Come eseguire una campagna di registrazione per configurare Microsoft Authenticator - Microsoft Authenticator
È possibile nudge utenti per configurare Microsoft Authenticator durante l'accesso. Gli utenti eseguiranno l'accesso regolare, eseguiranno l'autenticazione a più fattori come di consueto e quindi verrà richiesto di configurare Microsoft Authenticator. È possibile includere o escludere utenti o gruppi per controllare chi ottiene nudged per configurare l'app. Ciò consente alle campagne mirate di spostare gli utenti da metodi di autenticazione meno sicuri all'app Authenticator.
Oltre a scegliere chi può essere nudged, è possibile definire il numero di giorni in cui un utente può rinviare o "snooze", il nudge. Se un utente tocca Non ora per spostare l'installazione dell'app, verrà nuovamente nudged sul successivo tentativo MFA dopo che la durata dello snooze è trascorsa.
Prerequisiti
- L'organizzazione deve avere abilitato Azure AD Multi-Factor Authentication. Ogni edizione di Azure AD include Azure AD Multi-Factor Authentication. Non è necessaria alcuna licenza aggiuntiva per una campagna di registrazione.
- Gli utenti non possono già configurare l'app Authenticator per le notifiche push nel proprio account.
- Gli amministratori devono abilitare gli utenti per l'app Authenticator usando uno di questi criteri:
- Criteri di registrazione MFA: gli utenti dovranno essere abilitati per la notifica tramite app per dispositivi mobili.
- Criteri dei metodi di autenticazione: gli utenti devono essere abilitati per l'app Authenticator e la modalità di autenticazione impostata su Any o Push. Se il criterio è impostato su Passwordless, l'utente non sarà idoneo per il nudge. Per altre informazioni su come impostare la modalità di autenticazione, vedere Abilitare l'accesso senza password con Microsoft Authenticator.
Esperienza utente
L'utente esegue l'autenticazione con Azure AD Multi-Factor Authentication.
L'utente visualizza la richiesta di configurare l'app Authenticator per migliorare l'esperienza di accesso. Solo gli utenti autorizzati per le notifiche push dell'app Authenticator e non sono attualmente configurati visualizzeranno il prompt.
L'utente tocca Avanti e passaggi attraverso la configurazione dell'app Authenticator.
Scaricare prima di tutto l'app.
Vedere come configurare l'app Authenticator.
Eseguire la scansione del codice a matrice.
Approvare la notifica di prova.
Notifica approvata.
L'app Authenticator è ora configurata correttamente come metodo di accesso predefinito dell'utente.
Se un utente desidera non installare l'app Authenticator, può toccare Non ora per spostare il prompt per un massimo di 14 giorni, che può essere impostato da un amministratore.
Abilitare i criteri di campagna di registrazione usando il portale
Per abilitare una campagna di registrazione nel portale di Azure, seguire questa procedura:
Nella portale di Azure fare clic suCampagna di registrazione dei metodi> di autenticazione della sicurezza>.
Per Stato fare clic su Abilitato, selezionare tutti gli utenti o i gruppi da escludere dalla campagna di registrazione e quindi fare clic su Salva.
Abilitare i criteri di campagna di registrazione usando Graph Explorer
Oltre a usare la portale di Azure, è anche possibile abilitare i criteri di campagna di registrazione usando Graph Explorer. Per abilitare i criteri di campagna di registrazione, è necessario usare i criteri dei metodi di autenticazione usando le API Graph. Gli amministratori globali e gli amministratori dei criteri del metodo di autenticazione possono aggiornare i criteri.
Per configurare i criteri usando Graph Explorer:
Accedere a Graph Explorer e assicurarsi di aver acconsentito alle autorizzazioni Policy.Read.All e Policy.ReadWrite.AuthenticationMethod .
Per aprire il pannello Autorizzazioni:
Recuperare i criteri dei metodi di autenticazione:
GET https://graph.microsoft.com/beta/policies/authenticationmethodspolicyAggiornare la sezione registrationEnforcement e authenticationMethodsRegistrationCampaign dei criteri per abilitare il nudge in un utente o un gruppo.
Per aggiornare i criteri, eseguire una PATCH nei criteri dei metodi di autenticazione con solo la sezione registrazione aggiornataEnforcement: PATCH https://graph.microsoft.com/beta/policies/authenticationmethodspolicy
Nella tabella seguente sono elencate le proprietà AuthenticationMethodsRegistrationCampaign .
| Nome | Valori possibili | Descrizione |
|---|---|---|
| state | "abilitato" "disabilitato" "default" |
Consente di abilitare o disabilitare la funzionalità. Il valore predefinito viene usato quando la configurazione non è stata impostata in modo esplicito e userà il valore predefinito di Azure AD per questa impostazione. Attualmente esegue il mapping a disabilitato. Modificare gli stati in abilitato o disabilitato in base alle esigenze. |
| snoozeDurationInDays | Intervallo: 0 - 14 | Definisce il numero di giorni prima che l'utente venga nuovamente nudged. Se il valore è 0, l'utente viene nudged durante ogni tentativo MFA. Impostazione predefinita: 1 giorno |
| includeTargets | N/D | Consente di includere utenti e gruppi diversi che si desidera che la funzionalità sia di destinazione. |
| escludiTarget | N/D | Consente di escludere utenti e gruppi diversi che si desidera omettere dalla funzionalità. Se un utente si trova in un gruppo escluso e un gruppo incluso, l'utente verrà escluso dalla funzionalità. |
Gli elenchi di tabelle seguenti includono proprietàTargets .
| Nome | Valori possibili | Descrizione |
|---|---|---|
| targetType | "user" "group" |
Tipo di entità di destinazione. |
| ID | Identificatore guid | ID dell'utente o del gruppo di destinazione. |
| targetAuthenticationMethod | "microsoftAuthenticator" | L'utente del metodo di autenticazione viene richiesto di registrare. L'unico valore consentito è "microsoftAuthenticator". |
Nella tabella seguente sono elencate le proprietà escludiTargets .
| Nome | Valori possibili | Descrizione |
|---|---|---|
| targetType | "user" "group" |
Tipo di entità di destinazione. |
| ID | Una stringa | ID dell'utente o del gruppo di destinazione. |
Esempio
Ecco alcuni JSON di esempio che è possibile usare per iniziare!
Includere tutti gli utenti
Se si vuole includere TUTTI gli utenti nel tenant, è sufficiente scaricare questo JSON e incollarlo in Graph Explorer ed eseguirlo
PATCHnell'endpoint.{ "registrationEnforcement": { "authenticationMethodsRegistrationCampaign": { "snoozeDurationInDays": 0, "state": "enabled", "excludeTargets": [], "includeTargets": [ { "id": "all_users", "targetType": "group", "targetedAuthenticationMethod": "microsoftAuthenticator" } ] } } }Includere utenti o gruppi specifici di utenti
Se si desidera includere determinati utenti o gruppi nel tenant, scaricare questo codice JSON e aggiornarlo con i GUID pertinenti degli utenti e dei gruppi. Incollare quindi il codice JSON in Graph Explorer ed eseguire
PATCHnell'endpoint.{ "registrationEnforcement": { "authenticationMethodsRegistrationCampaign": { "snoozeDurationInDays": 0, "state": "enabled", "excludeTargets": [], "includeTargets": [ { "id": "*********PLEASE ENTER GUID***********", "targetType": "group", "targetedAuthenticationMethod": "microsoftAuthenticator" }, { "id": "*********PLEASE ENTER GUID***********", "targetType": "user", "targetedAuthenticationMethod": "microsoftAuthenticator" } ] } }Includere ed escludere utenti/gruppi specifici di utenti
Se si vuole includere AND escludere determinati utenti/gruppi di utenti nel tenant, scaricare questo file JSON e incollarlo in Graph Explorer ed eseguirlo
PATCHnell'endpoint. Immettere i GUID corretti per gli utenti e i gruppi.{ "registrationEnforcement": { "authenticationMethodsRegistrationCampaign": { "snoozeDurationInDays": 0, "state": "enabled", "excludeTargets": [ { "id": "*********PLEASE ENTER GUID***********", "targetType": "group" }, { "id": "*********PLEASE ENTER GUID***********", "targetType": "user" } ], "includeTargets": [ { "id": "*********PLEASE ENTER GUID***********", "targetType": "group", "targetedAuthenticationMethod": "microsoftAuthenticator" }, { "id": "*********PLEASE ENTER GUID***********", "targetType": "user", "targetedAuthenticationMethod": "microsoftAuthenticator" } ] } } }
Identificare i GUID degli utenti da inserire nei JSON
Passare al portale di Azure.
Toccare Azure Active Directory.
Nel pannello Gestisci toccare Utenti.
Nella pagina Utenti identificare l'utente specifico di destinazione.
Quando si tocca l'utente specifico, verrà visualizzato il relativo ID oggetto, ovvero il GUID dell'utente.
Identificare i GUID dei gruppi da inserire nei JSON
Passare al portale di Azure.
Toccare Azure Active Directory.
Nel pannello Gestisci toccare Gruppi.
Nella pagina Gruppi identificare il gruppo specifico di destinazione.
Toccare il gruppo e ottenere l'ID oggetto.
Limitazioni
Il nudge non verrà visualizzato nei dispositivi mobili che eseguono Android o iOS.
Domande frequenti
La campagna di registrazione è disponibile per il server MFA?
No. Questa funzionalità è disponibile solo per gli utenti che usano Azure AD Multi-Factor Authentication.
Gli utenti possono essere nudged all'interno di un'applicazione?
Nudge è disponibile solo nei browser e non nelle applicazioni.
Quanto tempo verrà eseguita la campagna?
È possibile usare le API per abilitare la campagna per tutto il tempo desiderato. Ogni volta che si vuole eseguire la campagna, usare semplicemente le API per disabilitare la campagna.
Ogni gruppo di utenti può avere una durata diversa?
No. La durata dello snooze per il prompt è un'impostazione a livello di tenant e si applica a tutti i gruppi nell'ambito.
Gli utenti possono essere nudged per configurare l'accesso telefonico senza password?
La funzionalità mira a consentire agli amministratori di ottenere gli utenti configurati con MFA usando l'app Authenticator e non l'accesso telefonico senza password.
Un utente che ha una configurazione dell'app autenticatore di terze parti visualizzerà il nudge?
Se l'utente non dispone dell'app Authenticator configurata per le notifiche push ed è abilitata per i criteri, sì, l'utente visualizzerà il nudge.
Un utente che ha la configurazione dell'app Authenticator solo per i codici TOTP visualizza il nudge?
Sì. Se l'app Authenticator non è configurata per le notifiche push e l'utente è abilitato per il criterio, sì, l'utente visualizzerà il nudge.
Se un utente ha appena eseguito la registrazione MFA, verrà nudged nella stessa sessione di accesso?
No. Per offrire un'esperienza utente ottimale, gli utenti non verranno nudged per configurare Authenticator nella stessa sessione in cui hanno registrato altri metodi di autenticazione.
È possibile inviare un nudge agli utenti per registrare un altro metodo di autenticazione?
No. La funzionalità, per ora, mira a nudge utenti per configurare solo l'app Authenticator.
C'è un modo per nascondere l'opzione snooze e forzare gli utenti a configurare l'app Authenticator?
Non c'è modo di nascondere l'opzione snooze sul nudge. È possibile impostare lo snoozeDuration su 0, che garantisce che gli utenti visualizzeranno il nudge durante ogni tentativo di autenticazione a più fattori.
Sarà possibile nudgere gli utenti se non si usa Azure AD Multi-Factor Authentication?
No. Il nudge funzionerà solo per gli utenti che eseguono MFA usando il servizio Azure AD Multi-Factor Authentication.
Gli utenti guest/B2B nel tenant verranno nudged?
Sì. Se sono stati ambiti per il nudge usando i criteri.
Cosa succede se l'utente chiude il browser?
È lo stesso dello snoozing.
Perché alcuni utenti non visualizzano un nudge quando esiste un criterio di accesso condizionale per "Registrare le informazioni di sicurezza"?
Un nudge non verrà visualizzato se un utente è nell'ambito di un criterio di accesso condizionale che blocca l'accesso alla pagina Registra informazioni di sicurezza .
Passaggi successivi
Abilitare l'accesso senza password con Microsoft Authenticator