Udostępnij za pośrednictwem


Zarządzanie metodami uwierzytelniania dla identyfikatora Entra firmy Microsoft

Microsoft Entra ID umożliwia korzystanie z wielu metod uwierzytelniania do obsługi wielu różnych scenariuszy logowania. Administratorzy mogą w szczególności skonfigurować każdą metodę, aby spełnić swoje cele dotyczące środowiska użytkownika i zabezpieczeń. W tym temacie wyjaśniono, jak zarządzać metodami uwierzytelniania dla identyfikatora Entra firmy Microsoft oraz jak opcje konfiguracji wpływają na scenariusze logowania użytkownika i resetowania hasła.

Zasady metod uwierzytelniania

Zasady metody uwierzytelniania to zalecany sposób zarządzania metodami uwierzytelniania, w tym nowoczesnymi metodami, takimi jak uwierzytelnianie bez hasła. Administratorzy zasad uwierzytelniania mogą edytować te zasady, aby włączyć metody uwierzytelniania dla wszystkich użytkowników lub określonych grup.

Metody włączone w zasadach metod uwierzytelniania mogą być zwykle używane w dowolnym miejscu w usłudze Microsoft Entra ID, zarówno w scenariuszach uwierzytelniania, jak i resetowania hasła. Wyjątkiem jest to, że niektóre metody są z natury ograniczone do użycia w uwierzytelnianiu, takich jak FIDO2 i Windows Hello dla firm, a inne są ograniczone do użycia w resetowaniu haseł, takich jak pytania zabezpieczające. Aby uzyskać większą kontrolę nad tym, które metody można używać w danym scenariuszu uwierzytelniania, rozważ użycie funkcji Siły uwierzytelniania.

Większość metod ma również parametry konfiguracji, aby dokładniej kontrolować sposób użycia tej metody. Jeśli na przykład włączysz połączenia głosowe, możesz również określić, czy telefon biurowy może być używany oprócz telefonu komórkowego.

Załóżmy też, że chcesz włączyć uwierzytelnianie bez hasła za pomocą aplikacji Microsoft Authenticator. Możesz ustawić dodatkowe parametry, takie jak wyświetlanie lokalizacji logowania użytkownika lub nazwa zalogowanej aplikacji. Te opcje zapewniają więcej kontekstu dla użytkowników podczas logowania i pomagają zapobiec przypadkowym zatwierdzeniom uwierzytelniania wieloskładnikowego.

Aby zarządzać zasadami metod uwierzytelniania, zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej administrator zasad uwierzytelniania i przejdź do pozycji Zasady metod>uwierzytelniania ochrony.>

Zrzut ekranu przedstawiający zasady metod uwierzytelniania.

Tylko środowisko rejestracji zbieżnej jest świadome zasad metod uwierzytelniania. Użytkownicy w zakresie zasad metod uwierzytelniania, ale nie środowisko rejestracji zbieżnej nie będzie widzieć poprawnych metod rejestrowania.

Starsze zasady uwierzytelniania wieloskładnikowego i samoobsługowego resetowania hasła

Dwie inne zasady, znajdujące się w ustawieniach uwierzytelniania wieloskładnikowego i ustawienia resetowania hasła, zapewniają starszy sposób zarządzania niektórymi metodami uwierzytelniania dla wszystkich użytkowników w dzierżawie. Nie można kontrolować, kto używa włączonej metody uwierzytelniania lub jak można użyć metody. Administrator globalny musi zarządzać tymi zasadami.

Ważne

W marcu 2023 r. ogłosiliśmy wycofanie metod zarządzania metodami uwierzytelniania w starszych zasadach uwierzytelniania wieloskładnikowego i samoobsługowego resetowania haseł(SSPR). Od 30 września 2025 r. metody uwierzytelniania nie mogą być zarządzane w tych starszych zasadach uwierzytelniania wieloskładnikowego i samoobsługowego resetowania hasła. Zalecamy klientom użycie ręcznej kontroli migracji w celu przeprowadzenia migracji do zasad metod uwierzytelniania według daty wycofania.

Aby zarządzać starszymi zasadami uwierzytelniania wieloskładnikowego, wybierz pozycję Zabezpieczenia>uwierzytelniania wieloskładnikowego Dodatkowe ustawienia uwierzytelniania>wieloskładnikowego opartego na chmurze.

Zrzut ekranu przedstawiający ustawienia usługi MFA.

Aby zarządzać metodami uwierzytelniania na potrzeby samoobsługowego resetowania hasła (SSPR), kliknij pozycję Metody uwierzytelniania resetowania>hasła. Opcja Telefon komórkowy w tych zasadach umożliwia wysyłanie połączeń głosowych lub wiadomości SMS na telefon komórkowy. Opcja Telefon pakietu Office umożliwia tylko połączenia głosowe.

Zrzut ekranu przedstawiający ustawienia resetowania hasła.

Jak działają razem zasady

Ustawienia nie są synchronizowane między zasadami, co umożliwia administratorom niezależne zarządzanie poszczególnymi zasadami. Identyfikator Entra firmy Microsoft uwzględnia ustawienia we wszystkich zasadach, dzięki czemu użytkownik, który jest włączony dla metody uwierzytelniania w dowolnych zasadach, może zarejestrować tę metodę i użyć jej. Aby uniemożliwić użytkownikom korzystanie z metody, należy ją wyłączyć we wszystkich zasadach.

Przyjrzyjmy się przykładowi, w którym użytkownik należący do grupy Księgowość chce zarejestrować aplikację Microsoft Authenticator. Proces rejestracji najpierw sprawdza zasady Metody uwierzytelniania. Jeśli grupa Księgowość jest włączona dla aplikacji Microsoft Authenticator, użytkownik może go zarejestrować.

Jeśli tak nie jest, proces rejestracji sprawdza starsze zasady uwierzytelniania wieloskładnikowego. W tych zasadach każdy użytkownik może zarejestrować aplikację Microsoft Authenticator, jeśli jedno z tych ustawień jest włączone dla uwierzytelniania wieloskładnikowego:

  • Powiadomienie za pośrednictwem aplikacji mobilnej
  • Kod weryfikacyjny z aplikacji mobilnej lub tokenu sprzętowego

Jeśli użytkownik nie może zarejestrować aplikacji Microsoft Authenticator na podstawie jednej z tych zasad, proces rejestracji sprawdza starsze zasady samoobsługowego resetowania hasła. W tych zasadach użytkownik może również zarejestrować aplikację Microsoft Authenticator, jeśli użytkownik jest włączony na potrzeby samoobsługowego resetowania hasła i którekolwiek z tych ustawień są włączone:

  • Powiadomienie aplikacji mobilnej
  • Kod aplikacji mobilnej

W przypadku użytkowników, którzy są włączeni dla telefonu komórkowego dla samoobsługowego resetowania hasła, niezależna kontrola między zasadami może mieć wpływ na zachowanie logowania. Jeśli inne zasady mają oddzielne opcje dla wiadomości SMS i połączeń głosowych, telefon komórkowy dla samoobsługowego resetowania hasła umożliwia obie opcje. W rezultacie każdy, kto korzysta z telefonu komórkowego na potrzeby samoobsługowego resetowania hasła, może również używać połączeń głosowych na potrzeby resetowania hasła, nawet jeśli inne zasady nie zezwalają na połączenia głosowe.

Podobnie załóżmy, że włączysz wywołania głosowe dla grupy. Po jej włączeniu można stwierdzić, że nawet użytkownicy, którzy nie są członkami grupy, mogą logować się za pomocą połączenia głosowego. W takim przypadku prawdopodobnie ci użytkownicy są włączeni dla telefonu komórkowego w starszych zasadach samoobsługowego resetowania hasła lub Zadzwoń na telefon w starszych zasadach uwierzytelniania wieloskładnikowego.

Migracja między zasadami

Zasady metody uwierzytelniania zapewniają ścieżkę migracji do ujednoliconego administrowania wszystkimi metodami uwierzytelniania. Wszystkie żądane metody można włączyć w zasadach Metod uwierzytelniania, zakładając, że zostały zdefiniowane grupy użytkowników wymagane dla każdej zasady metody uwierzytelniania (chyba że dotyczy wszystkich użytkowników). Po działaniu zarządzania grupami użytkowników można wyłączyć metody w starszych zasadach uwierzytelniania wieloskładnikowego i samoobsługowego resetowania hasła. Migracja ma trzy ustawienia umożliwiające przejście we własnym tempie i uniknięcie problemów z logowaniem lub samoobsługowym resetowaniem hasła podczas przejścia. Po zakończeniu migracji będziesz centralizować kontrolę nad metodami uwierzytelniania zarówno dla logowania, jak i samoobsługowego resetowania hasła w jednym miejscu, a starsze zasady uwierzytelniania wieloskładnikowego i samoobsługowego resetowania hasła zostaną wyłączone.

Uwaga

Pytania zabezpieczające można obecnie włączyć tylko przy użyciu starszych zasad samoobsługowego resetowania hasła (SSPR). W przyszłości zostaną one udostępnione w zasadach metod uwierzytelniania. Jeśli korzystasz z pytań zabezpieczających i nie chcesz ich wyłączać, zapewnij, aby były one włączone w starszych zasadach SSPR, dopóki nowy sterownik nie będzie dostępny w przyszłości. Możesz migrować pozostałe metody uwierzytelniania i nadal zarządzać pytaniami zabezpieczającymi w starszych zasadach SSPR.

Aby wyświetlić opcje migracji, otwórz zasady Metody uwierzytelniania i kliknij pozycję Zarządzaj migracją.

Zrzut ekranu przedstawiający opcje migracji.

W tabeli poniżej opisano wszystkie opcje.

Opcja Opis
Przed migracją Zasady metod uwierzytelniania są używane tylko do uwierzytelniania.
Przestrzegane są starsze ustawienia zasad.
Migracja w toku Zasady metod uwierzytelniania są używane do uwierzytelniania i samoobsługowego resetowania hasła.
Przestrzegane są starsze ustawienia zasad.
Migracja zakończona Tylko zasady metod uwierzytelniania są używane do uwierzytelniania i samoobsługowego resetowania hasła.
Starsze ustawienia zasad są ignorowane.

Dzierżawy są domyślnie ustawione na wartość Przed migracją lub Migracja w toku w zależności od bieżącego stanu dzierżawy. Jeśli rozpoczniesz migrację przed migracją, możesz przejść do dowolnego ze stanów w dowolnym momencie. Jeśli rozpoczęto migrację w toku, możesz przejść między migracją w toku a programem Microsoft Complete w dowolnym momencie, ale nie będzie można przejść do przed migracją. Jeśli przejdziesz do pozycji Migracja zakończona, a następnie wybierzesz wycofanie się do wcześniejszego stanu, zapytamy, dlaczego możemy ocenić wydajność produktu.

Zrzut ekranu przedstawiający przyczyny wycofania.

Uwaga

Po pełnej migracji wszystkich metod uwierzytelniania następujące elementy starszych zasad samoobsługowego resetowania hasła pozostają aktywne:

  • Liczba metod wymaganych do zresetowania kontroli: administratorzy mogą nadal zmieniać liczbę metod uwierzytelniania, które należy zweryfikować, zanim użytkownik będzie mógł wykonać samoobsługowe resetowanie hasła.
  • Zasady administratora samoobsługowego resetowania hasła: administratorzy mogą nadal rejestrować i używać dowolnych metod wymienionych w starszych zasadach administratora samoobsługowego resetowania hasła lub metodach, które są włączone do użycia w zasadach Metod uwierzytelniania.

W przyszłości obie te funkcje zostaną zintegrowane z zasadami metod uwierzytelniania.

Znane problemy i ograniczenia

  • W ostatnich aktualizacjach usunęliśmy możliwość kierowania poszczególnych użytkowników. Wcześniej docelowi użytkownicy pozostaną w zasadach, ale zalecamy przeniesienie ich do grupy docelowej.
  • Rejestracja metody uwierzytelniania może zakończyć się niepowodzeniem, jeśli wiele grup jest uwzględnionych w zasadach metod uwierzytelniania lub kampanii rejestracji. Zalecamy skonsolidowanie wielu grup w jedną grupę dla każdej metody uwierzytelniania. Aby zachować rejestrację użytkowników podczas konsolidacji, dodaj nową grupę i usuń bieżące grupy w tej samej operacji.

Następne kroki