Metody uwierzytelniania w usłudze Microsoft Entra ID — aplikacja Microsoft Authenticator

  • Artykuł

Aplikacja Microsoft Authenticator zapewnia kolejny poziom zabezpieczeń konta służbowego firmy Microsoft lub konta służbowego firmy Microsoft i jest dostępny dla systemów Android i iOS. Dzięki aplikacji Microsoft Authenticator użytkownicy mogą uwierzytelniać się w sposób bez hasła podczas logowania lub inną opcję weryfikacji podczas samoobsługowego resetowania hasła (SSPR) lub zdarzeń uwierzytelniania wieloskładnikowego.

Teraz możesz stosować klucz dostępu do uwierzytelniania użytkowników. Użytkownicy mogą następnie otrzymywać powiadomienie za pośrednictwem swojej aplikacji mobilnej w celu zatwierdzenia lub odmowy aplikacji Authenticator w celu wygenerowania kodu weryfikacyjnego OATH. Ten kod można następnie wprowadzić w interfejsie logowania. Jeśli włączysz zarówno powiadomienie, jak i kod weryfikacyjny, użytkownicy rejestrujący aplikację Authenticator mogą użyć jednej z metod w celu zweryfikowania tożsamości przy użyciu kluczy dostępu.

Uwaga

W ramach przygotowań do obsługi klucza dostępu w aplikacji Microsoft Authenticator użytkownicy mogą postrzegać aplikację Authenticator jako dostawcę klucza dostępu na urządzeniach z systemami iOS i Android. Aby uzyskać więcej informacji, zobacz Logowanie przy użyciu klucza dostępu (wersja zapoznawcza).

Aby użyć aplikacji Authenticator w wierszu polecenia logowania, a nie kombinacji nazwy użytkownika i hasła, zobacz Włączanie logowania bez hasła przy użyciu aplikacji Microsoft Authenticator.

Uwaga

  • Użytkownicy nie mają możliwości zarejestrowania aplikacji mobilnej po włączeniu samoobsługowego resetowania hasła. Zamiast tego użytkownicy mogą zarejestrować swoją aplikację mobilną na stronie https://aka.ms/mfasetup lub w ramach połączonej rejestracji informacji zabezpieczających pod adresem https://aka.ms/setupsecurityinfo.
  • Aplikacja Authenticator może nie być obsługiwana w wersjach beta systemów iOS i Android. Ponadto od 20 października 2023 r. aplikacja Authenticator w systemie Android nie obsługuje już starszych wierzchołków systemu Android Portal firmy. Użytkownicy systemu Android z Portal firmy wersjami poniżej 2111 (5.0.5333.0) nie mogą ponownie rejestrować ani rejestrować nowych wystąpień aplikacji Authenticator, dopóki nie zaktualizują aplikacji Portal firmy do nowszej wersji.

Logowanie za pomocą klucza dostępu (wersja zapoznawcza)

Authenticator to bezpłatne rozwiązanie z kluczem dostępu, które umożliwia użytkownikom wykonywanie bez hasła uwierzytelniania odpornego na wyłudzanie informacji z własnych telefonów. Niektóre kluczowe korzyści wynikające z używania kluczy dostępu w aplikacji Authenticator:

  • Kluczami dostępu można łatwo wdrażać na dużą skalę. Następnie na telefonie użytkownika są dostępne klucz dostępu dla scenariuszy zarządzania urządzeniami przenośnymi (MDM) i by przynieść własne urządzenie (BYOD).
  • Hasła w aplikacji Authenticator nie są już kosztowne i podróżują z użytkownikiem wszędzie tam, gdzie idą.
  • Klucz dostępu w aplikacji Authenticator jest powiązany z urządzeniem, co gwarantuje, że klucz dostępu nie pozostawia urządzenia, na którym został utworzony.
  • Użytkownicy są na bieżąco z najnowszymi innowacjami z kluczami dostępu opartymi na otwartych standardach WebAuthn.
  • Przedsiębiorstwa mogą nakładać inne możliwości na przepływy uwierzytelniania, takie jak zgodność ze standardem FIPS 140.

Uwaga

W miarę postępu wdrożeń w wersji zapoznawczej administratorzy i użytkownicy mogą widzieć klucz dostępu jako metodę logowania na różnych powierzchniach firmy Microsoft Entra, w tym centrum Administracja, aplikację Authenticator, Szczegółowe informacje uwierzytelniania itd.

Klucz dostępu powiązany z urządzeniem

Klucz dostępu w aplikacji Authenticator jest powiązany z urządzeniem, aby upewnić się, że nigdy nie opuszczają urządzenia, na których zostały utworzone. Na urządzeniu z systemem iOS aplikacja Authenticator używa bezpiecznej enklawy do utworzenia klucza dostępu. W systemie Android utworzymy klucz dostępu w bezpiecznym elemecie na urządzeniach, które go obsługują, lub wróćmy do zaufanego środowiska wykonawczego (TEE).

Jak działa zaświadczenie o kluczu dostępu z aplikacją Authenticator

Na razie hasła aplikacji Authenticator nie są testowane. Obsługa zaświadczania dla kluczy dostępu w aplikacji Authenticator jest planowana w przyszłej wersji.

Tworzenie kopii zapasowych i przywracanie kluczy dostępu w aplikacji Authenticator

Kopię zapasową kluczy dostępu w aplikacji Authenticator nie można przywrócić na nowym urządzeniu. Aby utworzyć klucz dostępu na nowym urządzeniu, użyj klucza dostępu na starszym urządzeniu lub użyj innej metody uwierzytelniania, aby ponownie utworzyć klucz dostępu.

Logowanie bez hasła

Zamiast wyświetlać monit o podanie hasła po wprowadzeniu nazwy użytkownika, użytkownicy, którzy włączają logowanie za pomocą telefonu z aplikacji Authenticator, widzą komunikat umożliwiający wprowadzenie numeru w swojej aplikacji. Po wybraniu poprawnej liczby proces logowania zostanie ukończony.

Przykład logowania przeglądarki z prośbą o zatwierdzenie logowania przez użytkownika.

Ta metoda uwierzytelniania zapewnia wysoki poziom zabezpieczeń i eliminuje potrzebę podania hasła podczas logowania.

Aby rozpocząć logowanie bez hasła, zobacz Włączanie logowania bez hasła przy użyciu aplikacji Microsoft Authenticator.

Powiadomienie przez aplikację mobilną

Aplikacja Authenticator może pomóc zapobiec nieautoryzowanemu dostępowi do kont i zatrzymać fałszywe transakcje, wypychając powiadomienie na smartfon lub tablet. Użytkownicy wyświetlają powiadomienie, a jeśli jest to uzasadnione, wybierz pozycję Weryfikuj. W przeciwnym razie mogą wybrać pozycję Odmów.

Uwaga

Począwszy od sierpnia 2023 r., nietypowe logowania nie generują powiadomień, podobnie jak w jaki sposób logowania z nieznanych lokalizacji nie generują powiadomień. Aby zatwierdzić nietypowe logowanie, użytkownicy mogą otwierać aplikację Microsoft Authenticator lub Authenticator Lite w odpowiedniej aplikacji towarzyszącej, takiej jak Outlook. Następnie mogą ściągnąć, aby odświeżyć lub nacisnąć pozycję Odśwież, a następnie zatwierdzić żądanie.

Zrzut ekranu przedstawiający przykładowy monit przeglądarki internetowej o powiadomienie aplikacji Authenticator w celu ukończenia procesu logowania.

W Chinach metoda Powiadomienia za pośrednictwem aplikacji mobilnej na urządzeniach z systemem Android nie działa, ponieważ usługi Google Play (w tym powiadomienia wypychane) są blokowane w regionie. Jednak powiadomienia systemu iOS działają. W przypadku urządzeń z systemem Android alternatywne metody uwierzytelniania powinny być dostępne dla tych użytkowników.

Kod weryfikacyjny z aplikacji mobilnej

Aplikacja Authenticator może służyć jako token oprogramowania do generowania kodu weryfikacyjnego OATH. Po wprowadzeniu nazwy użytkownika i hasła wprowadź kod dostarczony przez aplikację Authenticator do interfejsu logowania. Kod weryfikacyjny stanowi drugą formę uwierzytelniania.

Uwaga

Kody weryfikacyjne OATH generowane przez wystawcę Authenticator nie są obsługiwane w przypadku uwierzytelniania opartego na certyfikatach.

Użytkownicy mogą mieć kombinację maksymalnie pięciu tokenów sprzętowych OATH lub aplikacji uwierzytelnianych, takich jak aplikacja Authenticator, skonfigurowana do użycia w dowolnym momencie.

Zgodność ze standardem FIPS 140 dla uwierzytelniania entra firmy Microsoft

Zgodnie z wytycznymi określonymi w NIST SP 800-63B, wystawcy uwierzytelnień używanych przez amerykańskie agencje rządowe są wymagane do korzystania z kryptografii zweryfikowanej przez fiPS 140. Te wytyczne pomagają amerykańskim agencjom rządowym spełnić wymagania zarządu wykonawczego (EO) 14028. Ponadto niniejsze wytyczne pomagają innym regulowanym branżom, takim jak organizacje opieki zdrowotnej współpracujące z elektronicznymi receptami dla substancji kontrolowanych (EPCS), spełniają swoje wymagania regulacyjne.

FIPS 140 to amerykański standard rządowy, który definiuje minimalne wymagania dotyczące zabezpieczeń modułów kryptograficznych w produktach i systemach technologii informatycznych. Program weryfikacji modułu kryptograficznego (CMVP) utrzymuje testowanie względem standardu FIPS 140.

Microsoft Authenticator dla systemu iOS

Począwszy od wersji 6.6.8, aplikacja Microsoft Authenticator dla systemu iOS używa natywnego modułu Apple CoreCrypto na potrzeby kryptografii zweryfikowanych przez standard FIPS na urządzeniach zgodnych ze standardem FIPS 140 firmy Apple. Wszystkie uwierzytelniania firmy Microsoft entra przy użyciu odpornych na wyłudzanie informacji kluczy dostępu, wypychania uwierzytelniania wieloskładnikowego (MFA), logowania bez hasła (PSI) i jednorazowych kodów dostępu (TOTP) używają kryptografii FIPS.

Aby uzyskać więcej informacji na temat zweryfikowanych modułów kryptograficznych FIPS 140 używanych i zgodnych urządzeń z systemem iOS, zobacz Certyfikaty zabezpieczeń systemu iOS firmy Apple.

Uwaga

W nowych aktualizacjach z poprzedniej wersji tego artykułu: Microsoft Authenticator nie jest jeszcze zgodny ze standardem FIPS 140 w systemie Android. Aplikacja Microsoft Authenticator w systemie Android oczekuje obecnie na certyfikację zgodności ze standardem FIPS w celu obsługi naszych klientów, którzy mogą wymagać kryptografii zweryfikowane przez standard FIPS.

Określanie typu rejestracji aplikacji Microsoft Authenticator w obszarze Moje informacje zabezpieczające

Użytkownicy mogą uzyskiwać dostęp do informacji MySecurityInfo (zobacz adresy URL w następnej sekcji) lub wybierając pozycję Informacje zabezpieczające w obszarze MyAccount, aby zarządzać i dodawać więcej rejestracji aplikacji Microsoft Authenticator. Określone ikony służą do rozróżniania, czy rejestracja w aplikacji Microsoft Authenticator jest bez hasła logowania za pomocą telefonu, czy uwierzytelniania wieloskładnikowego.

Typ rejestracji wystawcy uwierzytelniającego Ikona
Microsoft Authenticator: logowanie za pomocą telefonu bez hasła Obsługa logowania bez hasła w aplikacji Microsoft Authenticator
Microsoft Authenticator: (powiadomienie/kod) Obsługa uwierzytelniania wieloskładnikowego usługi Microsoft Authenticator
Chmura MySecurityInfo URL
Komercyjna platforma Azure (w tym GCC) https://aka.ms/MySecurityInfo
Platforma Azure dla instytucji rządowych USA (w tym GCC High i DoD) https://aka.ms/MySecurityInfo-us

Aktualizacje do aplikacji Microsoft Authenticator

Firma Microsoft stale aktualizuje aplikację Microsoft Authenticator, aby zachować wysoki poziom zabezpieczeń. Aby upewnić się, że użytkownicy uzyskują najlepsze możliwe środowisko, zalecamy ciągłe aktualizowanie aplikacji Authenticator. W przypadku krytycznych aktualizacji zabezpieczeń wersje aplikacji, które nie są aktualne, mogą przestać działać i mogą uniemożliwić użytkownikom ukończenie uwierzytelniania. Jeśli użytkownik korzysta z wersji aplikacji, która nie jest obsługiwana, zostanie wyświetlony monit o uaktualnienie do najnowszej wersji przed kontynuowaniem uwierzytelniania.

Firma Microsoft okresowo wycofuje również starsze wersje aplikacji Authenticator, aby zachować wysoki poziom zabezpieczeń dla organizacji. Jeśli urządzenie użytkownika nie obsługuje nowoczesnych wersji aplikacji Microsoft Authenticator, nie będzie mogło ukończyć uwierzytelniania w aplikacji. Zalecamy, aby ci użytkownicy używali kodu weryfikacyjnego OATH w aplikacji Microsoft Authenticator w celu ukończenia uwierzytelniania dwuskładnikowego.

Następne kroki