Zarządzanie metodami uwierzytelniania dla identyfikatora Entra firmy Microsoft
Microsoft Entra ID umożliwia korzystanie z wielu metod uwierzytelniania do obsługi wielu różnych scenariuszy logowania. Administracja istratory mogą w szczególności skonfigurować każdą metodę, aby spełnić swoje cele dotyczące środowiska użytkownika i zabezpieczeń. W tym temacie wyjaśniono, jak zarządzać metodami uwierzytelniania dla identyfikatora Entra firmy Microsoft oraz jak opcje konfiguracji wpływają na scenariusze logowania użytkownika i resetowania hasła.
Zasady metod uwierzytelniania
Zasady metody uwierzytelniania to zalecany sposób zarządzania metodami uwierzytelniania, w tym nowoczesnymi metodami, takimi jak uwierzytelnianie bez hasła. Zasady uwierzytelniania Administracja istratory mogą edytować te zasady, aby włączyć metody uwierzytelniania dla wszystkich użytkowników lub określonych grup.
Metody włączone w zasadach metod uwierzytelniania mogą być zwykle używane w dowolnym miejscu w usłudze Microsoft Entra ID, zarówno w scenariuszach uwierzytelniania, jak i resetowania hasła. Wyjątkiem jest to, że niektóre metody są z natury ograniczone do użycia w uwierzytelnianiu, takich jak FIDO2 i Windows Hello dla firm, a inne są ograniczone do użycia w resetowaniu haseł, takich jak pytania zabezpieczające. Aby uzyskać większą kontrolę nad tym, które metody można używać w danym scenariuszu uwierzytelniania, rozważ użycie funkcji Siły uwierzytelniania.
Większość metod ma również parametry konfiguracji, aby dokładniej kontrolować sposób użycia tej metody. Jeśli na przykład włączysz połączenia głosowe, możesz również określić, czy telefon biurowy może być używany oprócz telefonu komórkowego.
Załóżmy też, że chcesz włączyć uwierzytelnianie bez hasła za pomocą aplikacji Microsoft Authenticator. Możesz ustawić dodatkowe parametry, takie jak wyświetlanie lokalizacji logowania użytkownika lub nazwa zalogowanej aplikacji. Te opcje zapewniają więcej kontekstu dla użytkowników podczas logowania i pomagają zapobiec przypadkowym zatwierdzeniom uwierzytelniania wieloskładnikowego.
Aby zarządzać zasadami metod uwierzytelniania, zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej zasady uwierzytelniania Administracja istrator i przejdź do pozycji Zasady metod>uwierzytelniania ochrony.>
Tylko środowisko rejestracji zbieżnej jest świadome zasad metod uwierzytelniania. Użytkownicy w zakresie zasad metod uwierzytelniania, ale nie środowisko rejestracji zbieżnej nie będzie widzieć poprawnych metod rejestrowania.
Starsze zasady uwierzytelniania wieloskładnikowego i samoobsługowego resetowania hasła
Dwie inne zasady, znajdujące się w ustawieniach uwierzytelniania wieloskładnikowego i ustawienia resetowania hasła, zapewniają starszy sposób zarządzania niektórymi metodami uwierzytelniania dla wszystkich użytkowników w dzierżawie. Nie można kontrolować, kto używa włączonej metody uwierzytelniania lub jak można użyć metody. Do zarządzania tymi zasadami potrzebny jest globalny Administracja istrator.
Ważne
W marcu 2023 r. ogłosiliśmy wycofanie metod zarządzania metodami uwierzytelniania w starszych zasadach uwierzytelniania wieloskładnikowego i samoobsługowego resetowania haseł(SSPR). Od 30 września 2025 r. metody uwierzytelniania nie mogą być zarządzane w tych starszych zasadach uwierzytelniania wieloskładnikowego i samoobsługowego resetowania hasła. Zalecamy klientom użycie ręcznej kontroli migracji w celu przeprowadzenia migracji do zasad metod uwierzytelniania według daty wycofania.
Aby zarządzać starszymi zasadami uwierzytelniania wieloskładnikowego, wybierz pozycję Zabezpieczenia>uwierzytelniania wieloskładnikowego Dodatkowe ustawienia uwierzytelniania>wieloskładnikowego opartego na chmurze.
Aby zarządzać metodami uwierzytelniania na potrzeby samoobsługowego resetowania hasła (SSPR), kliknij pozycję Metody uwierzytelniania resetowania>hasła. Opcja Telefon komórkowy w tych zasadach umożliwia wysyłanie połączeń głosowych lub wiadomości SMS na telefon komórkowy. Opcja Telefon pakietu Office umożliwia tylko połączenia głosowe.
Jak działają razem zasady
Ustawienia nie są synchronizowane między zasadami, co umożliwia administratorom niezależne zarządzanie poszczególnymi zasadami. Identyfikator Entra firmy Microsoft uwzględnia ustawienia we wszystkich zasadach, dzięki czemu użytkownik, który jest włączony dla metody uwierzytelniania w dowolnych zasadach, może zarejestrować tę metodę i użyć jej. Aby uniemożliwić użytkownikom korzystanie z metody, należy ją wyłączyć we wszystkich zasadach.
Przyjrzyjmy się przykładowi, w którym użytkownik należący do grupy Księgowość chce zarejestrować aplikację Microsoft Authenticator. Proces rejestracji najpierw sprawdza zasady Metody uwierzytelniania. Jeśli grupa Księgowość jest włączona dla aplikacji Microsoft Authenticator, użytkownik może go zarejestrować.
Jeśli tak nie jest, proces rejestracji sprawdza starsze zasady uwierzytelniania wieloskładnikowego. W tych zasadach każdy użytkownik może zarejestrować aplikację Microsoft Authenticator, jeśli jedno z tych ustawień jest włączone dla uwierzytelniania wieloskładnikowego:
- Powiadomienie za pośrednictwem aplikacji mobilnej
- Kod weryfikacyjny z aplikacji mobilnej lub tokenu sprzętowego
Jeśli użytkownik nie może zarejestrować aplikacji Microsoft Authenticator na podstawie jednej z tych zasad, proces rejestracji sprawdza starsze zasady samoobsługowego resetowania hasła. W tych zasadach użytkownik może również zarejestrować aplikację Microsoft Authenticator, jeśli użytkownik jest włączony na potrzeby samoobsługowego resetowania hasła i którekolwiek z tych ustawień są włączone:
- Powiadomienie aplikacji mobilnej
- Kod aplikacji mobilnej
W przypadku użytkowników, którzy są włączeni dla telefonu komórkowego dla samoobsługowego resetowania hasła, niezależna kontrola między zasadami może mieć wpływ na zachowanie logowania. Jeśli inne zasady mają oddzielne opcje dla wiadomości SMS i połączeń głosowych, telefon komórkowy dla samoobsługowego resetowania hasła umożliwia obie opcje. W rezultacie każdy, kto korzysta z telefonu komórkowego na potrzeby samoobsługowego resetowania hasła, może również używać połączeń głosowych na potrzeby resetowania hasła, nawet jeśli inne zasady nie zezwalają na połączenia głosowe.
Podobnie załóżmy, że włączysz wywołania głosowe dla grupy. Po jej włączeniu można stwierdzić, że nawet użytkownicy, którzy nie są członkami grupy, mogą logować się za pomocą połączenia głosowego. W takim przypadku prawdopodobnie ci użytkownicy są włączeni dla telefonu komórkowego w starszych zasadach samoobsługowego resetowania hasła lub Zadzwoń na telefon w starszych zasadach uwierzytelniania wieloskładnikowego.
Migracja między zasadami
Zasady metody uwierzytelniania zapewniają ścieżkę migracji do ujednoliconego administrowania wszystkimi metodami uwierzytelniania. Wszystkie żądane metody można włączyć w zasadach Metod uwierzytelniania, zakładając, że zostały zdefiniowane grupy użytkowników wymagane dla każdej zasady metody uwierzytelniania (chyba że dotyczy wszystkich użytkowników). Po działaniu zarządzania grupami użytkowników można wyłączyć metody w starszych zasadach uwierzytelniania wieloskładnikowego i samoobsługowego resetowania hasła. Migracja ma trzy ustawienia umożliwiające przejście we własnym tempie i uniknięcie problemów z logowaniem lub samoobsługowym resetowaniem hasła podczas przejścia. Po zakończeniu migracji będziesz centralizować kontrolę nad metodami uwierzytelniania zarówno dla logowania, jak i samoobsługowego resetowania hasła w jednym miejscu, a starsze zasady uwierzytelniania wieloskładnikowego i samoobsługowego resetowania hasła zostaną wyłączone.
Uwaga
Pytania zabezpieczające można włączyć tylko dzisiaj przy użyciu starszych zasad samoobsługowego resetowania hasła. W przyszłości zostanie ona udostępniona w zasadach metod uwierzytelniania. Jeśli używasz pytań zabezpieczających i nie chcesz ich wyłączać, pamiętaj, aby zachować je włączone w starszych zasadach samoobsługowego resetowania hasła, dopóki nowa kontrola nie będzie dostępna w przyszłości. Możesz przeprowadzić migrację pozostałych metod uwierzytelniania i nadal zarządzać pytaniami zabezpieczającymi w starszych zasadach samoobsługowego resetowania hasła.
Aby wyświetlić opcje migracji, otwórz zasady Metody uwierzytelniania i kliknij pozycję Zarządzaj migracją.
W tabeli poniżej opisano wszystkie opcje.
| Opcja | Opis |
|---|---|
| Przed migracją | Zasady metod uwierzytelniania są używane tylko do uwierzytelniania. Przestrzegane są starsze ustawienia zasad. |
| Migracja w toku | Zasady metod uwierzytelniania są używane do uwierzytelniania i samoobsługowego resetowania hasła. Przestrzegane są starsze ustawienia zasad. |
| Migracja zakończona | Tylko zasady metod uwierzytelniania są używane do uwierzytelniania i samoobsługowego resetowania hasła. Starsze ustawienia zasad są ignorowane. |
Dzierżawy są domyślnie ustawione na wartość Przed migracją lub Migracja w toku w zależności od bieżącego stanu dzierżawy. Jeśli rozpoczniesz migrację przed migracją, możesz przejść do dowolnego ze stanów w dowolnym momencie. Jeśli rozpoczęto migrację w toku, możesz przejść między migracją w toku a programem Microsoft Complete w dowolnym momencie, ale nie będzie można przejść do przed migracją. Jeśli przejdziesz do pozycji Migracja zakończona, a następnie wybierzesz wycofanie się do wcześniejszego stanu, zapytamy, dlaczego możemy ocenić wydajność produktu.
Uwaga
Po pełnej migracji wszystkich metod uwierzytelniania następujące elementy starszych zasad samoobsługowego resetowania hasła pozostają aktywne:
- Liczba metod wymaganych do zresetowania kontroli: administratorzy mogą nadal zmieniać liczbę metod uwierzytelniania, które należy zweryfikować, zanim użytkownik będzie mógł wykonać samoobsługowe resetowanie hasła.
- Zasady administratora samoobsługowego resetowania hasła: administratorzy mogą nadal rejestrować i używać dowolnych metod wymienionych w starszych zasadach administratora samoobsługowego resetowania hasła lub metodach, które są włączone do użycia w zasadach Metod uwierzytelniania.
W przyszłości obie te funkcje zostaną zintegrowane z zasadami metod uwierzytelniania.
Znane problemy i ograniczenia
- W ostatnich aktualizacjach usunęliśmy możliwość kierowania użytkowników indywidualnych. Wcześniej docelowi użytkownicy pozostaną w zasadach, ale zalecamy przeniesienie ich do grupy docelowej.
- Rejestracja kluczy zabezpieczeń FIDO2 może zakończyć się niepowodzeniem dla niektórych użytkowników, jeśli zasady metody uwierzytelniania FIDO2 są przeznaczone dla grupy, a ogólne zasady metod uwierzytelniania mają skonfigurowane więcej niż 20 grup. Pracujemy nad zwiększeniem limitu rozmiaru zasad, a w międzyczasie zalecamy ograniczenie liczby celów grupy do nie większej niż 20.
Następne kroki
- Jak przeprowadzić migrację ustawień zasad uwierzytelniania wieloskładnikowego i samoobsługowego resetowania hasła do zasad metod uwierzytelniania
- Jakie metody uwierzytelniania i weryfikacji są dostępne w usłudze identyfikatora Microsoft Entra?
- Jak działa uwierzytelnianie wieloskładnikowe firmy Microsoft
- Microsoft Graph REST API