Regisztrációs kampány futtatása a Microsoft Authenticator beállításához
A felhasználókat elmozdíthatja a Microsoft Authenticator beállításához a bejelentkezés során. A felhasználók rendszeresen bejelentkeznek, a szokásos módon többtényezős hitelesítést hajtanak végre, majd a rendszer kérni fogja a Microsoft Authenticator beállítását. Felvehet vagy kizárhat felhasználókat vagy csoportokat, hogy szabályozhassa, hogy ki legyen elmozdulva az alkalmazás beállításához. Ez lehetővé teszi, hogy a célzott kampányok áthelyezik a felhasználókat a kevésbé biztonságos hitelesítési módszerekből az Authenticatorba.
Azt is megadhatja, hogy egy felhasználó hány napot halaszthat el, vagy hogy "snooze" a lökés. Ha egy felhasználó egyelőre a Skip (Ugrás) gombra koppint az alkalmazás beállításának elhalasztásához, a rendszer ismét elmozdul a következő MFA-kísérlet során, miután a snooze időtartama lejárt. Eldöntheti, hogy a felhasználó határozatlan ideig vagy legfeljebb három alkalommal szundikálódhat-e (ezt követően regisztrációra van szükség).
Feljegyzés
A felhasználók rendszeres bejelentkezése során a biztonsági adatok regisztrációját szabályozó feltételes hozzáférési szabályzatok érvényesek, mielőtt a rendszer a felhasználót az Authenticator beállítására kéri. Ha például egy feltételes hozzáférési szabályzat biztonsági információfrissítést igényel, akkor a rendszer csak belső hálózaton kérheti a felhasználókat az Authenticator beállítására, kivéve, ha a belső hálózaton vannak.
Előfeltételek
- A szervezetnek engedélyeznie kell a Többtényezős Microsoft Entra hitelesítést. A Microsoft Entra ID minden kiadása tartalmazza a Microsoft Entra többtényezős hitelesítést. A regisztrációs kampányhoz nincs szükség más licencre.
- A felhasználók még nem állíthatták be az Authenticator alkalmazást leküldéses értesítésekhez a fiókjukban.
- A rendszergazdáknak engedélyezniük kell a felhasználókat az Authenticator alkalmazáshoz az alábbi szabályzatok egyikével:
- MFA regisztrációs szabályzat: A felhasználókat engedélyezni kell az értesítéshez mobilalkalmazáson keresztül.
- Hitelesítési módszerekre vonatkozó szabályzat: A felhasználóknak engedélyezni kell az Authenticator alkalmazást, a hitelesítési módot pedig Bármely vagy Leküldés értékre kell állítani. Ha a szabályzat jelszó nélküli értékre van állítva, a felhasználó nem jogosult az elmozdításra. A hitelesítési mód beállításáról további információt a Jelszó nélküli bejelentkezés engedélyezése a Microsoft Authenticator használatával című témakörben talál.
Felhasználó felület
Először is sikeresen hitelesítenie kell a Microsoft Entra többtényezős hitelesítéssel (MFA).
Ha engedélyezte az Authenticator leküldéses értesítéseit, és még nincs beállítva, a rendszer kérni fogja, hogy állítsa be az Authenticatort a bejelentkezési élmény javítása érdekében.
Feljegyzés
Más biztonsági funkciók, például a jelszó nélküli hozzáférési kulcs, az önkiszolgáló jelszó-visszaállítás vagy a biztonsági alapértelmezett beállítások is kérhetik a telepítést.
Koppintson a Tovább gombra, és lépjen végig az Authenticator alkalmazás beállításán.
Először töltse le az alkalmazást.
Megtudhatja, hogyan állíthatja be az Authenticator alkalmazást.
Vizsgálja meg a QR-kódot.
Ellenőrizze a személyazonosságát.
Hagyja jóvá a tesztértesítést az eszközön.
Az Authenticator alkalmazás most már sikeresen be van állítva.
Ha nem szeretné telepíteni az Authenticator alkalmazást, a Skip (Ugrás) gombra koppintva akár 14 napig is leállíthatja a kérést, amelyet egy rendszergazda állíthat be. Az ingyenes és próbaverziós előfizetéssel rendelkező felhasználók akár háromszor is kiugorhatják a kérést.
A regisztrációs kampány szabályzatának engedélyezése a Microsoft Entra Felügyeleti központban
Ha engedélyezni szeretne egy regisztrációs kampányt a Microsoft Entra felügyeleti központban, hajtsa végre a következő lépéseket:
Jelentkezzen be a Microsoft Entra felügyeleti központba legalább hitelesítési házirend-rendszergazdaként.
Keresse meg a Védelmi>hitelesítési módszerek>regisztrációs kampányát, és kattintson a Szerkesztés gombra.
Állapot esetén:
- Válassza az Engedélyezve lehetőséget az összes felhasználó regisztrációs kampányának engedélyezéséhez.
- Válassza a Microsoft által felügyelt lehetőséget, hogy csak hanghívási vagy szöveges üzenetek felhasználói számára engedélyezze a regisztrációs kampányt. A Microsoft által felügyelt beállítás lehetővé teszi a Microsoft számára az alapértelmezett érték beállítását. További információ: Hitelesítési módszerek védelme a Microsoft Entra-azonosítóban.
Ha a regisztrációs kampány állapota Engedélyezve vagy Microsoft által felügyeltre van állítva, a felhasználói élményt korlátozott számú sznúcióval konfigurálhatja a végfelhasználók számára:
- Ha korlátozott számú sznúsz engedélyezve van, a felhasználók háromszor kihagyhatják a megszakítási kérést, amely után az Authenticator regisztrálására lesznek kényszerítve.
- Ha a korlátozott számú sznúsz le van tiltva, a felhasználók korlátlan számú alkalommal szunózhatnak, és elkerülhetik az Authenticator regisztrálását.
A napok száma két egymást követő megszakítási kérés közötti időszakot határozza meg. Ha például 3 napra van állítva, a regisztrációt kihagyó felhasználók csak 3 nap elteltével kapják meg újra a kérést.
Jelölje ki a regisztrációs kampányból kizárni kívánt felhasználókat vagy csoportokat, majd kattintson a Mentés gombra.
A regisztrációs kampány szabályzatának engedélyezése a Graph Explorerrel
A Microsoft Entra Felügyeleti központ használata mellett a regisztrációs kampány szabályzatát is engedélyezheti a Graph Explorerrel. A regisztrációs kampány szabályzatának engedélyezéséhez a Hitelesítési módszerek házirendet kell használnia Graph API-k használatával. Azok, akik legalább a hitelesítési házirend-rendszergazdai szerepkörhöz vannak rendelve, frissíthetik a szabályzatot.
A szabályzat konfigurálása a Graph Explorerrel:
Jelentkezzen be a Graph Explorerbe, és győződjön meg arról, hogy hozzájárult a Policy.Read.All és a Policy.ReadWrite.AuthenticationMethod engedélyhez.
Az Engedélyek panel megnyitása:
A hitelesítési módszerek házirendjének lekérése:
GET https://graph.microsoft.com/v1.0/policies/authenticationmethodspolicy
Frissítse a registrationEnforcement és authenticationMethodsRegistrationCampaign szakaszt a szabályzathoz, hogy engedélyezze a felhasználó vagy csoport elmozdítását.
A szabályzat frissítéséhez végezzen javítást a hitelesítési módszerek házirendjén, csak a frissített registrationEnforcement szakaszsal:
PATCH https://graph.microsoft.com/v1.0/policies/authenticationmethodspolicy
Az alábbi táblázat a authenticationMethodsRegistrationCampaign tulajdonságokat sorolja fel.
Név | Lehetséges értékek | Leírás |
---|---|---|
snoozeDurationInDays | Tartomány: 0 - 14 | Meghatározza, hogy hány nap van hátra, amíg a felhasználó ismét elmozdul. Ha az érték 0, a rendszer minden MFA-kísérlet során elmozdul a felhasználótól. Alapértelmezett: 1 nap |
enforceRegistrationAfterAllowedSnoozes | "igaz" "hamis" |
Meghatározza, hogy egy felhasználónak 3 szundi után végre kell-e hajtania a telepítést. Ha igaz, a felhasználónak regisztrálnia kell. Ha hamis, a felhasználó korlátlan ideig szunózhat. Alapértelmezett: igaz |
állapot | "engedélyezve" "letiltva" "alapértelmezett" |
Lehetővé teszi a funkció engedélyezését vagy letiltását. Az alapértelmezett érték akkor használatos, ha a konfiguráció nincs explicit módon beállítva, és ehhez a beállításhoz a Microsoft Entra ID alapértelmezett értékét fogja használni. Az alapértelmezett állapot minden bérlőben engedélyezve van a hanghívások és a szöveges üzenetek felhasználói számára. Szükség szerint módosítsa az állapotot engedélyezve (az összes felhasználó esetében) vagy letiltva állapotra. |
excludeTargets | n/a | Lehetővé teszi, hogy kizárja a funkcióból kihagyni kívánt felhasználókat és csoportokat. Ha egy felhasználó egy kizárt és egy belefoglalt csoportban van, a felhasználó ki lesz zárva a szolgáltatásból. |
includeTargets | n/a | Lehetővé teszi, hogy különböző felhasználókat és csoportokat tartalmazzon, amelyeket meg szeretne célozni. |
Az alábbi táblázatlisták tartalmazzák aTargets-tulajdonságokat .
Név | Lehetséges értékek | Leírás |
---|---|---|
targetType | "felhasználó" "csoport" |
A megcélzott entitás típusa. |
ID (Azonosító) | Guid azonosító | A megcélzott felhasználó vagy csoport azonosítója. |
targetedAuthenticationMethod | "microsoftAuthenticator" | A rendszer kérni fogja a hitelesítési módszer felhasználójának a regisztrálását. Az egyetlen megengedett érték a "microsoftAuthenticator". |
Az alábbi táblázat az excludeTargets tulajdonságokat sorolja fel.
Név | Lehetséges értékek | Leírás |
---|---|---|
targetType | "felhasználó" "csoport" |
A megcélzott entitás típusa. |
ID (Azonosító) | Sztring | A megcélzott felhasználó vagy csoport azonosítója. |
Példák
Íme néhány példa JSON-ra az első lépésekhez!
Az összes felhasználó belefoglalása
Ha minden felhasználót be szeretne vonni a bérlőbe, frissítse a következő JSON-példát a felhasználók és csoportok megfelelő GRAFIKUS GUID-jével. Ezután illessze be a Graph Explorerbe, és futtassa
PATCH
a végponton.{ "registrationEnforcement": { "authenticationMethodsRegistrationCampaign": { "snoozeDurationInDays": 1, "enforceRegistrationAfterAllowedSnoozes": true, "state": "enabled", "excludeTargets": [], "includeTargets": [ { "id": "all_users", "targetType": "group", "targetedAuthenticationMethod": "microsoftAuthenticator" } ] } } }
Adott felhasználók vagy felhasználói csoportok belefoglalása
Ha bizonyos felhasználókat vagy csoportokat szeretne belefoglalni a bérlőbe, frissítse a következő JSON-példát a felhasználók és csoportok megfelelő GRAFIKUS GUID-jével. Ezután illessze be a JSON-t a Graph Explorerbe, és futtassa
PATCH
a végponton.{ "registrationEnforcement": { "authenticationMethodsRegistrationCampaign": { "snoozeDurationInDays": 1, "enforceRegistrationAfterAllowedSnoozes": true, "state": "enabled", "excludeTargets": [], "includeTargets": [ { "id": "*********PLEASE ENTER GUID***********", "targetType": "group", "targetedAuthenticationMethod": "microsoftAuthenticator" }, { "id": "*********PLEASE ENTER GUID***********", "targetType": "user", "targetedAuthenticationMethod": "microsoftAuthenticator" } ] } } }
Adott felhasználók vagy csoportok belefoglalása és kizárása
Ha bizonyos felhasználókat vagy csoportokat szeretne belefoglalni és kizárni a bérlőjéből, frissítse a következő JSON-példát a felhasználók és csoportok megfelelő FELHASZNÁLÓI FELÜLETeivel. Ezután illessze be a Graph Explorerbe, és futtassa
PATCH
a végponton.{ "registrationEnforcement": { "authenticationMethodsRegistrationCampaign": { "snoozeDurationInDays": 1, "enforceRegistrationAfterAllowedSnoozes": true, "state": "enabled", "excludeTargets": [ { "id": "*********PLEASE ENTER GUID***********", "targetType": "group" }, { "id": "*********PLEASE ENTER GUID***********", "targetType": "user" } ], "includeTargets": [ { "id": "*********PLEASE ENTER GUID***********", "targetType": "group", "targetedAuthenticationMethod": "microsoftAuthenticator" }, { "id": "*********PLEASE ENTER GUID***********", "targetType": "user", "targetedAuthenticationMethod": "microsoftAuthenticator" } ] } } }
A JSON-ekben beszúrandó felhasználók GRAFIKUS GUID-jainak azonosítása
Jelentkezzen be a Microsoft Entra felügyeleti központba legalább hitelesítési házirend-rendszergazdaként.
A Kezelés panelen koppintson a Felhasználók elemre.
A Felhasználók lapon azonosítsa a megcélzni kívánt felhasználót.
Amikor az adott felhasználóra koppint, megjelenik az objektumazonosítójuk, amely a felhasználó GUID azonosítója.
A JSON-kbe beszúrni kívánt csoportok GUID-jainak azonosítása
Jelentkezzen be a Microsoft Entra felügyeleti központba legalább hitelesítési házirend-rendszergazdaként.
A Kezelés panelen koppintson a Csoportok elemre.
A Csoportok lapon azonosítsa a megcélzni kívánt csoportot.
Koppintson a csoportra, és kérje le az objektumazonosítót.
Korlátozások
Az elmozdítás nem jelenik meg androidos vagy iOS rendszerű mobileszközökön.
Gyakori kérdések
Elérhető a regisztrációs kampány az MFA-kiszolgálóhoz?
Nem, a regisztrációs kampány csak a Microsoft Entra többtényezős hitelesítést használó felhasználók számára érhető el.
Elmozdíthatók a felhasználók egy alkalmazásban?
Igen, bizonyos alkalmazásokban támogatjuk a beágyazott böngészőnézeteket. A windowsos beállításokba ágyazott böngészőnézetek nem érintik a felhasználókat.
Elmozdíthatók a felhasználók mobileszközön?
A regisztrációs kampány mobileszközökön nem érhető el.
Mennyi ideig fut a kampány?
A kampányt addig engedélyezheti, amíg csak szeretné. Amikor le szeretné tiltani a kampányt, a felügyeleti központ vagy API-k segítségével tiltsa le a kampányt.
A felhasználók minden csoportjának eltérő a szundi időtartama?
Szám A kérés snooze időtartama bérlőszintű beállítás, és a hatókörben lévő összes csoportra vonatkozik.
Elmozdíthatja a felhasználókat a jelszó nélküli telefonos bejelentkezés beállításához?
A funkció célja, hogy lehetővé tegye a rendszergazdák számára, hogy az Authenticator alkalmazással állítsanak be felhasználókat az MFA-val, és ne jelszó nélküli telefonos bejelentkezéssel.
A harmadik féltől származó hitelesítő alkalmazással bejelentkező felhasználó látni fogja az elmozdítást?
Igen. Ha egy felhasználó engedélyezve van a regisztrációs kampányhoz, és nincs beállítva a Microsoft Authenticator leküldéses értesítésekhez, a felhasználót a rendszer elmozdíthatja az Authenticator beállításához.
A csak TOTP-kódokhoz beállított Authenticator-felhasználó látja az elmozdítást?
Igen. Ha egy felhasználó engedélyezve van a regisztrációs kampányhoz, és az Authenticator alkalmazás nincs beállítva leküldéses értesítésekhez, a felhasználó nem lesz elmozdulva, hogy leküldéses értesítéseket állítson be az Authenticator használatával.
Ha egy felhasználó éppen most ment keresztül az MFA-regisztráción, akkor ugyanabban a bejelentkezési munkamenetben van elmozdulva?
Szám A megfelelő felhasználói élmény biztosítása érdekében a rendszer nem fogja elmozdítani a felhasználókat az Authenticator beállításához ugyanabban a munkamenetben, amelyben más hitelesítési módszereket regisztráltak.
Elmozdíthatom a felhasználókat egy másik hitelesítési módszer regisztrálásához?
Szám A funkció egyelőre a felhasználók elmozdítását célozza, hogy csak az Authenticator alkalmazást állítsa be.
Van mód arra, hogy elrejtsem a snooze lehetőséget, és kényszerítsem a felhasználókat az Authenticator alkalmazás beállítására?
Állítsa be a korlátozott számú sznúzsot engedélyezve, hogy a felhasználók akár háromszor is elhalaszthassákaz alkalmazás beállítását, amely után a beállítás szükséges.
Elmozdíthatom a felhasználókat, ha nem használok Többtényezős Microsoft Entra-hitelesítést?
Szám Az elmozdítás csak azoknak a felhasználóknak működik, akik MFA-t használnak a Microsoft Entra többtényezős hitelesítési szolgáltatással.
A bérlő vendég-/B2B-felhasználói el lesznek ítélve?
Igen. Ha az elmozdítás hatóköre a szabályzat használatával lett korlátozva.
Mi történik, ha a felhasználó bezárja a böngészőt?
Ugyanaz, mint a horzsolás. Ha a felhasználónak a háromszori kiugratás után be kell állítania a beállítást, a rendszer a következő bejelentkezéskor kéri a felhasználót.
Miért nem lát néhány felhasználó elmozdítást, ha a "Biztonsági adatok regisztrálása" feltételes hozzáférési szabályzatot tartalmaz?
Nem jelenik meg elmozdítás, ha egy felhasználó olyan feltételes hozzáférési szabályzat hatókörében van, amely letiltja a Biztonsági adatok regisztrálása laphoz való hozzáférést.
A felhasználók elmozdulnak, ha a bejelentkezés során megjelenik egy használati feltételek képernyője?
Nem jelenik meg elmozdítás, ha a felhasználó a bejelentkezés során a használati feltételek (ToU) képernyőjét jeleníti meg.
A felhasználók elmozdulnak, ha a feltételes hozzáférés egyéni vezérlői alkalmazhatók a bejelentkezésre?
Nem jelenik meg elmozdítás, ha a rendszer átirányít egy felhasználót a bejelentkezés során a feltételes hozzáférés egyéni vezérlőinek beállításai miatt.
Tervezik az SMS és a Voice használatát az MFA-hoz használható módszerekként?
Nem, nincsenek ilyen tervek.
Következő lépések
Jelszó nélküli bejelentkezés engedélyezése a Microsoft Authenticatorrel