Włączanie bezhasłowego logowania za pomocą aplikacji Microsoft Authenticator

  • Artykuł

Aplikacja Microsoft Authenticator może służyć do logowania się do dowolnego konta Microsoft Entra bez użycia hasła. Aplikacja Microsoft Authenticator używa uwierzytelniania opartego na kluczach, aby umożliwić poświadczenie użytkownika powiązane z urządzeniem, na którym urządzenie używa numeru PIN lub biometrycznego. Windows Hello dla firm używa podobnej technologii.

Ta technologia uwierzytelniania może być używana na dowolnej platformie urządzeń, w tym na urządzeniach przenośnych. Ta technologia może być również używana z dowolną aplikacją lub witryną internetową zintegrowaną z bibliotekami uwierzytelniania firmy Microsoft.

Zrzut ekranu przedstawiający przykład logowania przeglądarki z prośbą o zatwierdzenie logowania przez użytkownika.

Osoby, którzy włączyli logowanie telefoniczne z aplikacji Microsoft Authenticator, zobacz komunikat z prośbą o naciśnięcie numeru w aplikacji. Nie zostanie wyświetlony monit o podanie nazwy użytkownika ani hasła. Aby ukończyć proces logowania w aplikacji, użytkownik musi wykonać następujące czynności:

  1. Wprowadź liczbę, którą widzą na ekranie logowania w oknie dialogowym Microsoft Authenticator.
  2. Wybierz pozycję Zatwierdź.
  3. Podaj numer PIN lub biometryczny.

Wiele kont w systemie iOS

Możesz włączyć logowanie bez hasła dla wielu kont w aplikacji Microsoft Authenticator na dowolnym obsługiwanym urządzeniu z systemem iOS. Doradcy, studenci i inni z wieloma kontami w usłudze Microsoft Entra ID mogą dodawać każde konto do aplikacji Microsoft Authenticator i używać logowania bez hasła do telefonu dla wszystkich z tego samego urządzenia z systemem iOS.

Wcześniej administratorzy mogą nie wymagać logowania bez hasła dla użytkowników z wieloma kontami, ponieważ wymaga od nich posiadania większej liczby urządzeń na potrzeby logowania. Dzięki usunięciu ograniczenia logowania jednego użytkownika z urządzenia administratorzy mogą bezpieczniej zachęcić użytkowników do rejestrowania logowania bez hasła i używania go jako domyślnej metody logowania.

Konta Microsoft Entra mogą znajdować się w tej samej dzierżawie lub w różnych dzierżawach. Konta gościa nie są obsługiwane w przypadku wielu logów kont z jednego urządzenia.

Wymagania wstępne

Aby korzystać z logowania bez hasła za pomocą aplikacji Microsoft Authenticator, należy spełnić następujące wymagania wstępne:

  • Zalecane: Firma Microsoft Entra multifactor authentication z powiadomieniami wypychanymi dozwolonymi jako metoda weryfikacji. Wysyłanie powiadomień wypychanych do smartfona lub tabletu pomaga aplikacji Authenticator zapobiec nieautoryzowanemu dostępowi do kont i zatrzymać fałszywe transakcje. Aplikacja Authenticator automatycznie generuje kody podczas konfigurowania powiadomień wypychanych. Użytkownik ma metodę logowania do kopii zapasowej, nawet jeśli urządzenie nie ma łączności.
  • Najnowsza wersja aplikacji Microsoft Authenticator zainstalowana na urządzeniach z systemem iOS lub Android.
  • W przypadku systemu Android urządzenie z uruchomionym programem Microsoft Authenticator musi być zarejestrowane dla pojedynczego użytkownika. Aktywnie pracujemy nad włączeniem wielu kont w systemie Android.
  • W przypadku systemu iOS urządzenie musi być zarejestrowane w każdej dzierżawie, w której jest używane do logowania. Na przykład następujące urządzenie musi być zarejestrowane w firmie Contoso i aplikacji Wingtiptoys, aby umożliwić logowanie wszystkich kont:
    • balas@contoso.com
    • balas@wingtiptoys.com i bsandhu@wingtiptoys

Aby użyć uwierzytelniania bez hasła w usłudze Microsoft Entra ID, najpierw włącz połączone środowisko rejestracji, a następnie włącz użytkownikom metodę bez hasła.

Włączanie metod uwierzytelniania logowania bez hasła na telefon

Napiwek

Kroki opisane w tym artykule mogą się nieznacznie różnić w zależności od portalu, od którego zaczynasz.

Usługa Microsoft Entra ID umożliwia wybranie metod uwierzytelniania, które mogą być używane podczas procesu logowania. Następnie użytkownicy rejestrują się w metodach, których chcą używać. Zasady metody uwierzytelniania Microsoft Authenticator zarządzają zarówno tradycyjną metodą uwierzytelniania wieloskładnikowego wypychania, jak i metodą uwierzytelniania bez hasła.

Uwaga

Jeśli włączono logowanie bez hasła aplikacji Microsoft Authenticator przy użyciu programu PowerShell, zostało ono włączone dla całego katalogu. Jeśli włączysz tę nową metodę, zastępuje ona zasady programu PowerShell. Zalecamy włączenie dla wszystkich użytkowników w dzierżawie za pomocą nowego menu Metody uwierzytelniania. W przeciwnym razie użytkownicy, którzy nie znajdują się w nowych zasadach, nie mogą się zalogować bez hasła.

Aby włączyć metodę uwierzytelniania dla logowania za pomocą telefonu bez hasła, wykonaj następujące kroki:

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator zasad uwierzytelniania.

  2. Przejdź do strony Zasady metod> uwierzytelniania ochrony.>

  3. W obszarze Microsoft Authenticator wybierz następujące opcje:

    1. Włącz — tak lub nie
    2. Cel — wszyscy użytkownicy lub Wybieranie użytkowników

  4. Każda dodana grupa lub użytkownik jest domyślnie włączona do korzystania z aplikacji Microsoft Authenticator w trybach bez hasła i powiadomień wypychanych ("Dowolny"). Aby zmienić tryb, dla każdego wiersza dla trybu uwierzytelniania wybierz pozycję Dowolne lub Bez hasła. Wybranie opcji Wypychanie uniemożliwia użycie poświadczeń logowania za pomocą telefonu bez hasła.

  5. Aby zastosować nowe zasady, kliknij przycisk Zapisz.

    Uwaga

    Jeśli podczas próby zapisania wystąpi błąd, przyczyną może być liczba dodanych użytkowników lub grup. Aby obejść ten problem, zastąp użytkowników i grupy, które próbujesz dodać pojedynczą grupą, w tej samej operacji, a następnie ponownie wybierz pozycję Zapisz .

Rejestracja użytkownika

Użytkownicy rejestrują się w celu uzyskania bez hasła metody uwierzytelniania identyfikatora Entra firmy Microsoft. W przypadku użytkowników, którzy zarejestrowali już aplikację Microsoft Authenticator na potrzeby uwierzytelniania wieloskładnikowego, przejdź do następnej sekcji, włącz logowanie za pomocą telefonu.

Bezpośrednia rejestracja logowania za pomocą telefonu

Użytkownicy mogą rejestrować się w celu logowania bez hasła bezpośrednio w aplikacji Microsoft Authenticator bez konieczności wcześniejszego rejestrowania aplikacji Microsoft Authenticator przy użyciu konta, a jednocześnie nigdy nie naliczania hasła. Oto, jak to zrobić:

  1. Uzyskaj dostęp tymczasowy z Administracja lub organizacji.
  2. Pobierz i zainstaluj aplikację Microsoft Authenticator na urządzeniu przenośnym.
  3. Otwórz aplikację Microsoft Authenticator i kliknij pozycję Dodaj konto , a następnie wybierz pozycję Konto służbowe.
  4. Wybierz pozycję Zaloguj.
  5. Postępuj zgodnie z instrukcjami, aby zalogować się przy użyciu tymczasowego dostępu przekazywanego przez Administracja lub organizację.
  6. Po zalogowaniu postępuj zgodnie z dodatkowymi krokami, aby skonfigurować logowanie telefoniczne.

Rejestracja z przewodnikiem przy użyciu moich logów

Uwaga

Użytkownicy będą mogli rejestrować aplikację Microsoft Authenticator tylko za pośrednictwem rejestracji połączonej, jeśli tryb uwierzytelniania Microsoft Authenticator to Dowolne lub Wypychane.

Aby zarejestrować aplikację Microsoft Authenticator, wykonaj następujące kroki:

  1. Przejdź do https://aka.ms/mysecurityinfo.
  2. Zaloguj się, a następnie wybierz pozycję Dodaj metodę>Authenticator app Dodaj, aby dodać aplikację >Microsoft Authenticator.
  3. Postępuj zgodnie z instrukcjami, aby zainstalować i skonfigurować aplikację Microsoft Authenticator na urządzeniu.
  4. Wybierz pozycję Gotowe , aby ukończyć konfigurację aplikacji Microsoft Authenticator.

Włączanie logowania za pomocą telefonu

Gdy użytkownicy zarejestrowali się w aplikacji Microsoft Authenticator, muszą włączyć logowanie za pomocą telefonu:

  1. W aplikacji Microsoft Authenticator wybierz zarejestrowane konto.
  2. Wybierz pozycję Włącz logowanie za pomocą telefonu.
  3. Postępuj zgodnie z instrukcjami w aplikacji, aby zakończyć rejestrowanie konta na potrzeby logowania za pomocą telefonu bez hasła.

Organizacja może kierować swoich użytkowników do logowania się przy użyciu telefonów bez użycia hasła. Aby uzyskać dalszą pomoc dotyczącą konfigurowania aplikacji Microsoft Authenticator i włączania logowania za pomocą telefonu, zobacz Logowanie się do kont przy użyciu aplikacji Microsoft Authenticator.

Uwaga

Użytkownicy, którzy nie mogą korzystać z zasad logowania za pomocą telefonu, nie będą już mogli go włączyć w aplikacji Microsoft Authenticator.

Logowanie przy użyciu poświadczeń bez hasła

Użytkownik może rozpocząć korzystanie z logowania bez hasła po zakończeniu wszystkich następujących akcji:

  • Administrator włączył dzierżawę użytkownika.
  • Użytkownik dodał narzędzie Microsoft Authenticator jako metodę logowania.

Przy pierwszym uruchomieniu procesu logowania za pomocą telefonu użytkownik wykonuje następujące kroki:

  1. Wprowadza nazwę na stronie logowania.
  2. Wybiera pozycję Dalej.
  3. W razie potrzeby wybierze pozycję Inne sposoby logowania.
  4. Wybiera pozycję Zatwierdź żądanie w aplikacji Authenticator.

Użytkownik jest następnie wyświetlany z liczbą. Aplikacja monituje użytkownika o uwierzytelnienie, wpisując odpowiedni numer, a nie wprowadzając hasło.

Gdy użytkownik korzysta z logowania za pomocą telefonu bez hasła, aplikacja będzie nadal kierować użytkownika za pomocą tej metody. Użytkownik zobaczy jednak opcję wyboru innej metody.

Zrzut ekranu przedstawiający przykład logowania przeglądarki przy użyciu aplikacji Microsoft Authenticator.

Dostęp tymczasowy — dostęp próbny

Jeśli administrator dzierżawy włączył samoobsługowe resetowanie haseł (SSPR), a użytkownik konfiguruje logowanie bez hasła w aplikacji Authenticator po raz pierwszy przy użyciu hasła tymczasowego dostępu, należy wykonać następujące kroki:

  1. Użytkownik powinien otworzyć przeglądarkę na urządzeniu przenośnym lub komputerze stacjonarnym i przejść do strony mySecurity info.
  2. Użytkownik musi zarejestrować aplikację Authenticator jako metodę logowania. Ta akcja powoduje połączenie konta użytkownika z aplikacją.
  3. Następnie użytkownik powinien wrócić do swojego urządzenia przenośnego i aktywować logowanie bez hasła za pośrednictwem aplikacji Authenticator.

Zarządzanie

Zasady metody uwierzytelniania to zalecany sposób zarządzania aplikacją Microsoft Authenticator. Zasady uwierzytelniania Administracja istratory mogą edytować te zasady, aby włączyć lub wyłączyć program Microsoft Authenticator. Administracja mogą uwzględniać lub wykluczać określonych użytkowników i grupy z użycia.

Administracja można również skonfigurować parametry, aby lepiej kontrolować sposób użycia aplikacji Microsoft Authenticator. Mogą na przykład dodać lokalizację lub nazwę aplikacji do żądania logowania, aby użytkownicy mieli większy kontekst przed zatwierdzeniem.

Global Administracja istratory mogą również zarządzać aplikacją Microsoft Authenticator w całej dzierżawie przy użyciu starszych zasad uwierzytelniania wieloskładnikowego i samoobsługowego resetowania hasła. Te zasady umożliwiają włączenie lub wyłączenie aplikacji Microsoft Authenticator dla wszystkich użytkowników w dzierżawie. Nie ma żadnych opcji dołączania lub wykluczania nikogo ani kontrolowania sposobu użycia aplikacji Microsoft Authenticator do logowania.

Znane problemy

Istnieją następujące znane problemy.

Nie widać opcji logowania bez hasła na telefonie

W jednym scenariuszu użytkownik może mieć bez odpowiedzi weryfikację logowania bez hasła, która oczekuje. Jeśli użytkownik spróbuje ponownie się zalogować, może zobaczyć tylko opcję wprowadzenia hasła.

Aby rozwiązać ten scenariusz, wykonaj następujące kroki:

  1. Otwórz aplikację Microsoft Authenticator.
  2. Odpowiadanie na wszelkie monity o powiadomienie.

Następnie użytkownik może nadal używać logowania bez hasła na telefonie.

Aplikacja AuthenticatorAppSignInPolicy nie jest obsługiwana

Aplikacja AuthenticatorAppSignInPolicy to starsze zasady, które nie są obsługiwane przez aplikację Microsoft Authenticator. Aby umożliwić użytkownikom wysyłanie powiadomień wypychanych lub logowanie bez hasła za pomocą aplikacji Authenticator, użyj zasad Metody uwierzytelniania.

Konta federacyjne

Gdy użytkownik włączył wszelkie poświadczenia bez hasła, proces logowania entra firmy Microsoft przestaje korzystać z login_hint. W związku z tym proces nie przyspiesza już użytkownika w kierunku lokalizacji logowania federacyjnego.

Ta logika zwykle uniemożliwia użytkownikowi w dzierżawie hybrydowej kierowanie do usług Active Directory Federated Services (AD FS) na potrzeby weryfikacji logowania. Jednak użytkownik zachowuje opcję kliknięcia pozycji Użyj hasła.

Użytkownicy lokalni

Użytkownik końcowy może być włączony na potrzeby uwierzytelniania wieloskładnikowego za pośrednictwem lokalnego dostawcy tożsamości. Użytkownik może nadal tworzyć i korzystać z jednego bez hasła poświadczeń logowania za pomocą telefonu.

Jeśli użytkownik spróbuje uaktualnić wiele instalacji (5+) aplikacji Microsoft Authenticator przy użyciu poświadczeń logowania bez hasła, ta zmiana może spowodować wystąpienie błędu.

Następne kroki

Aby dowiedzieć się więcej o metodach uwierzytelniania i bez hasła firmy Microsoft, zobacz następujące artykuły: