üzenet, amely arra kéri őket, hogy koppintson egy számra az alkalmazásban. A rendszer nem kér felhasználónevet vagy jelszót. Az alkalmazás bejelentkezési folyamatának befejezéséhez a felhasználónak a következő műveleteket kell végrehajtania:
- Adja meg a bejelentkezési képernyőn látható számot a Microsoft Authenticator párbeszédpanelen.
- Válassza a Jóváhagyás lehetőséget.
- Adja meg PIN-kódját vagy biometrikus azonosítóját.
Több fiók
Bármilyen támogatott Android- vagy iOS-eszközön engedélyezheti a jelszó nélküli telefonos bejelentkezést több fiókhoz a Microsoft Authenticatorban. A Microsoft Entra ID-ban több fiókkal rendelkező tanácsadók, diákok és mások hozzáadhatnak minden fiókot a Microsoft Authenticatorhoz, és jelszó nélküli telefonos bejelentkezést használhatnak mindannyiuk számára ugyanabból az eszközről.
Korábban előfordulhat, hogy a rendszergazdák nem igényelnek jelszó nélküli bejelentkezést a több fiókkal rendelkező felhasználók számára, mert több eszközt kell használniuk a bejelentkezéshez. Ha eltávolítja egy felhasználó bejelentkezésének korlátozását egy eszközről, a rendszergazdák magabiztosabban ösztönözhetik a felhasználókat, hogy regisztrálják a jelszó nélküli telefonos bejelentkezést, és az alapértelmezett bejelentkezési módszerként használják.
A Microsoft Entra-fiókok lehetnek ugyanabban a bérlőben vagy különböző bérlőkben. A vendégfiókok nem támogatottak több fiók bejelentkezéséhez egyetlen eszközről.
Előfeltételek
Ha jelszó nélküli telefonos bejelentkezést szeretne használni a Microsoft Authenticator használatával, a következő előfeltételeknek kell teljesülniük:
- Ajánlott: Microsoft Entra többtényezős hitelesítés, leküldéses értesítések engedélyezése ellenőrzési módszerként. Az okostelefonra vagy táblagépre irányuló leküldéses értesítések segítenek az Authenticator alkalmazásnak a fiókokhoz való jogosulatlan hozzáférés megakadályozásában és a csalásos tranzakciók leállításában. Az Authenticator alkalmazás automatikusan generál kódokat, amikor beállítja a leküldéses értesítéseket. A felhasználó akkor is rendelkezik biztonsági mentési bejelentkezési módszerrel, ha az eszköz nem rendelkezik kapcsolattal.
- A Microsoft Authenticator legújabb verziója iOS vagy Android rendszerű eszközökön van telepítve.
- Az eszközt minden olyan bérlőnél regisztrálni kell, ahol a bejelentkezéshez használják. Az alábbi eszközt például regisztrálni kell a Contoso és a Wingtiptoys szolgáltatásban, hogy az összes fiók bejelentkezhesse:
- balas@contoso.com
- balas@wingtiptoys.com és bsandhu@wingtiptoys
Ha jelszó nélküli hitelesítést szeretne használni a Microsoft Entra-azonosítóban, először engedélyezze a kombinált regisztrációs felületet, majd engedélyezze a felhasználók számára a jelszó nélküli módszert.
Jelszó nélküli telefonos bejelentkezési hitelesítési módszerek engedélyezése
Tipp.
A cikkben szereplő lépések a portáltól függően kissé eltérhetnek.
A Microsoft Entra ID segítségével kiválaszthatja, hogy a bejelentkezési folyamat során mely hitelesítési módszerek használhatók. A felhasználók ezután regisztrálhatnak a használni kívánt módszerre. A Microsoft Authenticator hitelesítési módszer szabályzata a hagyományos leküldéses MFA-metódust és a jelszó nélküli hitelesítési módszert is kezeli.
Feljegyzés
Ha engedélyezte a Microsoft Authenticator jelszó nélküli bejelentkezését a PowerShell használatával, az engedélyezve lett a teljes címtárban. Ha engedélyezi az új módszer használatát, az felülírja a PowerShell-szabályzatot. Javasoljuk, hogy a bérlő összes felhasználója számára engedélyezze az új Hitelesítési módszerek menüt, ellenkező esetben az új házirendben nem szereplő felhasználók nem tudnak jelszó nélkül bejelentkezni.
A jelszó nélküli telefonos bejelentkezés hitelesítési módszerének engedélyezéséhez hajtsa végre a következő lépéseket:
Jelentkezzen be a Microsoft Entra felügyeleti központba legalább hitelesítési szabályzatként Rendszergazda istratorként.
Keresse meg a védelmi>hitelesítési módszerek szabályzatát.>
A Microsoft Authenticator területen válassza a következő beállításokat:
- Engedélyezés – Igen vagy Nem
- Cél – Minden felhasználó vagy felhasználó kiválasztása
Minden hozzáadott csoport vagy felhasználó alapértelmezés szerint engedélyezi a Microsoft Authenticator használatát jelszó nélküli és leküldéses értesítési módban ("Bármely" módban). A mód módosításához a hitelesítési mód minden sorához válassza az Any vagy a Passwordless (Bármely) lehetőséget. A Leküldés beállítás megakadályozza a jelszó nélküli telefonos bejelentkezési hitelesítő adatok használatát.
Az új szabályzat alkalmazásához kattintson a Mentés gombra.
Feljegyzés
Ha a mentés során hibaüzenet jelenik meg, az ok oka a hozzáadott felhasználók vagy csoportok száma lehet. Áthidaló megoldásként cserélje le a hozzáadni kívánt felhasználókat és csoportokat egyetlen csoportra ugyanabban a műveletben, majd válassza ismét a Mentés lehetőséget.
Felhasználói regisztráció
A felhasználók regisztrálják magukat a Microsoft Entra ID jelszó nélküli hitelesítési módszerére. Azon felhasználók számára, akik már regisztrálták a Microsoft Authenticator alkalmazást többtényezős hitelesítésre, ugorjon a következő szakaszra, és engedélyezze a telefonos bejelentkezést.
Közvetlen telefonos bejelentkezés regisztrációja
A felhasználók közvetlenül a Microsoft Authenticator alkalmazáson belül regisztrálhatnak jelszó nélküli telefonos bejelentkezésre anélkül, hogy először regisztrálniuk kellene a Microsoft Authenticatort a fiókjukkal, miközben soha nem kérnek jelszót. Ennek módja az alábbi:
- Szerezze be az ideiglenes hozzáférési bérletet a Rendszergazda vagy a szervezettől.
- Töltse le és telepítse a Microsoft Authenticator alkalmazást a mobileszközére.
- Nyissa meg a Microsoft Authenticatort, és kattintson a Fiók hozzáadása elemre, majd válassza a Munkahelyi vagy iskolai fiók lehetőséget.
- Válassza a Bejelentkezés lehetőséget.
- Az utasításokat követve jelentkezzen be a fiókjával a Rendszergazda vagy szervezet által biztosított ideiglenes hozzáférési bérlettel.
- Bejelentkezés után folytassa a telefonos bejelentkezés beállításához szükséges további lépéseket.
Irányított regisztráció saját bejelentkezésekkel
Feljegyzés
A felhasználók csak kombinált regisztrációval regisztrálhatják a Microsoft Authenticatort, ha a Microsoft Authenticator hitelesítési módja bármely vagy leküldéses.
A Microsoft Authenticator alkalmazás regisztrálásához kövesse az alábbi lépéseket:
- Nyissa meg a következő címet: https://aka.ms/mysecurityinfo.
- Jelentkezzen be, majd válassza a >Metódushitelesítő alkalmazás>hozzáadása lehetőséget a Microsoft Authenticator hozzáadásához.
- Kövesse az utasításokat a Microsoft Authenticator alkalmazás telepítéséhez és konfigurálásához az eszközön.
- Válassza a Kész lehetőséget a Microsoft Authenticator konfigurációjának befejezéséhez.
Telefonos bejelentkezés engedélyezése
Miután a felhasználók regisztrálták magukat a Microsoft Authenticator alkalmazásba, engedélyezniük kell a telefonos bejelentkezést:
- A Microsoft Authenticatorban válassza ki a regisztrált fiókot.
- Válassza a Telefonos bejelentkezés engedélyezése lehetőséget.
- Kövesse az alkalmazás utasításait a jelszó nélküli telefonos bejelentkezés fiók regisztrációjának befejezéséhez.
A szervezet jelszó használata nélkül utasíthatja a felhasználókat, hogy jelentkezzenek be a telefonjukkal. A Microsoft Authenticator konfigurálásával és a telefonos bejelentkezés engedélyezésével kapcsolatos további segítségért lásd : Bejelentkezés a fiókokba a Microsoft Authenticator alkalmazással.
Feljegyzés
Azok a felhasználók, akiknek a szabályzata nem engedélyezi a telefonos bejelentkezés használatát, többé nem tudják engedélyezni azt a Microsoft Authenticatorban.
Bejelentkezés jelszó nélküli hitelesítő adatokkal
A felhasználók az alábbi műveletek elvégzése után elkezdhetik használni a jelszó nélküli bejelentkezést:
- A rendszergazda engedélyezte a felhasználó bérlőjét.
- A felhasználó bejelentkezési módszerként hozzáadta a Microsoft Authenticatort.
Amikor egy felhasználó először indítja el a telefonos bejelentkezési folyamatot, a felhasználó végrehajtja a következő lépéseket:
- A bejelentkezési oldalon adja meg a nevüket.
- A Tovább gombot választja.
- Ha szükséges, válassza a Bejelentkezés egyéb módjai lehetőséget.
- A Kérelem jóváhagyása az Authenticator alkalmazáson jelölőnégyzetet választja.
A felhasználó ekkor megjelenik egy számmal. Az alkalmazás a jelszó megadása helyett a megfelelő szám beírásával kéri a felhasználót a hitelesítésre.
Miután a felhasználó jelszó nélküli telefonos bejelentkezést használt, az alkalmazás továbbra is végigvezeti a felhasználót ezen a módszeren. A felhasználó azonban látni fogja a másik metódus kiválasztásának lehetőségét.
Ideiglenes hozzáférési engedély
Ha a bérlői rendszergazda engedélyezte az önkiszolgáló jelszóátállítást (SSPR), és egy felhasználó először állít be jelszó nélküli bejelentkezést az Authenticator alkalmazással ideiglenes hozzáférési jelszó használatával, a következő lépéseket kell követnie:
- A felhasználónak meg kell nyitnia egy böngészőt egy mobileszközön vagy asztali gépen, és meg kell nyitnia a mySecurity információs oldalát.
- A felhasználónak regisztrálnia kell az Authenticator alkalmazást bejelentkezési módszerként. Ez a művelet összekapcsolja a felhasználó fiókját az alkalmazással.
- A felhasználónak ezután vissza kell térnie a mobileszközére, és aktiválnia kell a jelszó nélküli bejelentkezést az Authenticator alkalmazáson keresztül.
Menedzsment
A Hitelesítési módszerek házirendje a Microsoft Authenticator kezelésének ajánlott módja. A hitelesítési házirend Rendszergazda istratorok szerkeszthetik ezt a házirendet a Microsoft Authenticator engedélyezéséhez vagy letiltásához. Rendszergazda bizonyos felhasználókat és csoportokat tartalmazhatnak vagy zárhatnak ki a használatukból.
Rendszergazda paramétereket is konfigurálhat, hogy jobban szabályozhassa a Microsoft Authenticator használatát. Hozzáadhatnak például helyet vagy alkalmazásnevet a bejelentkezési kérelemhez, hogy a felhasználók nagyobb kontextusban legyenek a jóváhagyásuk előtt.
A globális Rendszergazda istratorok bérlőszintű alapon is kezelhetik a Microsoft Authenticatort régi MFA- és SSPR-szabályzatok használatával. Ezek a szabályzatok lehetővé teszik, hogy a Microsoft Authenticator engedélyezve legyen vagy le legyen tiltva a bérlő összes felhasználója számára. Nincs lehetőség arra, hogy bárkit belefoglaljon vagy kizárjon, vagy szabályozhatja, hogy a Microsoft Authenticator hogyan használható a bejelentkezéshez.
Ismert problémák
Az alábbi ismert problémák léteznek.
Nem látja a jelszó nélküli telefonos bejelentkezés lehetőségét
Egy esetben a felhasználó egy megválaszolatlan, jelszó nélküli telefonos bejelentkezési ellenőrzéssel rendelkezhet, amely függőben van. Ha a felhasználó újra megpróbál bejelentkezni, előfordulhat, hogy csak a jelszó megadásának lehetőségét látja.
A forgatókönyv megoldásához kövesse az alábbi lépéseket:
- Nyissa meg a Microsoft Authenticatort.
- Válaszoljon az értesítési kérésekre.
Ezután a felhasználó továbbra is használhatja a jelszó nélküli telefonos bejelentkezést.
Az AuthenticatorAppSignInPolicy nem támogatott
Az AuthenticatorAppSignInPolicy egy örökölt szabályzat, amelyet a Microsoft Authenticator nem támogat. Annak érdekében, hogy a felhasználók leküldéses értesítéseket vagy jelszó nélküli telefonos bejelentkezést engedélyezzenek az Authenticator alkalmazással, használja a Hitelesítési módszerek házirendet.
Összevont fiókok
Ha egy felhasználó engedélyezte a jelszó nélküli hitelesítő adatokat, a Microsoft Entra bejelentkezési folyamata leáll a login_hint használatával. Ezért a folyamat már nem gyorsítja fel a felhasználót egy összevont bejelentkezési hely felé.
Ez a logika általában megakadályozza, hogy egy hibrid bérlő felhasználója az Active Directory összevont szolgáltatásokhoz (AD FS) legyen irányítva a bejelentkezés ellenőrzéséhez. A felhasználó azonban továbbra is a Jelszó használata gombra kattint.
Helyszíni felhasználók
A végfelhasználók helyszíni identitásszolgáltatón keresztül engedélyezhetik a többtényezős hitelesítést. A felhasználó továbbra is létrehozhat és használhat egyetlen jelszó nélküli telefonos bejelentkezési hitelesítő adatot.
Ha a felhasználó a jelszó nélküli telefonos bejelentkezési hitelesítő adatokkal megkísérli frissíteni a Microsoft Authenticator több telepítését (5+) is, ez a módosítás hibát okozhat.
Következő lépések
A Microsoft Entra-hitelesítésről és a jelszó nélküli módszerekről az alábbi cikkekben olvashat:
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: