Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Aby dostosować środowisko użytkownika końcowego dla uwierzytelniania wieloskładnikowego firmy Microsoft (MFA), można skonfigurować opcje raportowania podejrzanych działań. W poniższej tabeli opisano ustawienia Microsoft Entra MFA, a w podsekcjach każde ustawienie jest opisane bardziej szczegółowo.
Uwaga
Raport o podejrzanych działaniach zastępuje funkcje starszej wersji blokuj/odblokowywania użytkowników, alertów o oszustwie i powiadomień. 1 marca 2025 r. starsze funkcje zostały usunięte.
| Funkcja | opis |
|---|---|
| Zgłaszanie podejrzanych działań | Skonfiguruj ustawienia, które umożliwiają użytkownikom zgłaszanie fałszywych żądań weryfikacji. |
| Tokeny OATH | Używane w chmurowych środowiskach microsoft Entra MFA do zarządzania tokenami OATH dla użytkowników. |
| Ustawienia połączeń telefonicznych | Skonfiguruj ustawienia związane z połączeniami telefonicznymi i pozdrowieniami dla środowisk w chmurze i środowiskach lokalnych. |
| Dostawcy usługi | Spowoduje to wyświetlenie wszystkich istniejących dostawców uwierzytelniania skojarzonych z kontem. Dodawanie nowych dostawców jest wyłączone od 1 września 2018 r. |
Zgłaszanie podejrzanych działań
Po otrzymaniu nieznanego i podejrzanego monitu uwierzytelniania wieloskładnikowego użytkownicy mogą zgłaszać działania za pomocą aplikacji Microsoft Authenticator lub za pośrednictwem telefonu. Raportowanie podejrzanych działań jest zintegrowane z usługą Microsoft Entra ID Protection w celu zarządzania ryzykiem, raportowania i administracji z najniższymi uprawnieniami.
Użytkownicy, którzy zgłaszają monit uwierzytelniania wieloskładnikowego jako podejrzany, są oznaczani jako Wysokie Ryzyko Użytkownika. Administratorzy mogą używać zasad opartych na ryzyku, aby ograniczyć dostęp tych użytkowników lub włączyć samoobsługowe resetowanie haseł (SSPR) dla użytkowników w celu samodzielnego rozwiązywania problemów.
Jeśli nie masz licencji microsoft Entra ID P2 dla zasad opartych na ryzyku, możesz użyć zdarzeń wykrywania ryzyka do ręcznego identyfikowania i wyłączania użytkowników, których to dotyczy, lub konfigurowania automatyzacji przy użyciu niestandardowych przepływów pracy w programie Microsoft Graph. Aby uzyskać więcej informacji na temat badania i korygowania ryzyka związanego z użytkownikiem, zobacz:
Aby włączyć zgłaszanie podejrzanych działań z ustawień zasad metod uwierzytelniania:
- Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator zasad uwierzytelniania.
- Przejdź do Entra ID>Metody uwierzytelniania>Ustawienia.
- Ustaw opcję Zgłoś podejrzane działanie na wartość Włączone. Funkcja pozostaje wyłączona, jeśli wybierzesz opcję Zarządzana przez firmę Microsoft. Aby uzyskać więcej informacji na temat wartości zarządzanych przez firmę Microsoft, zobacz Ochrona metod uwierzytelniania w usłudze Microsoft Entra ID.
- Wybierz pozycję Wszyscy użytkownicy lub określona grupa.
- Jeśli wgrywasz również niestandardowe powitania dla swojego najemcy, wybierz kod raportowania. Kod raportowania to numer, który użytkownicy wprowadzają na telefon w celu zgłaszania podejrzanych działań. Kod raportowania ma zastosowanie tylko wtedy, gdy niestandardowe powitania są również przekazywane przez administratora zasad uwierzytelniania. W przeciwnym razie domyślny kod to 0, niezależnie od wartości określonej w zasadach.
- Kliknij przycisk Zapisz.
Zarządzanie ryzykiem dla dzierżawców przy użyciu licencji Microsoft Entra ID P1
Gdy użytkownik zgłasza monit uwierzytelniania wieloskładnikowego jako podejrzany, zdarzenie jest wyświetlane w dziennikach logowania (jako logowanie odrzucone przez użytkownika), w dziennikach inspekcji i w raporcie Wykrywanie ryzyka.
| Raport | Centrum administracyjne | Szczegóły |
|---|---|---|
| Raport dotyczący wykrywania ryzyka | Ochrona identyfikatorów>Deska rozdzielcza>Wykrywanie ryzyka | Typ wykrywania: Zgłoszona przez użytkownika podejrzana aktywność Poziom ryzyka: Wysoki Zgłoszono przez użytkownika końcowego |
| Dzienniki logowania | Entra ID>Monitorowanie i zdrowie>Dzienniki logowania>Szczegóły uwierzytelniania | Szczegóły wyników będą wyświetlane jako odmowa MFA |
| Dzienniki inspekcji | Identyfikator Entra>Monitorowanie i stan zdrowia>Dzienniki audytu | Podejrzane działanie jest wyświetlane w obszarze Typ działania |
Uwaga
Użytkownik nie jest zgłaszany jako wysoki poziom ryzyka, jeśli przeprowadza uwierzytelnianie bez hasła.
Możesz również wykonywać zapytania dotyczące wykrywania ryzyka i użytkowników oflagowanych jako ryzykownych przy użyciu programu Microsoft Graph.
| API | Szczegół |
|---|---|
| typ zasobu wykrywania ryzyka | typZdarzeniaRyzyka: userReportedSuspiciousActivity |
| Lista ryzykownych użytkowników | riskLevel = wysoki |
W przypadku ręcznego korygowania administratorzy lub pomoc techniczna mogą poprosić użytkowników o zresetowanie hasła przy użyciu samoobsługowego resetowania hasła (SSPR) lub zrobić to w ich imieniu. Aby zautomatyzować procesy naprawcze, użyj Microsoft Graph API lub programu PowerShell, aby utworzyć skrypt, który zmienia hasło użytkownika, wymusza samoobsługowe resetowanie hasła (SSPR), unieważnia sesje logowania lub tymczasowo wyłącza konto użytkownika.
Łagodzenie ryzyka dla użytkowników z licencją Microsoft Entra ID P2
Najemcy z licencją Microsoft Entra ID P2 mogą używać zasad dostępu warunkowego opartych na ryzyku do automatycznego łagodzenia ryzyka użytkownika, a także opcji oferowanych przez licencję Microsoft Entra ID P2.
Skonfiguruj zasady, które dotyczą ryzyka związanego z użytkownikiem w obszarze Warunki>Ryzyko użytkownika. Poszukaj użytkowników, dla których ryzyko = wysokie, aby zablokować im logowanie lub wymagać od nich zresetowania hasła.
Aby uzyskać więcej informacji, zobacz Zasady dostępu warunkowego opartego na ryzyku logowania.
Tokeny protokołu OATH
Identyfikator Entra firmy Microsoft obsługuje używanie tokenów SHA-1 protokołu OATH TOTP, które odświeżają kody co 30 lub 60 sekund. Możesz kupić te tokeny od wybranego dostawcy.
Tokeny sprzętowe OATH TOTP zwykle są dostarczane z kluczem tajnym lub ziarnem wstępnie zaprogramowanym w tokenie. Musisz wprowadzić te klucze do identyfikatora Entra firmy Microsoft zgodnie z opisem w poniższych krokach. Klucze tajne są ograniczone do 128 znaków, co może nie być zgodne ze wszystkimi tokenami. Klucz tajny może zawierać tylko znaki a-z lub A-Z i cyfry 1–7. Musi być zakodowany w bazie Base32.
Programowalne tokeny sprzętowe OATH TOTP, które można ponownie zainstalować, można również skonfigurować z Microsoft Entra ID w procesie konfiguracji tokenu programowego.
Tokeny sprzętowe OATH są obsługiwane w ramach publicznej wersji zapoznawczej. Aby uzyskać więcej informacji na temat wersji zapoznawczych, zobacz temat Dodatkowe warunki użytkowania dotyczące wersji zapoznawczych platformy Microsoft Azure.
Po uzyskaniu tokenów należy przekazać je w formacie pliku wartości rozdzielanych przecinkami (CSV). Dołącz nazwę UPN, numer seryjny, klucz tajny, interwał czasu, producent i model, jak pokazano w tym przykładzie:
upn,serial number,secret key,time interval,manufacturer,model
Helga@contoso.com,1234567,1234567abcdef1234567abcdef,60,Contoso,HardwareKey
Uwaga
Pamiętaj, aby uwzględnić wiersz nagłówka w pliku CSV.
- Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako administrator globalny.
- Przejdź do Entra ID>uwierzytelniania wieloskładnikowego>Tokeny OATH, i przekaż plik CSV.
W zależności od rozmiaru pliku CSV przetwarzanie może potrwać kilka minut. Wybierz pozycję Odśwież , aby uzyskać stan. Jeśli w pliku występują jakiekolwiek błędy, możesz pobrać plik CSV, który je wyświetla. Nazwy pól w pobranym pliku CSV różnią się od nazw pól w przekazanej wersji.
Po usunięciu wszelkich błędów administrator może aktywować każdy klucz, wybierając pozycję Aktywuj dla tokenu i wprowadzając protokół OTP wyświetlany w tokenie.
Użytkownicy mogą mieć kombinację maksymalnie pięciu tokenów sprzętowych OATH lub aplikacji uwierzytelnianych, takich jak aplikacja Microsoft Authenticator, skonfigurowana do użycia w dowolnym momencie.
Ważne
Pamiętaj, aby przypisać tylko każdy token do pojedynczego użytkownika. W przyszłości obsługa przypisania pojedynczego tokenu do wielu użytkowników przestanie zapobiegać zagrożeniom bezpieczeństwa.
Ustawienia połączenia telefonicznego
Jeśli użytkownicy odbierają połączenia telefoniczne z monitami uwierzytelniania wieloskładnikowego, możesz skonfigurować ich doświadczenie, takie jak identyfikator rozmówcy lub powitanie głosowe, które będzie dla nich słyszalne.
W Stanach Zjednoczonych, jeśli nie skonfigurowano identyfikatora dzwoniącego dla uwierzytelniania wieloskładnikowego, połączenia głosowe firmy Microsoft pochodzą z następujących numerów. Użytkownicy z filtrami spamu powinni wykluczyć te liczby.
Numery domyślne: +1 (855) 330-8653, +1 (855) 336-2194, +1 (855) 341-5605
W poniższej tabeli wymieniono więcej liczb dla różnych krajów/regionów.
| Kraj/region | Liczba(y) |
|---|---|
| Austria | +43 6703062076 |
| Bangladesz | +880 9604606026 |
| Chiny | +44 1235619418, +44 1235619536, +44 1235619537, +44 1235619538, +44 1235619539, +44 1235619535, +44 7897087681, +44 7897087690, +44 7897087692, +66 977832930, +86 1052026902, +86 1052026905, +86 1052026907 |
| Chorwacja | +385 15507766 |
| Ekwador | +593 964256042 |
| Estonia | +372 6712726 |
| Francja | +33 744081468 |
| Ghana | +233 308250245 |
| Grecja | +30 2119902739 |
| Gwatemala | +502 23055056 |
| Specjalny Region Administracyjny Hongkongu | +852 25716964 |
| Indie | +91 3371568300, +91 1205089400, +91 4471566601, +91 2271897557, +91 1203524400, +91 3335105700, +91 2235544120, +91 4435279600 |
| Jordania | +962 797639442 |
| Kenia | +254 709605276 |
| Holandia | +31 202490048 |
| Nigeria | +234 7080627886 |
| Pakistan | +92 4232618686, +44 7897087681, +44 7897087690, +44 7897087692, +66 977832930 |
| Polska | +48 699740036 |
| Arabia Saudyjska | +966 115122726 |
| Republika Południowej Afryki | +27 872405062 |
| Hiszpania | +34 913305144 |
| Sri Lanka | +94 117750440 |
| Szwecja | +46 701924176 |
| Tajwan | +886 277515260, +886 255686508 |
| Turcja | +90 8505404893 |
| Ukraina | +380 443332393 |
| Zjednoczone Emiraty Arabskie | +971 44015046 |
| Wietnam | +84 2039990161 |
Uwaga
Gdy połączenia uwierzytelniania wieloskładnikowego firmy Microsoft są realizowane za pośrednictwem publicznej sieci telefonicznej, czasami połączenia są kierowane przez operatora, który nie obsługuje identyfikacji rozmówcy. W związku z tym identyfikator obiektu wywołującego nie jest gwarantowany, mimo że uwierzytelnianie wieloskładnikowe firmy Microsoft zawsze go wysyła. Dotyczy to zarówno połączeń telefonicznych, jak i wiadomości SMS dostarczanych przez uwierzytelnianie wieloskładnikowe firmy Microsoft. Jeśli musisz sprawdzić, czy wiadomość SMS pochodzi z uwierzytelniania wieloskładnikowego firmy Microsoft, zobacz Jakie krótkie kody są używane do wysyłania komunikatów?.
Aby skonfigurować własny numer identyfikatora wywołującego, wykonaj następujące kroki:
- Przejdź do Entra ID>Uwierzytelnianie wieloskładnikowe>Ustawienia połączeń telefonicznych.
- Ustaw numer identyfikatora rozmówców usługi MFA na numer, który ma być widoczny dla użytkowników na swoich telefonach. Dozwolone są tylko numery pochodzące z USA.
- Wybierz pozycję Zapisz.
Uwaga
Gdy połączenia uwierzytelniania wieloskładnikowego firmy Microsoft są realizowane za pośrednictwem publicznej sieci telefonicznej, czasami połączenia są kierowane przez operatora, który nie obsługuje identyfikacji rozmówcy. W związku z tym identyfikator obiektu wywołującego nie jest gwarantowany, mimo że uwierzytelnianie wieloskładnikowe firmy Microsoft zawsze go wysyła. Dotyczy to zarówno połączeń telefonicznych, jak i wiadomości SMS dostarczanych przez uwierzytelnianie wieloskładnikowe firmy Microsoft. Jeśli musisz sprawdzić, czy wiadomość SMS pochodzi z uwierzytelniania wieloskładnikowego firmy Microsoft, zobacz Jakie krótkie kody są używane do wysyłania komunikatów?.
Niestandardowe wiadomości głosowe
Możesz użyć własnych nagrań lub powitań na potrzeby uwierzytelniania wieloskładnikowego firmy Microsoft. Te komunikaty mogą być używane oprócz domyślnych nagrań Microsoft lub je zastępować.
Przed rozpoczęciem należy pamiętać o następujących ograniczeniach:
- Obsługiwane formaty plików to .wav i .mp3.
- Limit rozmiaru pliku wynosi 1 MB.
- Komunikaty uwierzytelniania powinny być krótsze niż 20 sekund. Komunikaty, które są dłuższe niż 20 sekund, mogą spowodować niepowodzenie weryfikacji. Jeśli użytkownik nie odpowie przed zakończeniem komunikatu, upłynął limit czasu weryfikacji.
Dostosowane zachowanie języka komunikatów
Gdy niestandardowy komunikat głosowy jest odtwarzany dla użytkownika, język wiadomości zależy od następujących czynników:
- Język użytkownika.
- Język wykryty przez przeglądarkę użytkownika.
- Inne scenariusze uwierzytelniania mogą zachowywać się inaczej.
- Język wszystkich dostępnych komunikatów niestandardowych.
- Ten język jest wybierany przez administratora po dodaniu niestandardowego komunikatu.
Jeśli na przykład istnieje tylko jeden komunikat niestandardowy i jest w języku niemieckim:
- Użytkownik, który uwierzytelnia się w języku niemieckim, usłyszy niestandardowy komunikat w języku niemieckim.
- Użytkownik, który uwierzytelnia się w języku angielskim, usłyszy standardową wiadomość w języku angielskim.
Niestandardowe ustawienia domyślne wiadomości głosowej
Do utworzenia własnych niestandardowych komunikatów można użyć następujących przykładowych skryptów. Te frazy są domyślnie używane, jeśli nie konfigurujesz własnych niestandardowych komunikatów.
| Nazwa wiadomości | Skrypt |
|---|---|
| Uwierzytelnianie powiodło się | Logowanie zakończyło się pomyślnie. |
| Komunikat o rozszerzeniu | To jest firma Microsoft. Jeśli próbujesz się zalogować, naciśnij #, aby kontynuować. |
| Potwierdzenie oszustwa | Jeśli to nie Ty próbujesz się zalogować, chroń swoje konto, powiadamiając zespół IT, naciskając 1. |
| Fałszywe powitanie | To jest firma Microsoft. Jeśli próbujesz się zalogować, naciśnij #, aby zakończyć logowanie. Jeśli nie próbujesz się zalogować, naciśnij 0 i #. |
| Zgłoszone oszustwa | Powiadomiliśmy Zespół IT, że nie jest wymagana żadna dalsza akcja. Aby uzyskać pomoc, skontaktuj się z zespołem IT twojej firmy. Do widzenia. |
| Aktywacja | Dziękujemy za korzystanie z systemu weryfikacji logowania firmy Microsoft. Naciśnij # , aby zakończyć weryfikację. |
| Odmowa uwierzytelniania — ponowna próba | Przykro mi, że w tej chwili nie można cię zalogować. Spróbuj ponownie później. |
| Ponów próbę (Standardowa) | Dziękujemy za korzystanie z systemu weryfikacji logowania firmy Microsoft. Naciśnij # , aby zakończyć weryfikację. |
| Pozdrowienie (standardowe) | To jest firma Microsoft. Jeśli próbujesz się zalogować, naciśnij #, aby zakończyć logowanie. |
| Powitanie (PIN) | To jest firma Microsoft. Jeśli próbujesz się zalogować, wprowadź numer PIN, aby zakończyć logowanie. |
| Ostrzeżenie o oszustwie (PIN) | To jest firma Microsoft. Jeśli próbujesz się zalogować, wprowadź numer PIN, aby zakończyć logowanie. Jeśli nie próbujesz się zalogować, naciśnij 0 i #. |
| Spróbuj ponownie (PIN) | Dziękujemy za korzystanie z systemu weryfikacji logowania firmy Microsoft. Wprowadź numer PIN, a następnie klucz #, aby zakończyć weryfikację. |
| Podpowiedź dotycząca rozszerzenia po cyfrach | Jeśli już w tym rozszerzeniu, naciśnij #, aby kontynuować. |
| Odmowa uwierzytelniania | Przykro mi, że w tej chwili nie można cię zalogować. Spróbuj ponownie później. |
| Standardowe powitanie aktywacji | Dziękujemy za korzystanie z systemu weryfikacji logowania firmy Microsoft. Naciśnij # , aby zakończyć weryfikację. |
| Ponów próbę aktywacji (Standardowa) | Dziękujemy za korzystanie z systemu weryfikacji logowania firmy Microsoft. Naciśnij # , aby zakończyć weryfikację. |
| Komunikat aktywacyjny (numer PIN) | Dziękujemy za korzystanie z systemu weryfikacji logowania firmy Microsoft. Wprowadź numer PIN, a następnie klucz #, aby zakończyć weryfikację. |
| Monit rozszerzenia przed cyframi | Dziękujemy za korzystanie z systemu weryfikacji logowania firmy Microsoft. Przenieś to połączenie do numeru wewnętrznego {0}. |
Konfigurowanie niestandardowego komunikatu
Aby użyć własnych niestandardowych komunikatów, wykonaj następujące kroki:
- Przejdź do Entra ID>Uwierzytelnianie wieloskładnikowe>Ustawienia połączeń telefonicznych.
- Wybierz pozycję Dodaj powitanie.
- Wybierz typ powitania, na przykład Powitanie (standardowe) lub Uwierzytelnianie powiodło się.
- Wybierz Język. Zobacz poprzednią sekcję dotyczącą zachowania niestandardowego języka komunikatów.
- Wyszukaj i wybierz plik dźwiękowy .mp3 lub .wav do przekazania.
- Wybierz pozycję Dodaj , a następnie pozycję Zapisz.
Ustawienia usługi MFA
Ustawienia haseł aplikacji, zaufanych adresów IP, opcji weryfikacji i zapamiętania uwierzytelniania wieloskładnikowego na zaufanych urządzeniach są dostępne w ustawieniach usługi. Jest to starszy portal.
Dostęp do ustawień usługi można uzyskać z poziomu centrum administracyjnego firmy Microsoft Entra, przechodząc do Entra ID>, uwierzytelniania wieloskładnikowego, >, Konfiguracja, >. Zostanie otwarte okno lub karta z dodatkowymi opcjami ustawień usługi.
Zaufane adresy IP
Warunki lokalizacyjne są zalecanym sposobem konfigurowania uwierzytelniania wieloskładnikowego przy użyciu dostępu warunkowego z uwagi na obsługę protokołu IPv6 i inne ulepszenia. Aby uzyskać więcej informacji na temat warunków lokalizacji, zobacz Używanie warunku lokalizacji w zasadach dostępu warunkowego. Aby uzyskać instrukcje definiowania lokalizacji i tworzenia zasad dostępu warunkowego, zobacz Dostęp warunkowy: Blokowanie dostępu według lokalizacji.
Funkcja zaufanych adresów IP w usłudze Microsoft Entra do uwierzytelniania wieloskładnikowego również omija monity MFA dla użytkowników logujących się z określonego zakresu adresów IP. Można ustawić zaufane zakresy adresów IP dla środowisk lokalnych. Kiedy użytkownicy znajdują się w jednej z tych lokalizacji, nie wyświetla się monit o uwierzytelnienie wieloskładnikowe Microsoft Entra. Funkcja zaufanych adresów IP wymaga wersji Microsoft Entra ID P1.
Uwaga
Zaufane adresy IP mogą zawierać prywatne zakresy adresów IP tylko wtedy, gdy używasz serwera MFA. W przypadku uwierzytelniania wieloskładnikowego firmy Microsoft opartego na chmurze można używać tylko zakresów publicznych adresów IP.
Zakresy IPv6 są obsługiwane w nazwanych lokalizacjach.
Jeśli twoja organizacja używa rozszerzenia serwera NPS do udostępniania uwierzytelniania wieloskładnikowego aplikacjom lokalnym, źródłowy adres IP będzie zawsze wyświetlany jako serwer NPS, przez który próba uwierzytelniania przepływa.
| Typ dzierżawy firmy Microsoft Entra | Opcje funkcji zaufanego adresu IP |
|---|---|
| Zarządzana | Określony zakres adresów IP: Administratorzy określają zakres adresów IP, które mogą pomijać uwierzytelnianie wieloskładnikowe dla użytkowników logujących się z intranetu firmy. Można skonfigurować maksymalnie 50 zaufanych zakresów adresów IP. |
| Federacyjni |
Wszyscy użytkownicy federacyjni: wszyscy użytkownicy federacyjni, którzy logują się z wewnątrz organizacji, mogą pomijać uwierzytelnianie wieloskładnikowe. Użytkownicy pomijają weryfikacje przy użyciu oświadczenia wystawionego przez usługi Active Directory Federation Services (AD FS). Określony zakres adresów IP: Administratorzy określają zakres adresów IP, które mogą pomijać uwierzytelnianie wieloskładnikowe dla użytkowników logujących się z intranetu firmy. |
Mechanizm obejścia zaufanego adresu IP działa tylko wewnątrz intranetu firmy. Jeśli wybierzesz opcję Wszyscy użytkownicy federacyjni, a użytkownik zaloguje się spoza firmowego intranetu, użytkownik musi uwierzytelnić się przy użyciu uwierzytelniania wieloskładnikowego. Proces jest taki sam, nawet jeśli użytkownik przedstawia żądanie AD FS.
Uwaga
Jeśli zasady MFA dla każdego użytkownika i dostępu warunkowego są skonfigurowane w dzierżawie, należy dodać zaufane adresy IP do zasad dostępu warunkowego i zaktualizować ustawienia usługi MFA.
Środowisko użytkownika w sieci firmowej
Gdy funkcja zaufanych adresów IP jest wyłączona, uwierzytelnianie wieloskładnikowe jest wymagane dla przepływów przeglądarki. Hasła aplikacji są wymagane dla starszych zaawansowanych aplikacji klienckich.
Gdy są używane zaufane adresy IP, uwierzytelnianie wieloskładnikowe nie jest wymagane w przypadku przepływów przeglądarki. Hasła aplikacji nie są wymagane dla starszych zaawansowanych aplikacji klienckich, jeśli użytkownik nie utworzył hasła aplikacji. Po użyciu hasła aplikacji wymagane jest hasło.
Środowisko użytkownika poza siecią firmową
Niezależnie od tego, czy zaufane adresy IP są zdefiniowane, uwierzytelnianie wieloskładnikowe jest wymagane dla przepływów przeglądarki. Hasła aplikacji są wymagane dla starszych zaawansowanych aplikacji klienckich.
Włączanie nazwanych lokalizacji przy użyciu dostępu warunkowego
Reguły dostępu warunkowego umożliwiają definiowanie nazwanych lokalizacji, wykonując następujące kroki:
- Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej Administrator dostępu warunkowego.
- Przejdź do pozycji Entra ID>Dostęp warunkowy>Nazwane lokalizacje.
- Wybierz pozycję Nowa lokalizacja.
- Wprowadź nazwę lokalizacji.
- Wybierz pozycję Oznacz jako zaufaną lokalizację.
- Wprowadź zakres adresów IP dla środowiska w notacji CIDR. Na przykład 40.77.182.32/27.
- Wybierz pozycję Utwórz.
Włączenie funkcji zaufanych adresów IP przy użyciu dostępu warunkowego
Aby włączyć zaufane adresy IP przy użyciu zasad dostępu warunkowego, wykonaj następujące kroki:
Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej Administrator dostępu warunkowego.
Przejdź do pozycji Entra ID>Dostęp warunkowy>Nazwane lokalizacje.
Wybierz Konfiguruj zaufane adresy IP uwierzytelniania wieloskładnikowego.
Na stronie Ustawienia usługi w obszarze Zaufane adresy IP wybierz jedną z następujących opcji:
W przypadku żądań od użytkowników federacyjnych pochodzących z intranetu: aby wybrać tę opcję, zaznacz pole wyboru. Wszyscy użytkownicy federacyjni, którzy logują się z sieci firmowej, pomijają uwierzytelnianie wieloskładnikowe przy użyciu tokena wydanego przez AD FS. Upewnij się, że AD FS ma regułę dodawania oświadczenia intranetowego do odpowiedniego ruchu. Jeśli reguła nie istnieje, utwórz następującą regułę w usługach AD FS:
c:[Type== "https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork"] => issue(claim = c);Uwaga
Opcja Pomiń uwierzytelnianie wieloskładnikowe dla żądań od użytkowników federacyjnych w intranecie wpłynie na ocenę dostępu warunkowego dla lokalizacji. Każde żądanie z oświadczeniem insidecorporatenetwork będzie traktowane jako pochodzące z zaufanej lokalizacji, jeśli ta opcja jest wybrana.
W przypadku żądań z określonego zakresu publicznych adresów IP: aby wybrać tę opcję, wprowadź adresy IP w polu tekstowym w notacji CIDR.
- W przypadku adresów IP, które znajdują się w zakresie od xxx.xxx.xxx.1 do xxx.xxx.xxx.254, użyj notacji, takiej jak xxx.xxx.xxx.0/24.
- W przypadku pojedynczego adresu IP użyj notacji, takiej jak xxx.xxx.xxx.xxx/32.
- Wprowadź maksymalnie 50 zakresów adresów IP. Użytkownicy logujący się z tych adresów IP pomijają uwierzytelnianie wieloskładnikowe.
Wybierz pozycję Zapisz.
Włączenie funkcji zaufanych adresów IP przy użyciu ustawień usługi
Jeśli nie chcesz używać zasad dostępu warunkowego w celu włączenia zaufanych adresów IP, możesz skonfigurować ustawienia usługi dla uwierzytelniania wieloskładnikowego firmy Microsoft, wykonując następujące kroki:
Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator zasad uwierzytelniania.
Przejdź do Entra ID>Uwierzytelnianie wieloskładnikowe>Dodatkowe ustawienia uwierzytelniania wieloskładnikowego opartego na chmurze.
Na stronie Ustawienia usługi w obszarze Zaufane adresy IP wybierz jedną lub obie z następujących opcji:
W przypadku żądań od użytkowników federacyjnych w intranecie: aby wybrać tę opcję, zaznacz pole wyboru. Wszyscy użytkownicy federacyjni, którzy logują się z sieci firmowej, pomijają uwierzytelnianie wieloskładnikowe, korzystając z żądania wydanego przez AD FS. Upewnij się, że AD FS ma regułę dodawania oświadczenia intranetowego do odpowiedniego ruchu. Jeśli reguła nie istnieje, utwórz następującą regułę w usługach AD FS:
c:[Type== "https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork"] => issue(claim = c);W przypadku żądań z określonego zakresu podsieci adresów IP: aby wybrać tę opcję, wprowadź adresy IP w polu tekstowym w notacji CIDR.
- W przypadku adresów IP, które znajdują się w zakresie od xxx.xxx.xxx.1 do xxx.xxx.xxx.254, użyj notacji, takiej jak xxx.xxx.xxx.0/24.
- W przypadku pojedynczego adresu IP użyj notacji, takiej jak xxx.xxx.xxx.xxx/32.
- Wprowadź maksymalnie 50 zakresów adresów IP. Użytkownicy logujący się z tych adresów IP pomijają uwierzytelnianie wieloskładnikowe.
Wybierz pozycję Zapisz.
Metody weryfikacji
Możesz wybrać metody weryfikacji dostępne dla użytkowników w portalu ustawień usługi. Gdy użytkownicy rejestrują swoje konta na potrzeby uwierzytelniania wieloskładnikowego firmy Microsoft, wybierają preferowaną metodę weryfikacji z opcji, które zostały włączone. Wskazówki dotyczące procesu rejestracji użytkownika podano w temacie Konfigurowanie konta na potrzeby uwierzytelniania wieloskładnikowego.
Ważne
W marcu 2023 r. ogłosiliśmy wycofanie metod zarządzania metodami uwierzytelniania w starszych zasadach uwierzytelniania wieloskładnikowego i samoobsługowego resetowania haseł(SSPR). Od 30 września 2025 r. metody uwierzytelniania nie mogą być konfigurowane w ramach tych starszych zasad MFA i SSPR. Zalecamy klientom użycie manualnej kontroli migracji w celu przeprowadzenia migracji do zasad metod uwierzytelniania przed terminem wycofania. Aby uzyskać pomoc dotyczącą kontroli migracji, zobacz Jak przenieść ustawienia zasad MFA i samoobsługowego resetowania hasła (SSPR) do zasad metod uwierzytelniania dla Microsoft Entra ID.
Dostępne są następujące metody weryfikacji:
| Metoda | opis |
|---|---|
| Połączenie na telefon | Wykonuje automatyczne połączenie głosowe. Użytkownik odpowiada na połączenie i naciska numer # na telefonie, aby się uwierzytelnić. Numer telefonu nie jest synchronizowany z lokalna usługa Active Directory. |
| Wiadomość SMS na telefon | Wysyła wiadomość SMS zawierającą kod weryfikacyjny. Użytkownik zostanie poproszony o wprowadzenie kodu weryfikacyjnego do interfejsu logowania. Ten proces jest nazywany jednokierunkową wiadomością SMS. Dwukierunkowy SMS oznacza, że użytkownik musi odesłać określony kod. Usługa dwukierunkowych wiadomości SMS jest przestarzała i nie jest obsługiwana po 14 listopada 2018 r. Administratorzy powinni włączyć inną metodę dla użytkowników, którzy wcześniej używali dwukierunkowej wiadomości SMS. |
| Powiadomienie przez aplikację mobilną | Wysyła powiadomienie push do telefonu użytkownika lub zarejestrowanego urządzenia. Użytkownik wyświetli powiadomienie i wybierze pozycję Weryfikuj , aby ukończyć weryfikację. Aplikacja Microsoft Authenticator jest dostępna dla systemów Windows Phone, Android i iOS. |
| Kod weryfikacyjny z aplikacji mobilnej lub tokenu sprzętowego | Aplikacja Microsoft Authenticator generuje nowy kod weryfikacyjny OATH co 30 sekund. Użytkownik wprowadza kod weryfikacyjny do interfejsu logowania. Aplikacja Microsoft Authenticator jest dostępna dla systemów Windows Phone, Android i iOS. |
Aby uzyskać więcej informacji, zobacz Jakie metody uwierzytelniania i weryfikacji są dostępne w usłudze Microsoft Entra ID?.
Włączanie i wyłączanie metod weryfikacji
Aby włączyć lub wyłączyć metody weryfikacji, wykonaj następujące kroki:
- Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator zasad uwierzytelniania.
- Przejdź do pozycji Entra ID>Użytkownicy.
- Wybierz MFA dla użytkownika.
- W obszarze Uwierzytelnianie wieloskładnikowe w górnej części strony wybierz pozycję Ustawienia usługi.
- Na stronie Ustawienia usługi w obszarze Opcje weryfikacji zaznacz lub wyczyść odpowiednie pola wyboru.
- Wybierz pozycję Zapisz.
Pamiętaj uwierzytelnianie wieloskładnikowe
Funkcja zapamiętania uwierzytelniania wieloskładnikowego umożliwia użytkownikom obejście kolejnych weryfikacji przez określoną liczbę dni po pomyślnym zalogowaniu się do urządzenia przy użyciu uwierzytelniania wieloskładnikowego. Aby zwiększyć użyteczność i zminimalizować liczbę przypadków, w których użytkownik musi wykonać uwierzytelnianie wieloskładnikowe na danym urządzeniu, wybierz czas trwania 90 dni lub mniej.
Ważne
W przypadku naruszenia zabezpieczeń konta lub urządzenia pamiętaj, że uwierzytelnianie wieloskładnikowe dla zaufanych urządzeń może mieć wpływ na bezpieczeństwo. Jeśli konto firmowe zostanie naruszone lub zaufane urządzenie zostanie utracone lub skradzione, należy odwołać sesje uwierzytelniania wieloskładnikowego.
Akcja odwołania anuluje status zaufania wszystkich urządzeń, a użytkownik musi ponownie przeprowadzić uwierzytelnianie wieloskładnikowe. Możesz również poinstruować użytkowników, aby przywrócili oryginalny stan uwierzytelniania wieloskładnikowego na własnych urządzeniach, jak opisano w temacie Zarządzanie ustawieniami uwierzytelniania wieloskładnikowego.
Jak działa funkcja
Funkcja zapamiętania uwierzytelniania wieloskładnikowego ustawia trwały plik cookie w przeglądarce, gdy użytkownik wybierze opcję Nie pytaj ponownie o X dni podczas logowania. Użytkownik nie jest ponownie monitowany o uwierzytelnianie wieloskładnikowe z tej przeglądarki, dopóki plik cookie nie wygaśnie. Jeśli użytkownik otworzy inną przeglądarkę na tym samym urządzeniu lub wyczyści pliki cookie, zostanie ponownie wyświetlony monit o zweryfikowanie.
Opcja Nie pytaj ponownie o X dni nie jest wyświetlana w aplikacjach innych niż przeglądarka, niezależnie od tego, czy aplikacja obsługuje nowoczesne uwierzytelnianie. Te aplikacje używają tokenów odświeżania, które zapewniają nowe tokeny dostępu co godzinę. Po zweryfikowaniu tokenu odświeżania identyfikator Entra firmy Microsoft sprawdza, czy ostatnie uwierzytelnianie wieloskładnikowe miało miejsce w ciągu określonej liczby dni.
Funkcja zmniejsza liczbę uwierzytelnień w aplikacjach internetowych, które normalnie pojawiają się za każdym razem. Funkcja może zwiększyć liczbę uwierzytelnień dla nowoczesnych klientów uwierzytelniania, których zwykle monituje się co 180 dni, jeśli skonfigurowano krótszy czas trwania. Może również zwiększyć liczbę uwierzytelnień w połączeniu z zasadami dostępu warunkowego.
Ważne
Funkcja zapamiętania uwierzytelniania wieloskładnikowego nie jest zgodna z funkcją keep me signed in usług AD FS, gdy użytkownicy wykonują uwierzytelnianie wieloskładnikowe dla usług AD FS za pośrednictwem serwera MFA lub rozwiązania do uwierzytelniania wieloskładnikowego innej firmy.
Jeśli użytkownicy wybiorą opcję pozostaw mnie zalogowanym w AD FS i również oznaczą swoje urządzenie jako zaufane do uwierzytelniania wieloskładnikowego, użytkownik nie jest automatycznie weryfikowany po wygaśnięciu liczby dni zapamiętania uwierzytelniania wieloskładnikowego. Microsoft Entra ID żąda nowego uwierzytelniania wieloskładnikowego, ale AD FS zwraca token z oryginalnym żądaniem MFA i datą, zamiast ponownie przeprowadzać uwierzytelnianie wieloskładnikowe. Ta reakcja powoduje ustawienie pętli weryfikacji między identyfikatorem Entra firmy Microsoft i usługami AD FS.
Funkcja zapamiętywania uwierzytelniania wieloskładnikowego nie jest zgodna z użytkownikami B2B i nie będzie dostępna dla użytkowników B2B podczas logowania się do zaproszonych klientów.
Funkcja zapamiętywania uwierzytelniania wieloskładnikowego nie jest zgodna z kontrolą dostępu warunkowego dotyczącą częstotliwości logowania. Aby uzyskać więcej informacji, zobacz Konfigurowanie zarządzania sesjami uwierzytelniania przy użyciu dostępu warunkowego.
Włącz zapamiętywanie uwierzytelniania wieloskładnikowego
Aby włączyć i skonfigurować opcję zezwalania użytkownikom na zapamiętanie stanu uwierzytelniania wieloskładnikowego i monitów o obejście, wykonaj następujące kroki:
- Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator zasad uwierzytelniania.
- Przejdź do pozycji Entra ID>Użytkownicy.
- Wybierz MFA dla użytkownika.
- W obszarze Uwierzytelnianie wieloskładnikowe w górnej części strony wybierz pozycję Ustawienia usługi.
- Na stronie ustawień usługi w obszarze Zapamiętaj uwierzytelnianie wieloskładnikowe wybierz pozycję Zezwalaj użytkownikom na zapamiętanie uwierzytelniania wieloskładnikowego na urządzeniach, którym ufają.
- Ustaw liczbę dni zezwalania zaufanym urządzeniom na pomijanie uwierzytelniania wieloskładnikowego. Aby uzyskać optymalne wrażenia użytkownika, zaleca się przedłużenie okresu do 90 lub więcej dni.
- Wybierz pozycję Zapisz.
Oznaczanie urządzenia jako zaufanego
Po włączeniu funkcji zapamiętywania uwierzytelniania wieloskładnikowego, użytkownicy mogą oznaczyć urządzenie jako zaufane podczas logowania się, wybierając Nie pytaj ponownie.
Następne kroki
Aby dowiedzieć się więcej, zobacz Jakie metody uwierzytelniania i weryfikacji są dostępne w identyfikatorze Entra firmy Microsoft?