Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Firma Microsoft zaleca metody uwierzytelniania bez hasła, takie jak Windows Hello, passkeys (FIDO2) i aplikacja Microsoft Authenticator, ponieważ zapewniają one najbezpieczniejsze środowisko logowania. Chociaż użytkownik może zalogować się przy użyciu innych typowych metod, takich jak nazwa użytkownika i hasło, hasła powinny zostać zastąpione bardziej bezpiecznymi metodami uwierzytelniania.
Uwierzytelnianie wieloskładnikowe Microsoft Entra dodaje kolejną warstwę zabezpieczeń do samego użycia hasła podczas logowania się użytkownika. Użytkownik może być poproszony o inne formy uwierzytelniania, takie jak odpowiadanie na powiadomienie push, wprowadzenie kodu z tokenu software'owego lub sprzętowego, lub odpowiedzenie na wiadomość SMS albo rozmowę telefoniczną.
Aby uprościć proces dołączania użytkownika i zarejestrować się do zarówno uwierzytelniania multiskładnikowego, jak i samoobsługowego resetowania hasła (SSPR), zalecamy włączenie rejestracji łączonej informacji zabezpieczających. Aby zapewnić odporność, zalecamy, aby użytkownicy musieli zarejestrować wiele metod uwierzytelniania. Jeśli jedna metoda nie jest dostępna dla użytkownika podczas logowania lub samoobsługowego resetowania hasła, może zdecydować się na uwierzytelnianie za pomocą innej metody. Aby uzyskać więcej informacji, zobacz Tworzenie odpornej strategii zarządzania kontrolą dostępu w usłudze Microsoft Entra ID.
Jak działa każda metoda uwierzytelniania
Niektóre metody uwierzytelniania mogą być używane jako podstawowy czynnik podczas logowania się do aplikacji lub urządzenia, na przykład przy użyciu klucza zabezpieczeń FIDO2 lub hasła. Inne metody uwierzytelniania są dostępne tylko jako czynnik pomocniczy, gdy używasz uwierzytelniania wieloskładnikowego firmy Microsoft lub samoobsługowego resetowania hasła.
W poniższej tabeli przedstawiono, kiedy można użyć metody uwierzytelniania podczas zdarzenia logowania:
| Metoda | Uwierzytelnianie podstawowe | Uwierzytelnianie pomocnicze |
|---|---|---|
| Windows Hello dla firm | Tak | Uwierzytelnianie wieloetapowe1 |
| Powiadomienie push Microsoft Authenticator | Nie. | Uwierzytelnianie wieloskładnikowe i samoobsługowe resetowanie hasła (Self-Service Password Reset) |
| Microsoft Authenticator bez haseł | Tak | Nr2 |
| Klucz dostępu aplikacji Microsoft Authenticator | Tak | Uwierzytelnianie wieloskładnikowe |
| Authenticator Lite | Nie. | Uwierzytelnianie wieloskładnikowe |
| Klucz dostępu (FIDO2) | Tak | Uwierzytelnianie wieloskładnikowe |
| Uwierzytelnianie oparte na certyfikatach (CBA) | Tak | Uwierzytelnianie wieloskładnikowe |
| Sprzętowe tokeny OATH (wersja zapoznawcza) | Nie. | Uwierzytelnianie wieloskładnikowe i samoobsługowe resetowanie hasła (Self-Service Password Reset) |
| Tokeny OATH w oprogramowaniu | Nie. | Uwierzytelnianie wieloskładnikowe i samoobsługowe resetowanie hasła (Self-Service Password Reset) |
| Metody uwierzytelniania zewnętrznego (wersja zapoznawcza) | Nie. | Uwierzytelnianie wieloskładnikowe |
| Tymczasowa przepustka dostępu (TAP) | Tak | Uwierzytelnianie wieloskładnikowe |
| Tekst | Tak | Uwierzytelnianie wieloskładnikowe i samoobsługowe resetowanie hasła (Self-Service Password Reset) |
| Połączenie głosowe | Nie. | Uwierzytelnianie wieloskładnikowe i samoobsługowe resetowanie hasła (Self-Service Password Reset) |
| Kod QR (wersja zapoznawcza) | Tak | Nie. |
| Hasło | Tak | Nie. |
1Windows Hello dla Firm może służyć jako poświadczenie wzmacniające uwierzytelnianie wieloskładnikowe, jeśli jest używane w uwierzytelnianiu FIDO2. Użytkownicy muszą być zarejestrowani pod kątem klucza dostępu (FIDO2).
2logowanie bez hasła może służyć do uwierzytelniania pomocniczego tylko wtedy, gdy CBA jest używana do uwierzytelniania podstawowego.
3Metody uwierzytelniania telefonicznego mogą być używane wyłącznie w przypadku uwierzytelniania wieloskładnikowego.
Wszystkie te metody uwierzytelniania można skonfigurować w centrum administracyjnym firmy Microsoft Entra i coraz częściej korzystać z interfejsu API REST programu Microsoft Graph.
Aby dowiedzieć się więcej o tym, jak działa każda metoda uwierzytelniania, zobacz następujące oddzielne artykuły koncepcyjne:
Logowanie za pomocą krótkiej wiadomości tekstowej (SMS) i weryfikacja
Hasło
Uwaga
W usłudze Microsoft Entra ID hasło jest często jedną z podstawowych metod uwierzytelniania. Nie można wyłączyć metody uwierzytelniania haseł. Jeśli używasz hasła jako podstawowego czynnika uwierzytelniania, zwiększ bezpieczeństwo zdarzeń logowania przy użyciu uwierzytelniania wieloskładnikowego firmy Microsoft.
Te inne metody weryfikacji mogą być używane w niektórych scenariuszach:
- Hasła aplikacji — używane w przypadku starych aplikacji, które nie obsługują nowoczesnego uwierzytelniania i można je skonfigurować do uwierzytelniania wieloskładnikowego firmy Microsoft dla poszczególnych użytkowników.
- Pytania zabezpieczające — używane tylko w przypadku samoobsługowego resetowania hasła
- Adres e-mail — używany tylko do samodzielnego resetowania hasła
Metody użyteczne i niezdatne do użycia
Administratorzy mogą wyświetlać metody uwierzytelniania użytkowników w centrum administracyjnym firmy Microsoft Entra. Metody do użycia są wymienione jako pierwsze, a następnie metody niezdatne do użycia.
Każda metoda uwierzytelniania może stać się bezużyteczna z różnych powodów. Na przykład dostęp tymczasowy może wygaśnieć lub zaświadczanie klucza zabezpieczeń FIDO2 może zakończyć się niepowodzeniem. Portal zostanie zaktualizowany, aby podać przyczynę braku użycia metody.
Metody uwierzytelniania, które nie są już dostępne ze względu na wymaganie ponownego zarejestrowania uwierzytelniania wieloskładnikowego, są również wyświetlane tutaj.
Powiązana zawartość
Aby rozpocząć, zobacz samouczek dotyczący samoobsługowego resetowania hasła (SSPR) i uwierzytelniania wieloskładnikowego firmy Microsoft Entra.
Aby dowiedzieć się więcej na temat pojęć związanych z samoobsługowym resetowaniem hasła, zobacz Jak działa samoobsługowe resetowanie haseł firmy Microsoft.
Aby dowiedzieć się więcej na temat pojęć dotyczących uwierzytelniania wieloskładnikowego, zobacz Jak działa uwierzytelnianie wieloskładnikowe firmy Microsoft.
Dowiedz się więcej na temat konfigurowania metod uwierzytelniania przy użyciu interfejsu API REST programu Microsoft Graph.
Aby sprawdzić, jakie metody uwierzytelniania są używane, zobacz Microsoft Entra multifactor authentication method analysis with PowerShell (Analiza metod uwierzytelniania wieloskładnikowego firmy Microsoft przy użyciu programu PowerShell).