Cara menjalankan kampanye pendaftaran untuk menyiapkan Microsoft Authenticator

  • Artikel

Anda dapat mendorong pengguna untuk menyiapkan Microsoft Authenticator selama masuk. Pengguna masuk reguler mereka, melakukan autentikasi multifaktor seperti biasa, lalu diminta untuk menyiapkan Microsoft Authenticator. Anda dapat menyertakan atau mengecualikan pengguna atau grup untuk mengontrol siapa yang didorong untuk menyiapkan aplikasi. Ini memungkinkan kampanye yang ditargetkan untuk memindahkan pengguna dari metode autentikasi yang kurang aman ke Authenticator.

Anda juga dapat menentukan berapa hari pengguna dapat menunda, atau "menunda," dorong. Jika pengguna mengetuk Lewati untuk saat ini untuk menunda penyiapan aplikasi, mereka akan didorong lagi pada upaya MFA berikutnya setelah durasi tunda berlalu. Anda dapat memutuskan apakah pengguna dapat menunda tanpa batas waktu atau hingga tiga kali (setelah pendaftaran diperlukan).

Catatan

Saat pengguna masuk reguler, kebijakan Akses Bersyarat yang mengatur pendaftaran info keamanan berlaku sebelum pengguna diminta untuk menyiapkan Authenticator. Misalnya, jika kebijakan Akses Bersyarat memerlukan pembaruan info keamanan hanya dapat terjadi di jaringan internal, pengguna tidak akan diminta untuk menyiapkan Authenticator kecuali mereka berada di jaringan internal.

Prasyarat

  • Organisasi Anda harus mengaktifkan autentikasi multifaktor Microsoft Entra. Setiap edisi ID Microsoft Entra menyertakan autentikasi multifaktor Microsoft Entra. Tidak diperlukan lisensi lain untuk kampanye pendaftaran.
  • Pengguna belum dapat menyiapkan aplikasi Microsoft Authenticator untuk pemberitahuan push di akun mereka.
  • Admin perlu mengaktifkan pengguna untuk aplikasi Authenticator menggunakan salah satu kebijakan berikut:
    • Kebijakan Pendaftaran MFA: Pengguna harus diaktifkan untuk Pemberitahuan melalui aplikasi ponsel.
    • Kebijakan Metode Autentikasi: Pengguna harus diaktifkan untuk aplikasi Microsoft Authenticator dan mode Autentikasi yang diatur ke Apa Pun atau Dorong. Jika kebijakan diatur ke Tanpa kata sandi, pengguna tidak akan memenuhi syarat untuk didorong. Untuk informasi selengkapnya tentang cara mengatur mode Autentikasi, lihat Mengaktifkan kredensial masuk tanpa kata sandi dengan aplikasi Microsoft Authenticator.

Pengalaman pengguna

  1. Pertama, Anda harus berhasil mengautentikasi menggunakan autentikasi multifaktor (MFA) Microsoft Entra.

  2. Jika Anda telah mengaktifkan pemberitahuan push Authenticator dan belum menyiapkannya, Anda akan diminta untuk menyiapkan Authenticator untuk meningkatkan pengalaman masuk Anda.

    Catatan

    Fitur keamanan lainnya, seperti kode akses tanpa kata sandi, pengaturan ulang kata sandi mandiri, atau default keamanan, mungkin juga meminta Anda untuk penyiapan.

    Cuplikan layar autentikasi multifaktor.

  3. Ketuk Berikutnya dan lanjutkan penyiapan aplikasi Authenticator.

  4. Unduh aplikasi terlebih dahulu.

    Cuplikan layar unduhan untuk Microsoft Authenticator.

    1. Lihat cara menyiapkan aplikasi Microsoft Authenticator.

      Cuplikan layar Microsoft Authenticator.

    2. Pindai Kode QR.

      Cuplikan layar QR Code.

    3. Verifikasi identitas Anda.

      Cuplikan layar Verifikasi identitas Anda.

    4. Setujui pemberitahuan pengujian di perangkat Anda.

      Cuplikan layar pemberitahuan pengujian.

    5. Aplikasi Authenticator sekarang berhasil disiapkan.

      Cuplikan layar penginstalan selesai.

  5. Jika Anda tidak ingin menginstal aplikasi Authenticator, Anda dapat mengetuk Lewati untuk saat ini untuk menunda permintaan hingga 14 hari, yang dapat diatur oleh admin. Pengguna dengan langganan gratis dan uji coba dapat menunda permintaan hingga tiga kali.

    Cuplikan layar opsi tunda.

Mengaktifkan kebijakan kampanye pendaftaran menggunakan pusat admin Microsoft Entra

Untuk mengaktifkan kampanye pendaftaran di pusat admin Microsoft Entra, selesaikan langkah-langkah berikut:

  1. Masuk ke pusat admin Microsoft Entra sebagai Administrator Kebijakan Autentikasi atau Administrator Global.

  2. Telusuri kampanye Pendaftaran metode>Autentikasi Perlindungan>dan klik Edit.

  3. Untuk Status:

    • Pilih Diaktifkan untuk mengaktifkan kampanye pendaftaran untuk semua pengguna.
    • Pilih Microsoft berhasil mengaktifkan kampanye pendaftaran hanya untuk pengguna panggilan suara atau pesan teks. Pengaturan terkelola Microsoft memungkinkan Microsoft untuk mengatur nilai default. Untuk informasi selengkapnya, lihat Melindungi metode autentikasi di ID Microsoft Entra.

    Jika status kampanye pendaftaran diatur ke Diaktifkan atau dikelola Microsoft, Anda dapat mengonfigurasi pengalaman untuk pengguna akhir dengan menggunakan Jumlah tunda terbatas:

    • Jika Jumlah tunda terbatas Diaktifkan, pengguna dapat melewati perintah interupsi 3 kali, setelah itu mereka dipaksa untuk mendaftarkan Authenticator.
    • Jika Jumlah tunda terbatas dinonaktifkan, pengguna dapat menunda jumlah waktu yang tidak terbatas dan menghindari mendaftarkan Authenticator.

    Hari yang diizinkan untuk menunda menetapkan periode antara dua perintah interupsi berturut-turut. Misalnya, jika diatur ke 3 hari, pengguna yang melewatkan pendaftaran tidak diminta lagi hingga setelah 3 hari.

    Tangkapan layar mengaktifkan kampanye pendaftaran.

  4. Pilih pengguna atau grup apa pun untuk dikecualikan dari kampanye pendaftaran, lalu klik Simpan.

Mengaktifkan kebijakan kampanye pendaftaran menggunakan Graph Explorer

Selain menggunakan pusat admin Microsoft Entra, Anda juga dapat mengaktifkan kebijakan kampanye pendaftaran menggunakan Graph Explorer. Untuk mengaktifkan kebijakan kampanye pendaftaran, Anda harus menggunakan Kebijakan Metode Autentikasi menggunakan API Graph. Administrator Global dan Administrator Kebijakan Autentikasi dapat memperbarui kebijakan.

Untuk mengonfigurasi kebijakan menggunakan Graph Explorer:

  1. Masuk ke Graph Explorer dan pastikan Anda telah menyetujui izin Policy.Read.All dan Policy.ReadWrite.AuthenticationMethod .

    Untuk membuka panel Izin:

    Cuplikan layar Graph Explorer.

  2. Ambil kebijakan metode Autentikasi:

    GET https://graph.microsoft.com/v1.0/policies/authenticationmethodspolicy

  3. Perbarui bagian registrationEnforcement dan authenticationMethodsRegistrationCampaign dari kebijakan untuk mengaktifkan dorong pada pengguna atau grup.

    Cuplikan layar respons API.

    Untuk memperbarui kebijakan, lakukan PATCH pada Kebijakan Metode Autentikasi hanya dengan bagian registrationEnforcement yang diperbarui:

    PATCH https://graph.microsoft.com/v1.0/policies/authenticationmethodspolicy

Tabel berikut ini mencantumkan properti authenticationMethodsRegistrationCampaign.

Nama Nilai yang dapat dipakai Deskripsi
snoozeDurationInDays Rentang: 0 - 14 Menentukan jumlah hari sebelum pengguna didorong lagi.
Jika nilainya 0, pengguna didorong selama setiap upaya MFA.
Default: 1 hari
enforceRegistrationAfterAllowedSnoozes "true"
"false"		 Menentukan apakah pengguna diperlukan untuk melakukan penyiapan setelah 3 tunda.
Jika true, pengguna diharuskan untuk mendaftar.
Jika false, pengguna dapat menunda tanpa batas waktu.
Default: true
state "aktif"
"nonaktif"
"default"		 Memungkinkan Anda mengaktifkan atau menonaktifkan fitur ini.
Nilai default digunakan ketika konfigurasi belum diatur secara eksplisit dan akan menggunakan nilai default ID Microsoft Entra untuk pengaturan ini. Status default diaktifkan untuk pengguna panggilan suara dan pesan teks di semua penyewa.
Ubah status menjadi diaktifkan (untuk semua pengguna) atau dinonaktifkan sesuai kebutuhan.
excludeTargets T/A Memungkinkan Anda menyertakan pengguna dan grup berbeda yang ingin Anda hilangkan dari fitur tersebut. Jika pengguna berada dalam grup yang dikecualikan dan grup yang disertakan, pengguna akan dikecualikan dari fitur tersebut.
includeTargets T/A Memungkinkan Anda menyertakan pengguna dan grup berbeda yang ingin Anda targetkan fitur tersebut.

Tabel berikut mencantumkan properti includeTargets.

Nama Nilai yang dapat dipakai Deskripsi
targetType "pengguna"
"grup"		 Jenis entitas yang ditargetkan.
Id Pengidentifikasi guid ID pengguna atau grup yang ditargetkan.
targetedAuthenticationMethod "microsoftAuthenticator" Pengguna metode autentikasi diminta untuk mendaftar. Satu-satunya nilai yang diizinkan adalah "microsoftAuthenticator".

Tabel berikut mencantumkan properti excludeTargets.

Nama Nilai yang dapat dipakai Deskripsi
targetType "pengguna"
"grup"		 Jenis entitas yang ditargetkan.
Id String ID pengguna atau grup yang ditargetkan.

Contoh

Berikut adalah beberapa contoh JSON yang dapat Anda gunakan untuk memulai!

  • Menyertakan semua pengguna

    Jika Anda ingin menyertakan SEMUA pengguna di penyewa Anda, perbarui contoh JSON berikut dengan GUID yang relevan dari pengguna dan grup Anda. Kemudian tempelkan di Graph Explorer dan jalankan PATCH di titik akhir.

    {
"registrationEnforcement": {
        "authenticationMethodsRegistrationCampaign": {
            "snoozeDurationInDays": 1,
            "enforceRegistrationAfterAllowedSnoozes": true,
            "state": "enabled",
            "excludeTargets": [],
            "includeTargets": [
                {
                    "id": "all_users",
                    "targetType": "group",
                    "targetedAuthenticationMethod": "microsoftAuthenticator"
                }
            ]
        }
    }
}

  • Menyertakan pengguna atau grup pengguna tertentu

    Jika Anda ingin menyertakan pengguna atau grup tertentu di penyewa Anda, perbarui contoh JSON berikut dengan GUID yang relevan dari pengguna dan grup Anda. Kemudian tempel JSON di Graph Explorer dan jalankan PATCH di titik akhir.

    {
"registrationEnforcement": {
      "authenticationMethodsRegistrationCampaign": {
          "snoozeDurationInDays": 1,
          "enforceRegistrationAfterAllowedSnoozes": true,
          "state": "enabled",
          "excludeTargets": [],
          "includeTargets": [
              {
                  "id": "*********PLEASE ENTER GUID***********",
                  "targetType": "group",
                  "targetedAuthenticationMethod": "microsoftAuthenticator"
              },
              {
                  "id": "*********PLEASE ENTER GUID***********",
                  "targetType": "user",
                  "targetedAuthenticationMethod": "microsoftAuthenticator"
              }
          ]
      }
  }
}

  • Menyertakan dan mengecualikan pengguna atau grup tertentu

    Jika Anda ingin menyertakan AND mengecualikan pengguna atau grup tertentu di penyewa Anda, perbarui contoh JSON berikut dengan GUID yang relevan dari pengguna dan grup Anda. Kemudian tempelkan di Graph Explorer dan jalankan PATCH di titik akhir.

    {
"registrationEnforcement": {
        "authenticationMethodsRegistrationCampaign": {
            "snoozeDurationInDays": 1,
            "enforceRegistrationAfterAllowedSnoozes": true,
            "state": "enabled",
            "excludeTargets": [
                {
                    "id": "*********PLEASE ENTER GUID***********",
                    "targetType": "group"
                },
              {
                    "id": "*********PLEASE ENTER GUID***********",
                    "targetType": "user"
                }
            ],
            "includeTargets": [
                {
                    "id": "*********PLEASE ENTER GUID***********",
                    "targetType": "group",
                    "targetedAuthenticationMethod": "microsoftAuthenticator"
                },
                {
                    "id": "*********PLEASE ENTER GUID***********",
                    "targetType": "user",
                    "targetedAuthenticationMethod": "microsoftAuthenticator"
                }
            ]
        }
    }
}

Mengidentifikasi GUID pengguna untuk disisipkan di JSON

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Kebijakan Autentikasi.

  2. Di bilahe Kelola, ketuk Pengguna.

  3. Di halaman Pengguna, identifikasi pengguna tertentu yang ingin Anda targetkan.

  4. Saat mengetuk pengguna tertentu, Anda akan melihat ID Objek mereka yang merupakan GUID pengguna.

    ID objek pengguna

Mengidentifikasi GUID pengguna untuk disisipkan di JSON

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Kebijakan Autentikasi.

  2. Di bilah Kelola, ketuk Grup.

  3. Di halaman Grup, identifikasi grup tertentu yang ingin Anda targetkan.

  4. Ketuk grup dan dapatkan ID Objek.

    Mendorong grup

Batasan

Pendorongan tidak akan muncul di perangkat seluler yang menjalankan Android atau iOS.

Tanya jawab umum

Apakah kampanye pendaftaran tersedia untuk Server MFA?

Tidak, kampanye pendaftaran hanya tersedia untuk pengguna yang menggunakan autentikasi multifaktor Microsoft Entra.

Bisakah pengguna didorong dalam aplikasi?

Ya, kami mendukung tampilan browser yang disematkan di aplikasi tertentu. Kami tidak mendorong pengguna dalam pengalaman di luar kotak atau dalam tampilan browser yang disematkan di pengaturan Windows.

Dapatkah pengguna didorik pada perangkat seluler?

Kampanye pendaftaran tidak tersedia di perangkat seluler.

Berapa lama kampanye berjalan?

Anda dapat mengaktifkan kampanye selama yang Anda suka. Setiap kali Anda ingin selesai menjalankan kampanye, gunakan pusat admin atau API untuk menonaktifkan kampanye.

Dapatkah setiap grup pengguna memiliki durasi tunda yang berbeda?

Tidak. Durasi tunda untuk perintah adalah pengaturan di seluruh penyewa dan berlaku untuk semua grup dalam cakupan.

Bisakah pengguna didorong untuk menyiapkan masuk melalui telepon tanpa kata sandi?

Fitur ini bertujuan untuk memberdayakan admin agar pengguna dapat mengatur MFA menggunakan aplikasi Authenticator dan bukan masuk melalui telepon tanpa kata sandi.

Apakah pengguna yang masuk dengan aplikasi pengautentikasi pihak ke-3 akan melihat dorong?

Ya. Jika pengguna diaktifkan untuk kampanye pendaftaran dan tidak menyiapkan Microsoft Authenticator untuk pemberitahuan push, pengguna akan didorong untuk menyiapkan Authenticator.

Apakah pengguna yang memiliki Authenticator hanya disiapkan untuk kode TOTP melihat dorong?

Ya. Jika pengguna diaktifkan untuk kampanye pendaftaran dan aplikasi Authenticator tidak disiapkan untuk pemberitahuan push, pengguna akan didorong untuk menyiapkan pemberitahuan push dengan Authenticator.

Jika pengguna baru saja melalui pendaftaran MFA, apakah mereka mendorong sesi masuk yang sama?

Tidak. Untuk memberikan pengalaman pengguna yang baik, pengguna tidak akan didorong untuk menyiapkan Microsoft Authenticator dalam sesi yang sama saat mereka mendaftarkan metode autentikasi lainnya.

Bisakah saya mendorong pengguna saya untuk mendaftarkan metode autentikasi lain?

Tidak. Untuk saat ini, fitur ini bertujuan untuk mendorong pengguna untuk menyiapkan aplikasi Microsoft Authenticator saja.

Apakah ada cara bagi saya untuk menyembunyikan opsi tunda dan memaksa pengguna saya untuk mengatur aplikasi Authenticator?

Atur Jumlah tunda terbatas ke Diaktifkan sehingga pengguna dapat menunda penyiapan aplikasi hingga tiga kali, setelah pengaturan diperlukan.

Apakah saya akan dapat mendorong pengguna saya jika saya tidak menggunakan autentikasi multifaktor Microsoft Entra?

Tidak. Dorong hanya berfungsi untuk pengguna yang melakukan MFA menggunakan layanan autentikasi multifaktor Microsoft Entra.

Apakah pengguna Tamu/B2B di penyewa saya akan didorong?

Ya. Jika mereka tercakup dalam dorong menggunakan kebijakan.

Bagaimana jika pengguna menutup browser?

Ini sama saja dengan menunda. Jika penyiapan diperlukan untuk pengguna setelah mereka menunda tiga kali, pengguna akan diminta saat berikutnya mereka masuk.

Mengapa beberapa pengguna tidak melihat dorong saat ada kebijakan Akses Bersyar untuk "Daftarkan informasi keamanan"?

Dorong tidak akan muncul jika pengguna berada dalam cakupan untuk kebijakan Akses Bersyar yang memblokir akses ke halaman Daftarkan informasi keamanan.

Apakah pengguna melihat dorong ketika ada layar ketentuan penggunaan (ToU) yang disajikan kepada pengguna selama masuk?

Dorong tidak akan muncul jika pengguna disajikan dengan layar ketentuan penggunaan (ToU) selama masuk.

Apakah pengguna melihat dorong saat kontrol kustom Akses Bersyarat berlaku untuk masuk?

Dorong tidak akan muncul jika pengguna dialihkan selama masuk karena pengaturan kontrol kustom Akses Bersyarat .

Apakah ada rencana untuk menghentikan SMS dan Voice sebagai metode yang dapat digunakan untuk MFA?

Tidak, tidak ada rencana seperti itu.

Langkah berikutnya

Mengaktifkan kredensial masuk tanpa kata sandi dengan Microsoft Authenticator