Gyakran ismételt kérdések a Microsoft Entra többfaktoros hitelesítéssel kapcsolatban

A Multi-Factor Authentication-kiszolgálóval a felhasználói adatok csak a helyszíni kiszolgálókon tárolódnak. A felhőben nincsenek állandó felhasználói adatok. Amikor a felhasználó kétlépéses ellenőrzést végez, a Multi-Factor Authentication-kiszolgáló adatokat küld a Microsoft Entra többtényezős hitelesítési felhőszolgáltatásnak hitelesítés céljából. A Multi-Factor Authentication-kiszolgáló és a többtényezős hitelesítési felhőszolgáltatás közötti kommunikáció a Secure Sockets Layer (SSL) vagy a Transport Layer Security (TLS) protokollt használja a kimenő 443-es porton keresztül.

Amikor hitelesítési kéréseket küldenek a felhőszolgáltatásnak, a rendszer adatokat gyűjt a hitelesítési és használati jelentésekhez. A kétlépéses ellenőrzési naplók a következő adatmezőket tartalmazzák:

• Egyedi azonosító (felhasználónév vagy helyszíni többtényezős hitelesítés kiszolgálóazonosítója)
• Utónév és vezetéknév (nem kötelező)
• E-mail-cím (nem kötelező)
• Telefonszám (hanghívás vagy szöveges üzenet hitelesítése esetén)
• Eszközjogkivonat (mobilalkalmazás-hitelesítés használatakor)
• Hitelesítési mód
• Hitelesítési eredmény
• Többtényezős hitelesítési kiszolgáló neve
• Többtényezős hitelesítési kiszolgáló IP-címe
• Ügyfél IP-címe (ha van)

Az opcionális mezők konfigurálhatók a Multi-Factor Authentication-kiszolgálón.

Az ellenőrzési eredmény (sikeres vagy megtagadás) és annak elutasításának oka a hitelesítési adatokkal együtt van tárolva. Ezek az adatok a hitelesítési és használati jelentésekben érhetők el.

További információ: Adattárolás és ügyféladatok a Microsoft Entra többtényezős hitelesítéséhez.

A Egyesült Államok a következő rövid kódokat használjuk:

• 97671
• 69829
• 51789
• 99399

Kanadában a következő rövid kódokat használjuk:

• 759731
• 673801

Nincs garancia arra, hogy egységes szöveges üzeneteket vagy hangalapú többtényezős hitelesítést kér ugyanazzal a számmal. Felhasználóink érdekében bármikor hozzáadhatunk vagy eltávolíthatunk rövid kódokat, miközben útvonal-módosításokat hajtunk végre a szöveges üzenetek kézbesítésének javítása érdekében.

A Egyesült Államok és Kanada mellett nem támogatjuk a rövid kódokat az országokra vagy régiókra vonatkozóan.

Igen, bizonyos esetekben, amelyek általában rövid idő alatt ismétlődő hitelesítési kéréseket is magukban foglalnak, a Microsoft Entra többtényezős hitelesítése csökkenti a felhasználók bejelentkezési kísérleteit a távközlési hálózatok védelmére, az MFA fáradtság típusú támadásainak mérséklésére és saját rendszerei védelmére az összes ügyfél számára.

Bár nem osztunk meg konkrét szabályozási korlátokat, ezek ésszerű használaton alapulnak.

Nem, a Microsoft Entra többtényezős hitelesítésen keresztül a felhasználóknak küldött egyes telefonhívásokért vagy sms-ekért nem kell fizetnie. Ha hitelesítésenkénti MFA-szolgáltatót használ, az egyes hitelesítésekért fizetnie kell, de a használt módszerért nem.

Előfordulhat, hogy a felhasználók a személyes telefonszolgáltatásuknak megfelelően díjat számítanak fel a fogadott telefonhívásokért vagy sms-ekért.

A számlázás a többtényezős hitelesítés használatára konfigurált felhasználók számán alapul, függetlenül attól, hogy kétlépéses ellenőrzést végeztek-e abban a hónapban.

Felhasználónkénti vagy hitelesítésenkénti MFA-szolgáltató létrehozásakor a szervezet Azure-előfizetésének számlázása havonta történik a használat alapján. Ez a számlázási modell hasonló ahhoz, ahogyan az Azure számláz a virtuális gépek és a Web Apps használatáért.

Ha többtényezős Microsoft Entra-hitelesítésre vásárol előfizetést, a szervezet csak az egyes felhasználók éves licencdíját fizeti. Az MFA-licencek és a Microsoft 365, a Microsoft Entra ID P1 vagy P2, illetve az Enterprise Mobility + Security csomagok számlázása így van kiszámlázva.

További információ: A Microsoft Entra többtényezős hitelesítésének lekérése.

A biztonsági alapértékek engedélyezhetők a Microsoft Entra ID ingyenes szintjén. A biztonsági alapértékekkel minden felhasználó engedélyezve van a többtényezős hitelesítéshez a Microsoft Authenticator alkalmazással. Nem használható szöveges üzenet vagy telefonos ellenőrzés biztonsági alapértelmezett beállításokkal, csak a Microsoft Authenticator alkalmazással.

További információ: Mik a biztonsági alapértékek?

Ha a szervezet az MFA-t önálló szolgáltatásként, fogyasztásalapú számlázással vásárolja meg, az MFA-szolgáltató létrehozásakor válasszon egy számlázási modellt. Az MFA-szolgáltató létrehozása után nem módosíthatja a számlázási modellt.

Ha az MFA-szolgáltató nincs Microsoft Entra-bérlőhöz csatolva, vagy az új MFA-szolgáltatót egy másik Microsoft Entra-bérlőhöz kapcsolja, a rendszer nem továbbítja a felhasználói beállításokat és a konfigurációs beállításokat. Emellett a meglévő MFA-kiszolgálókat újra kell aktiválni az új MFA-szolgáltatón keresztül létrehozott aktiválási hitelesítő adatokkal. Az MFA-kiszolgálók az új MFA szolgáltatóhoz történő kapcsolás céljából történő újbóli aktiválása nincs hatással a telefonhívásban vagy szöveges üzenetben történő hitelesítésekre, a mobilalkalmazás-értesítések viszont minden felhasználó számára megszűnnek működni a mobilalkalmazás újbóli aktiválásáig.

További információ az MFA-szolgáltatókról az Azure többtényezős hitelesítésszolgáltató használatának első lépéseiben.

Bizonyos esetekben igen.

Ha a címtár felhasználónkénti Microsoft Entra többtényezős hitelesítésszolgáltatóval rendelkezik, MFA-licenceket adhat hozzá. A licenccel rendelkező felhasználók nem számítanak bele a felhasználónkénti használatalapú számlázásba. A licenccel nem rendelkező felhasználók továbbra is engedélyezhetők az MFA-szolgáltatón keresztül. Ha többtényezős hitelesítés használatára konfigurált összes felhasználóhoz licencet vásárol és rendel hozzá, törölheti a Microsoft Entra többtényezős hitelesítésszolgáltatót. Ha a jövőben több felhasználóval rendelkezik, mint licence, bármikor létrehozhat egy másik felhasználónkénti MFA-szolgáltatót.

Ha a címtára hitelesítésenkénti Microsoft Entra többtényezős hitelesítésszolgáltatóval rendelkezik, a rendszer minden hitelesítésért díjat számít fel, feltéve, hogy az MFA-szolgáltató kapcsolódik az előfizetéséhez. Hozzárendelhet MFA-licenceket a felhasználókhoz, de a rendszer továbbra is kiszámláz minden kétlépéses ellenőrzési kérésért, függetlenül attól, hogy az egy hozzárendelt MFA-licenccel rendelkező személytől származik-e.

Ha a szervezet használatalapú számlázási modellt használ, a Microsoft Entra-azonosító megadása nem kötelező, de nem kötelező. Ha az MFA-szolgáltató nincs Microsoft Entra-bérlőhöz csatolva, csak helyszíni Azure Multi-Factor Authentication-kiszolgálót helyezhet üzembe.

A licencmodellhez Microsoft Entra-azonosítóra van szükség, mert a licencek a Microsoft Entra-bérlőhöz lesznek hozzáadva, amikor megvásárolja és hozzárendeli őket a címtár felhasználóihoz.

Kérje meg a felhasználókat, hogy 5 perc alatt legfeljebb ötször kíséreljenek meg telefonhívást vagy sms-t kapni hitelesítés céljából. A Microsoft több szolgáltatót használ a hívások és sms-ek kézbesítéséhez. Ha ez a megközelítés nem működik, nyisson meg egy támogatási esetet a további hibaelhárításhoz.

A külső biztonsági alkalmazások az ellenőrző kód szöveges üzenetét vagy telefonhívását is letilthatják. Ha külső biztonsági alkalmazást használ, próbálja meg letiltani a védelmet, majd kérjen egy másik MFA-ellenőrző kódot.

Ha a fenti lépések nem működnek, ellenőrizze, hogy a felhasználók több ellenőrzési módszerhez vannak-e konfigurálva. Próbáljon meg újra bejelentkezni, de válasszon egy másik ellenőrzési módszert a bejelentkezési oldalon.

További információ: végfelhasználói hibaelhárítási útmutató.

A felhasználó fiókját alaphelyzetbe állíthatja úgy, hogy újra végighaladjon a regisztrációs folyamaton. További információ a felhasználói és eszközbeállítások a Microsoft Entra többtényezős hitelesítéssel való kezeléséről a felhőben.

A jogosulatlan hozzáférés megakadályozása érdekében törölje a felhasználó összes alkalmazásjelszóját. Miután a felhasználó rendelkezik egy csereeszközrel, újra létrehozhatja a jelszavakat. További információ a felhasználói és eszközbeállítások a Microsoft Entra többtényezős hitelesítéssel való kezeléséről a felhőben.

Ha a szervezet továbbra is régi ügyfeleket használ, és engedélyezte az alkalmazásjelszavak használatát, akkor a felhasználók nem tudnak bejelentkezni ezekbe az örökölt ügyfelekbe a felhasználónevükkel és jelszavukkal. Ehelyett be kell állítaniuk az alkalmazásjelszavakat. A felhasználóknak törölniük (törölniük) kell a bejelentkezési adataikat, újra kell indítaniuk az alkalmazást, majd be kell jelentkezniük a felhasználónévvel és az alkalmazás jelszavával a normál jelszó helyett.

Ha szervezete nem rendelkezik örökölt ügyfelekkel, nem szabad engedélyeznie a felhasználóknak, hogy alkalmazásjelszavakat hozzanak létre.

A szöveges üzenetek kézbesítése nem garantált, mert ellenőrizhetetlen tényezők befolyásolhatják a szolgáltatás megbízhatóságát. Ezek közé tartozik a célország vagy régió, a mobiltelefon-szolgáltató és a jelerősség.

A külső biztonsági alkalmazások az ellenőrző kód szöveges üzenetét vagy telefonhívását is letilthatják. Ha külső biztonsági alkalmazást használ, próbálja meg letiltani a védelmet, majd kérjen egy másik MFA-ellenőrző kódot.

Ha a felhasználók gyakran tapasztalnak problémákat a szöveges üzenetek megbízható fogadásával kapcsolatban, kérje meg őket, hogy inkább a Microsoft Authenticator alkalmazást vagy a telefonhívási módszert használják. A Microsoft Authenticator mobil- és Wi-Fi-kapcsolatokon keresztül is fogadhat értesítéseket. Emellett a mobilalkalmazás akkor is létrehozhat ellenőrző kódokat, ha az eszköz egyáltalán nem rendelkezik jelekkel. A Microsoft Authenticator alkalmazás Android, iOS és Windows Phone rendszereken érhető el.

Bizonyos esetekben igen.

Az MFA Server 7.0-s vagy újabb verziójával rendelkező egyirányú SMS-ek esetében beállításkulcs beállításával konfigurálhatja az időtúllépési beállítást. Miután az MFA felhőszolgáltatás elküldte a szöveges üzenetet, a rendszer visszaadja az ellenőrző kódot (vagy egyszeri pin-kódot) az MFA-kiszolgálónak. Az MFA-kiszolgáló alapértelmezés szerint 300 másodpercig tárolja a kódot a memóriában. Ha a felhasználó a 300 másodperc leteltéig nem adja meg a kódot, a rendszer megtagadja a hitelesítést. Az alábbi lépésekkel módosíthatja az alapértelmezett időtúllépési beállítást:

1. Lépjen a következőre: HKLM\Software\Wow6432Node\Positive Networks\PhoneFactor .
2. Hozzon létre egy pfsvc_pendingSmsTimeoutSeconds nevű DWORD beállításkulcsot, és állítsa be másodpercek alatt, hogy az MFA-kiszolgáló tárolja az egyszeri pin-kódokat.

Ha a felhasználók a megadott időkorláton belül nem válaszolnak az SMS-re, a rendszer megtagadja a hitelesítésüket.

Ha egyirányú SMS-t szeretne microsoft entra többtényezős hitelesítéssel a felhőben (beleértve az AD FS-adaptert vagy a Hálózati házirend-kiszolgáló bővítményt), nem konfigurálhatja az időtúllépési beállítást. A Microsoft Entra ID 180 másodpercig tárolja az ellenőrző kódot.

Ha Többtényezős hitelesítési kiszolgálót használ, importálhatja a külső féltől származó open authentication (OATH) időalapú, egyszeri jelszó (TOTP) jogkivonatokat, majd használhatja őket kétlépéses ellenőrzéshez.

Az OATH TOTP-jogkivonatokat tartalmazó ActiveIdentity-jogkivonatokat akkor használhatja, ha a titkos kulcsot egy CSV-fájlba helyezi, és importálja a Multi-Factor Authentication-kiszolgálóra. AZ OATH-jogkivonatokat használhatja Active Directory összevonási szolgáltatások (AD FS) (ADFS), az Internet Information Server (IIS) űrlapalapú hitelesítésével és a távoli hitelesítés betárcsázós felhasználói szolgáltatásával (RADIUS) mindaddig, amíg az ügyfélrendszer elfogadja a felhasználói bemenetet.

Külső OATH TOTP-jogkivonatokat a következő formátumokkal importálhat:

• Hordozható szimmetrikus kulcstároló (PSKC)
• CSV, ha a fájl sorozatszámot, 32-es alapformátumú titkos kulcsot és időintervallumot tartalmaz

Igen, de ha Windows Server 2012 R2 vagy újabb verziót használ, csak távoli asztali átjáróval (RD Gateway) védheti a terminálszolgáltatásokat.

A Windows Server 2012 R2 biztonsági változásai megváltoztatták, hogy a Multi-Factor Authentication Server hogyan csatlakozik a Helyi biztonsági szolgáltató (LSA) biztonsági csomaghoz a Windows Server 2012-es és korábbi verzióiban. A Terminálszolgáltatások Windows Server 2012-es vagy korábbi verziói esetén windowsos hitelesítéssel biztonságossá teheti az alkalmazásokat. Ha Windows Server 2012 R2-t használ, rd gatewayre van szüksége.

Ha a többtényezős hitelesítési hívásokat a nyilvános telefonhálózaton keresztül indítják el, néha olyan szolgáltatón keresztül irányítják őket, amely nem támogatja a hívóazonosítót. A szolgáltatói viselkedés miatt a hívóazonosító nem garantált, annak ellenére, hogy a többtényezős hitelesítési rendszer mindig elküldi.

A felhasználók több okból is kérhetik a biztonsági adataik regisztrálását:

• A felhasználót a rendszergazda engedélyezte az MFA-hoz a Microsoft Entra-azonosítóban, de még nem rendelkezik a fiókjához regisztrált biztonsági adatokkal.
• A felhasználó engedélyezte az önkiszolgáló jelszó-visszaállítást a Microsoft Entra-azonosítóban. A biztonsági információk segítségével a jövőben visszaállíthatják a jelszavukat, ha elfelejtik.
• A felhasználó olyan alkalmazáshoz fért hozzá, amely feltételes hozzáférési szabályzattal rendelkezik ahhoz, hogy MFA-t igényeljen, és korábban még nem regisztrált az MFA-ra.
• A felhasználó Microsoft Entra-azonosítóval regisztrál egy eszközt (beleértve a Microsoft Entra-csatlakozást is), és a szervezetnek MFA-t kell igényele az eszközregisztrációhoz, de a felhasználó korábban még nem regisztrált az MFA-ra.
• A felhasználó Vállalati Windows Hello hoz létre a Windows 10-ben (amelyhez MFA szükséges), és még nem regisztrálta az MFA-t.
• A szervezet létrehozott és engedélyezett egy, a felhasználóra alkalmazott MFA regisztrációs szabályzatot.
• A felhasználó korábban regisztrált az MFA-ra, de olyan ellenőrzési módszert választott, amelyet a rendszergazda azóta letiltott. A felhasználónak ezért újra át kell mennie az MFA-regisztráción egy új alapértelmezett ellenőrzési módszer kiválasztásához.

Kérje meg a felhasználót, hogy végezze el az alábbi eljárást, hogy távolítsa el a fiókját a Microsoft Authenticatorból, majd adja hozzá újra:

1. Nyissa meg a fiókprofilt , és jelentkezzen be egy szervezeti fiókkal.
2. Válassza a További biztonsági ellenőrzés lehetőséget.
3. Távolítsa el a meglévő fiókot a Microsoft Authenticator alkalmazásból.
4. Kattintson a Konfigurálás gombra, majd kövesse az utasításokat a Microsoft Authenticator újrakonfigurálásához.

A 0x800434D4L hiba akkor fordul elő, ha egy helyi számítógépre telepített nem böngészőalkalmazásba próbál bejelentkezni, amely nem működik kétlépéses ellenőrzést igénylő fiókokkal.

Ennek a hibának a megkerülő megoldása, ha külön felhasználói fiókokkal rendelkezik a rendszergazdai és nem rendszergazdai műveletekhez. Később összekapcsolhatja a postaládákat a rendszergazdai fiók és a nem rendszergazdai fiók között, hogy a nem rendszergazdai fiókjával jelentkezzen be az Outlookba. A megoldással kapcsolatos további információkért megtudhatja, hogyan nyithatja meg és tekintheti meg a felhasználó postaládájának tartalmát a rendszergazdának.

Hiba 1073741715 = Állapotbejegyzési hiba –> A megkísérelt bejelentkezés érvénytelen. Ennek oka a helytelen felhasználónév vagy a hitelesítés.

A hiba valószínű oka: Ha a megadott elsődleges hitelesítő adatok helyesek, előfordulhat, hogy az MFA-kiszolgáló és a tartományvezérlő támogatott NTLM-verziója nem egyezik. Az MFA-kiszolgáló csak az NTLMv1 (LmCompatabilityLevel=1 thru 4) szolgáltatást támogatja, az NTLMv2 -t (LmCompatabilityLevel=5) nem.

Következő lépések

Ha a kérdésére nem ad választ, a következő támogatási lehetőségek érhetők el:

• Keresse meg a Microsoft ügyfélszolgálata Tudásbázisban a gyakori technikai problémák megoldását.
• Technikai kérdéseket és válaszokat kereshet és böngészhet a közösségtől, vagy saját kérdést tehet fel a Microsoft Entra Q&A-ban.
• Lépjen kapcsolatba a Microsoft szakemberével a Multi-Factor Authentication Server támogatási szolgálatán keresztül. Ha kapcsolatba lép velünk, hasznos, ha a lehető legtöbb információt meg tudja adnia a problémáról. A megadható információk közé tartozik az a lap, ahol a hibát látta, az adott hibakódot, az adott munkamenet-azonosítót és a hibát kérő felhasználó azonosítóját.