Udostępnij za pośrednictwem

Jak uruchomić kampanię rejestracji w celu skonfigurowania aplikacji Microsoft Authenticator

  • Artykuł

Podczas logowania można nachylić użytkowników w celu skonfigurowania aplikacji Microsoft Authenticator. Użytkownicy przechodzą przez zwykłe logowanie, wykonują uwierzytelnianie wieloskładnikowe jak zwykle, a następnie otrzymują monit o skonfigurowanie aplikacji Microsoft Authenticator. Możesz uwzględnić lub wykluczyć użytkowników lub grupy, aby kontrolować, kto zostanie posunięty do skonfigurowania aplikacji. Umożliwia to ukierunkowanym kampaniom przenoszenie użytkowników z mniej bezpiecznych metod uwierzytelniania do aplikacji Authenticator.

Możesz również zdefiniować, ile dni użytkownik może odroczyć lub "odłożenie", posunięcie. Jeśli użytkownik naciśnie pozycję Pomiń na razie , aby odłożyć konfigurację aplikacji, zostanie on ponownie posunięty do następnej próby uwierzytelniania wieloskładnikowego po upływie czasu trwania odłożenia. Możesz zdecydować, czy użytkownik może odsunąć na czas nieokreślony, czy maksymalnie trzy razy (po której wymagane jest zarejestrowanie).

Uwaga

Gdy użytkownicy przechodzą przez regularne logowanie, zasady dostępu warunkowego, które zarządzają rejestracją informacji zabezpieczających mają zastosowanie przed wyświetleniem monitu o skonfigurowanie aplikacji Authenticator. Jeśli na przykład zasady dostępu warunkowego wymagają aktualizacji informacji zabezpieczających mogą wystąpić tylko w sieci wewnętrznej, użytkownicy nie będą monitowani o skonfigurowanie aplikacji Authenticator, chyba że znajdują się w sieci wewnętrznej.

Wymagania wstępne

  • Twoja organizacja musi włączyć uwierzytelnianie wieloskładnikowe firmy Microsoft. Każda wersja identyfikatora Entra firmy Microsoft obejmuje uwierzytelnianie wieloskładnikowe firmy Microsoft. Do kampanii rejestracji nie jest wymagana żadna inna licencja.
  • Użytkownicy nie mogą już skonfigurować aplikacji Authenticator na potrzeby powiadomień wypychanych na swoim koncie.
  • Administratorzy muszą włączyć użytkowników aplikacji Authenticator przy użyciu jednej z następujących zasad:
    • Zasady rejestracji uwierzytelniania wieloskładnikowego: użytkownicy muszą być włączeni dla powiadomień za pośrednictwem aplikacji mobilnej.
    • Zasady metod uwierzytelniania: użytkownicy muszą być włączeni dla aplikacji Authenticator i tryb uwierzytelniania ustawiony na Dowolne lub Wypychane. Jeśli zasady są ustawione na Wartość Bez hasła, użytkownik nie będzie kwalifikował się do posuwu. Aby uzyskać więcej informacji na temat ustawiania trybu uwierzytelniania, zobacz Włączanie logowania bez hasła w aplikacji Microsoft Authenticator.

Środowisko użytkownika

  1. Najpierw należy pomyślnie uwierzytelnić się przy użyciu uwierzytelniania wieloskładnikowego firmy Microsoft (MFA).

  2. Jeśli włączono powiadomienia wypychane aplikacji Authenticator i nie masz jeszcze skonfigurowanej aplikacji , zostanie wyświetlony monit o skonfigurowanie aplikacji Authenticator w celu ulepszenia środowiska logowania.

    Uwaga

    Inne funkcje zabezpieczeń, takie jak hasło bez hasła, samoobsługowe resetowanie hasła lub ustawienia domyślne zabezpieczeń, mogą również monitować o konfigurację.

    Zrzut ekranu przedstawiający uwierzytelnianie wieloskładnikowe.

  3. Naciśnij pozycję Dalej i przejdź do konfiguracji aplikacji Authenticator.

  4. Najpierw pobierz aplikację.

    Zrzut ekranu przedstawiający pobieranie aplikacji Microsoft Authenticator.

    1. Zobacz, jak skonfigurować aplikację Authenticator.

      Zrzut ekranu aplikacji Microsoft Authenticator.

    2. Skanuj kod QR.

      Zrzut ekranu przedstawiający kod QR.

    3. Zweryfikuj tożsamość.

      Zrzut ekranu przedstawiający ekran Weryfikowanie tożsamości.

    4. Zatwierdź powiadomienie testowe na urządzeniu.

      Zrzut ekranu przedstawiający powiadomienie testowe.

    5. Aplikacja Authenticator została pomyślnie skonfigurowana.

      Zrzut ekranu przedstawiający ukończoną instalację.

  5. Jeśli nie chcesz instalować aplikacji Authenticator, możesz nacisnąć pozycję Pomiń na razie , aby odłożyć monit przez maksymalnie 14 dni, co może zostać ustawione przez administratora. Użytkownicy z subskrypcjami bezpłatnej i próbnej mogą odłożyć monit do trzech razy.

    Zrzut ekranu przedstawiający opcję odłożenia.

Włączanie zasad kampanii rejestracji przy użyciu centrum administracyjnego firmy Microsoft Entra

Aby włączyć kampanię rejestracji w centrum administracyjnym firmy Microsoft Entra, wykonaj następujące kroki:

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator zasad uwierzytelniania.

  2. Przejdź do pozycji Ochrona>metody>uwierzytelniania Kampanii rejestracji i kliknij przycisk Edytuj.

  3. Dla stanu:

    • Wybierz pozycję Włączone, aby włączyć kampanię rejestracji dla wszystkich użytkowników.
    • Wybierz pozycję Firma Microsoft zarządzana , aby włączyć kampanię rejestracji tylko dla użytkowników połączeń głosowych lub wiadomości SMS. Ustawienie zarządzane przez firmę Microsoft umożliwia firmie Microsoft ustawienie wartości domyślnej. Aby uzyskać więcej informacji, zobacz Ochrona metod uwierzytelniania w usłudze Microsoft Entra ID.

    Jeśli stan kampanii rejestracji jest ustawiony na Włączone lub Zarządzane przez firmę Microsoft, możesz skonfigurować środowisko dla użytkowników końcowych przy użyciu ograniczonej liczby snoozes:

    • Jeśli włączono ograniczoną liczbę snoozes , użytkownicy mogą pominąć monit o przerwanie 3 razy, po czym są zmuszeni do zarejestrowania aplikacji Authenticator.
    • Jeśli ograniczona liczba snoozes jest wyłączona, użytkownicy mogą snoozeć nieograniczoną liczbę razy i uniknąć rejestracji Authenticator.

    Dni dozwolone do snooze ustawia okres między dwoma kolejnymi monitami przerwania. Jeśli na przykład ustawiono wartość 3 dni, użytkownicy, którzy pominąli rejestrację, nie będą monitowani ponownie do 3 dni.

    Zrzut ekranu przedstawiający włączanie kampanii rejestracji.

  4. Wybierz wszystkich użytkowników lub grupy do wykluczenia z kampanii rejestracji, a następnie kliknij przycisk Zapisz.

Włączanie zasad kampanii rejestracji przy użyciu Eksploratora programu Graph

Oprócz korzystania z centrum administracyjnego firmy Microsoft Entra można również włączyć zasady kampanii rejestracji przy użyciu Eksploratora programu Graph. Aby włączyć zasady kampanii rejestracji, należy użyć zasad metod uwierzytelniania przy użyciu interfejsów API programu Graph. Ci, którym przypisano co najmniej rolę administratora zasad uwierzytelniania, mogą zaktualizować zasady.

Aby skonfigurować zasady przy użyciu Eksploratora programu Graph:

  1. Zaloguj się do Eksploratora programu Graph i upewnij się, że masz zgodę na uprawnienia Policy.Read.All i Policy.ReadWrite.AuthenticationMethod .

    Aby otworzyć panel Uprawnienia:

    Zrzut ekranu przedstawiający Eksploratora programu Graph.

  2. Pobierz zasady metody uwierzytelniania:

    GET https://graph.microsoft.com/v1.0/policies/authenticationmethodspolicy

  3. Zaktualizuj sekcję registrationEnforcement i authenticationMethodsRegistrationCampaign zasad, aby włączyć posuw dla użytkownika lub grupy.

    Zrzut ekranu przedstawiający odpowiedź interfejsu API.

    Aby zaktualizować zasady, wykonaj poprawkę w zasadach metod uwierzytelniania tylko przy użyciu zaktualizowanej sekcji registrationEnforcement:

    PATCH https://graph.microsoft.com/v1.0/policies/authenticationmethodspolicy

W poniższej tabeli wymieniono właściwości authenticationMethodsRegistrationCampaign .

Nazwisko Możliwe wartości opis
snoozeDurationInDays Zakres: 0–14 Definiuje liczbę dni, po których użytkownik zostanie ponownie posunięty.
Jeśli wartość to 0, użytkownik jest posunięty podczas każdej próby uwierzytelniania wieloskładnikowego.
Ustawienie domyślne: 1 dzień
enforceRegistrationAfterAllowedSnoozes „prawda”
„false”		 Określa, czy użytkownik jest wymagany do wykonania konfiguracji po 3 snoozes.
Jeśli wartość true, użytkownik jest wymagany do zarejestrowania.
Jeśli fałsz, użytkownik może odłożenie na czas nieokreślony.
Domyślnie: true.
stan "włączone"
"wyłączone"
"wartość domyślna"		 Umożliwia włączenie lub wyłączenie funkcji.
Wartość domyślna jest używana, gdy konfiguracja nie została jawnie ustawiona i będzie używać wartości domyślnej identyfikatora Entra firmy Microsoft dla tego ustawienia. Domyślny stan jest włączony dla użytkowników połączeń głosowych i wiadomości SMS we wszystkich dzierżawach.
Zmień stan na włączony (dla wszystkich użytkowników) lub wyłączony zgodnie z potrzebami.
excludeTargets Nie dotyczy Umożliwia wykluczenie różnych użytkowników i grup, których chcesz pominąć z funkcji. Jeśli użytkownik znajduje się w grupie wykluczonej i dołączonej grupie, użytkownik zostanie wykluczony z funkcji.
includeTargets Nie dotyczy Umożliwia dołączenie różnych użytkowników i grup, dla których ma być przeznaczona funkcja.

Poniższa tabela zawiera właściwościTargets .

Nazwisko Możliwe wartości opis
targetType "użytkownik"
"group"		 Rodzaj jednostki docelowej.
ID Identyfikator guid Identyfikator użytkownika lub grupy docelowej.
targetedAuthenticationMethod "microsoftAuthenticator" Użytkownik metody uwierzytelniania jest monitowany o zarejestrowanie. Jedyną dozwoloną wartością jest "microsoftAuthenticator".

W poniższej tabeli wymieniono właściwości excludeTargets .

Nazwisko Możliwe wartości opis
targetType "użytkownik"
"group"		 Rodzaj jednostki docelowej.
ID Ciąg Identyfikator użytkownika lub grupy docelowej.

Przykłady

Oto kilka przykładowych nazw JSON, których można użyć do rozpoczęcia pracy.

  • Uwzględnij wszystkich użytkowników

    Jeśli chcesz uwzględnić wszystkich użytkowników w dzierżawie, zaktualizuj poniższy przykład JSON przy użyciu odpowiednich identyfikatorów GUID użytkowników i grup. Następnie wklej go w Eksploratorze programu Graph i uruchom polecenie PATCH w punkcie końcowym.

    {
"registrationEnforcement": {
        "authenticationMethodsRegistrationCampaign": {
            "snoozeDurationInDays": 1,
            "enforceRegistrationAfterAllowedSnoozes": true,
            "state": "enabled",
            "excludeTargets": [],
            "includeTargets": [
                {
                    "id": "all_users",
                    "targetType": "group",
                    "targetedAuthenticationMethod": "microsoftAuthenticator"
                }
            ]
        }
    }
}

  • Uwzględnij określonych użytkowników lub grupy użytkowników

    Jeśli chcesz uwzględnić niektórych użytkowników lub grupy w dzierżawie, zaktualizuj poniższy przykład JSON przy użyciu odpowiednich identyfikatorów GUID użytkowników i grup. Następnie wklej kod JSON w Eksploratorze programu Graph i uruchom polecenie PATCH w punkcie końcowym.

    {
"registrationEnforcement": {
      "authenticationMethodsRegistrationCampaign": {
          "snoozeDurationInDays": 1,
          "enforceRegistrationAfterAllowedSnoozes": true,
          "state": "enabled",
          "excludeTargets": [],
          "includeTargets": [
              {
                  "id": "*********PLEASE ENTER GUID***********",
                  "targetType": "group",
                  "targetedAuthenticationMethod": "microsoftAuthenticator"
              },
              {
                  "id": "*********PLEASE ENTER GUID***********",
                  "targetType": "user",
                  "targetedAuthenticationMethod": "microsoftAuthenticator"
              }
          ]
      }
  }
}

  • Dołączanie i wykluczanie określonych użytkowników lub grup

    Jeśli chcesz uwzględnić i wykluczyć niektórych użytkowników lub grup w dzierżawie, zaktualizuj poniższy przykład JSON przy użyciu odpowiednich identyfikatorów GUID użytkowników i grup. Następnie wklej go w Eksploratorze programu Graph i uruchom polecenie PATCH w punkcie końcowym.

    {
"registrationEnforcement": {
        "authenticationMethodsRegistrationCampaign": {
            "snoozeDurationInDays": 1,
            "enforceRegistrationAfterAllowedSnoozes": true,
            "state": "enabled",
            "excludeTargets": [
                {
                    "id": "*********PLEASE ENTER GUID***********",
                    "targetType": "group"
                },
              {
                    "id": "*********PLEASE ENTER GUID***********",
                    "targetType": "user"
                }
            ],
            "includeTargets": [
                {
                    "id": "*********PLEASE ENTER GUID***********",
                    "targetType": "group",
                    "targetedAuthenticationMethod": "microsoftAuthenticator"
                },
                {
                    "id": "*********PLEASE ENTER GUID***********",
                    "targetType": "user",
                    "targetedAuthenticationMethod": "microsoftAuthenticator"
                }
            ]
        }
    }
}

Identyfikowanie identyfikatorów GUID użytkowników do wstawiania w sieci JSON

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator zasad uwierzytelniania.

  2. W bloku Zarządzanie naciśnij pozycję Użytkownicy.

  3. Na stronie Użytkownicy zidentyfikuj określonego użytkownika, którego chcesz kierować.

  4. Po naciśnięciu określonego użytkownika zobaczysz identyfikator obiektu, który jest identyfikatorem GUID użytkownika.

    Identyfikator obiektu użytkownika

Identyfikowanie identyfikatorów GUID grup do wstawiania w sieci JSON

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator zasad uwierzytelniania.

  2. W bloku Zarządzanie naciśnij pozycję Grupy.

  3. Na stronie Grupy zidentyfikuj określoną grupę, której chcesz kierować.

  4. Naciśnij grupę i pobierz identyfikator obiektu.

    Grupa posuń

Ograniczenia

Posuń nie będzie wyświetlana na urządzeniach przenośnych z systemem Android lub iOS.

Często zadawane pytania

Czy kampania rejestracji jest dostępna dla serwera MFA?

Nie, kampania rejestracji jest dostępna tylko dla użytkowników korzystających z uwierzytelniania wieloskładnikowego firmy Microsoft.

Czy użytkownicy mogą być posunięni w aplikacji?

Tak, obsługujemy widoki przeglądarki osadzonej w niektórych aplikacjach. Nie posuniemy użytkowników w środowiskach wbudowanych ani w widokach przeglądarki osadzonych w ustawieniach systemu Windows.

Czy użytkownicy mogą być nagoni na urządzeniu przenośnym?

Kampania rejestracji nie jest dostępna na urządzeniach przenośnych.

Jak długo trwa kampania?

Możesz włączyć kampanię tak długo, jak chcesz. Za każdym razem, gdy chcesz uruchomić kampanię, użyj centrum administracyjnego lub interfejsów API, aby wyłączyć kampanię.

Czy każda grupa użytkowników może mieć inny czas trwania odłożenia?

L.p. Czas trwania odłożenia monitu jest ustawieniem obejmującym całą dzierżawę i dotyczy wszystkich grup w zakresie.

Czy użytkownicy mogą być nagoni w celu skonfigurowania logowania za pomocą telefonu bez hasła?

Funkcja ma na celu umożliwienie administratorom konfigurowania użytkowników za pomocą uwierzytelniania wieloskładnikowego przy użyciu aplikacji Authenticator, a nie logowania za pomocą telefonu bez hasła.

Czy użytkownik, który loguje się za pomocą aplikacji uwierzytelniania innej firmy, zobaczy posuń?

Tak. Jeśli użytkownik jest włączony na potrzeby kampanii rejestracji i nie ma skonfigurowanej aplikacji Microsoft Authenticator na potrzeby powiadomień wypychanych, użytkownik zostanie posunięty do skonfigurowania aplikacji Authenticator.

Czy użytkownik, który skonfigurował usługę Authenticator tylko dla kodów TOTP, zobaczy posuń?

Tak. Jeśli użytkownik jest włączony dla kampanii rejestracji, a aplikacja Authenticator nie jest skonfigurowana na potrzeby powiadomień wypychanych, użytkownik zostanie posunięty do skonfigurowania powiadomień wypychanych za pomocą aplikacji Authenticator.

Jeśli użytkownik właśnie przeszedł rejestrację uwierzytelniania wieloskładnikowego, czy jest on posunięty w tej samej sesji logowania?

L.p. Aby zapewnić dobre środowisko użytkownika, użytkownicy nie będą naganiani w celu skonfigurowania aplikacji Authenticator w tej samej sesji, w której zarejestrowali inne metody uwierzytelniania.

Czy mogę nachylić moich użytkowników, aby zarejestrować inną metodę uwierzytelniania?

L.p. Funkcja ta ma na razie na celu posunąć użytkowników tylko do konfigurowania aplikacji Authenticator.

Czy istnieje sposób na ukrycie opcji odłożenia i wymuszenie na użytkownikach skonfigurowania aplikacji Authenticator?

Ustaw opcję Ograniczona liczba snoozes na wartość Włączone , aby użytkownicy mogli odroczyć konfigurację aplikacji do trzech razy, po której wymagana jest konfiguracja.

Czy będę mógł posunąć użytkowników, jeśli nie korzystam z uwierzytelniania wieloskładnikowego firmy Microsoft?

L.p. Posuń działa tylko dla użytkowników, którzy wykonują uwierzytelnianie wieloskładnikowe przy użyciu usługi uwierzytelniania wieloskładnikowego firmy Microsoft.

Czy użytkownicy gości/B2B w mojej dzierżawie będą posunięci?

Tak. Jeśli zostały one objęte zakresem posuwu przy użyciu zasad.

Co zrobić, jeśli użytkownik zamknie przeglądarkę?

Jest to takie samo, jak odsłanianie. Jeśli konfiguracja jest wymagana dla użytkownika po ich odsuniętym trzy razy, użytkownik zostanie wyświetlony monit przy następnym zalogowaniu.

Dlaczego niektórzy użytkownicy nie widzą posuń, gdy istnieją zasady dostępu warunkowego dla "Rejestrowanie informacji zabezpieczających"?

Posuń nie będzie wyświetlana, jeśli użytkownik znajduje się w zakresie zasad dostępu warunkowego, które blokują dostęp do strony Rejestrowanie informacji zabezpieczających .

Czy użytkownicy widzą posuń, gdy jest wyświetlany ekran warunków użytkowania (ToU) dla użytkownika podczas logowania?

Posuń nie będzie wyświetlana, jeśli użytkownik jest wyświetlany na ekranie warunków użytkowania (ToU) podczas logowania.

Czy użytkownicy widzą posuw, gdy niestandardowe kontrolki dostępu warunkowego mają zastosowanie do logowania?

Posuń nie będzie wyświetlana, jeśli użytkownik jest przekierowywany podczas logowania ze względu na ustawienia kontrolek niestandardowych dostępu warunkowego.

Czy istnieją plany zaprzestania uwierzytelniania wieloskładnikowego i usługi Voice jako metod uwierzytelniania wieloskładnikowego?

Nie, nie ma takich planów.

Następne kroki

Włączanie bezhasłowego logowania za pomocą aplikacji Microsoft Authenticator