Zarządzanie metodami uwierzytelniania użytkowników dla uwierzytelniania wieloskładnikowego firmy Microsoft

Użytkownicy w usłudze Microsoft Entra ID mają dwa odrębne zestawy informacji kontaktowych:

  • Informacje kontaktowe profilu publicznego, które są zarządzane w profilu użytkownika i widoczne dla członków organizacji. W przypadku użytkowników synchronizowanych z lokalna usługa Active Directory te informacje są zarządzane w lokalnych usługach domena usługi Active Directory Systemu Windows Server.
  • Metody uwierzytelniania, które są zawsze przechowywane jako prywatne i używane tylko do uwierzytelniania, w tym uwierzytelniania wieloskładnikowego. Administracja istratorzy mogą zarządzać tymi metodami w bloku metody uwierzytelniania użytkownika, a użytkownicy mogą zarządzać metodami na stronie Informacje o zabezpieczeniach konta MyAccount.

Podczas zarządzania metodami uwierzytelniania wieloskładnikowego firmy Microsoft dla użytkowników administratorzy uwierzytelniania mogą:

  • Dodaj metody uwierzytelniania dla określonego użytkownika, w tym numery telefonów używane na potrzeby uwierzytelniania wieloskładnikowego.
  • Zresetuj hasło użytkownika.
  • Wymagaj od użytkownika ponownego zarejestrowania się w usłudze MFA.
  • Odwoływanie istniejących sesji uwierzytelniania wieloskładnikowego.
  • Usuwanie istniejących haseł aplikacji użytkownika

Wymagania wstępne

Uwierzytelnianie wieloskładnikowe firmy Microsoft, które jest domyślnie włączone.

Dodawanie metod uwierzytelniania dla użytkownika

Metody uwierzytelniania dla użytkownika można dodać przy użyciu centrum administracyjnego firmy Microsoft Entra lub programu Microsoft Graph.

Uwaga

Ze względów bezpieczeństwa pola informacji kontaktowych użytkownika publicznego nie powinny być używane do wykonywania uwierzytelniania wieloskładnikowego. Zamiast tego użytkownicy powinni wypełnić numery metod uwierzytelniania, które mają być używane na potrzeby uwierzytelniania wieloskładnikowego.

Zrzut ekranu przedstawiający dodawanie metod uwierzytelniania z centrum administracyjnego firmy Microsoft Entra.

Aby dodać metody uwierzytelniania dla użytkownika w centrum administracyjnym firmy Microsoft Entra:

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator uwierzytelniania.
  2. Przejdź do pozycji Tożsamość>Użytkownicy>Wszyscy użytkownicy.
  3. Wybierz użytkownika, dla którego chcesz dodać metodę uwierzytelniania, i wybierz pozycję Metody uwierzytelniania.
  4. W górnej części okna wybierz pozycję + Dodaj metodę uwierzytelniania.
    • Wybierz metodę (numer telefonu lub adres e-mail). Wiadomość e-mail może być używana do samodzielnego resetowania hasła, ale nie do uwierzytelniania. Podczas dodawania numeru telefonu wybierz typ telefonu i wprowadź numer telefonu z prawidłowym formatem (na przykład +1 4255551234).
    • Wybierz Dodaj.

Uwaga

Środowisko w wersji zapoznawczej umożliwia administratorom dodawanie wszystkich dostępnych metod uwierzytelniania dla użytkowników, podczas gdy oryginalne środowisko umożliwia aktualizowanie tylko metod telefonu i alternatywnych telefonów.

Zarządzanie metodami przy użyciu programu PowerShell

Zainstaluj moduł Microsoft.Graph.Identity.Signins programu PowerShell przy użyciu następujących poleceń.

Install-module Microsoft.Graph.Identity.Signins
Connect-MgGraph -Scopes "User.Read.all","UserAuthenticationMethod.Read.All","UserAuthenticationMethod.ReadWrite.All"
Select-MgProfile -Name beta

List phone based authentication methods for a specific user.

Get-MgUserAuthenticationPhoneMethod -UserId balas@contoso.com

Create a mobile phone authentication method for a specific user.

New-MgUserAuthenticationPhoneMethod -UserId balas@contoso.com -phoneType "mobile" -phoneNumber "+1 7748933135"

Remove a specific phone method for a user

Remove-MgUserAuthenticationPhoneMethod -UserId balas@contoso.com -PhoneAuthenticationMethodId 00aa00aa-bb11-cc22-dd33-44ee44ee44ee

Authentication methods can also be managed using Microsoft Graph APIs. For more information, see Authentication and authorization basics.

Zarządzanie opcjami uwierzytelniania użytkowników

Napiwek

Kroki opisane w tym artykule mogą się nieznacznie różnić w zależności od portalu, od którego zaczynasz.

Jeśli masz przypisaną rolę Administracja istratora uwierzytelniania, możesz wymagać od użytkowników zresetowania hasła, ponownego zarejestrowania się w usłudze MFA lub odwołania istniejących sesji uwierzytelniania wieloskładnikowego z obiektu użytkownika. Aby zarządzać ustawieniami użytkownika, wykonaj następujące kroki:

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator uwierzytelniania.

  2. Przejdź do pozycji Tożsamość>Użytkownicy>Wszyscy użytkownicy.

  3. Wybierz użytkownika, dla którego chcesz wykonać akcję, i wybierz pozycję Metody uwierzytelniania. W górnej części okna wybierz jedną z następujących opcji dla użytkownika:

    • Resetowanie hasła resetuje hasło użytkownika i przypisuje hasło tymczasowe, które należy zmienić podczas następnego logowania.
    • Wymagaj ponownego zarejestrowania uwierzytelniania wieloskładnikowego dezaktywuje sprzętowe tokeny OATH użytkownika i usuwa następujące metody uwierzytelniania od tego użytkownika: numery telefonów, aplikacje Microsoft Authenticator i tokeny OATH oprogramowania. W razie potrzeby użytkownik zostanie poproszony o skonfigurowanie nowej metody uwierzytelniania usługi MFA przy następnym zalogowaniu.
    • Odwołanie sesji uwierzytelniania wieloskładnikowego powoduje wyczyszczenie zapamiętanych sesji uwierzytelniania wieloskładnikowego użytkownika i wymaga od nich wykonania uwierzytelniania wieloskładnikowego przy następnym wymaganym przez zasady na urządzeniu.

    Zrzut ekranu przedstawiający zarządzanie metodami uwierzytelniania z centrum administracyjnego firmy Microsoft Entra.

Usuwanie istniejących haseł aplikacji użytkowników

W przypadku użytkowników, którzy mają zdefiniowane hasła aplikacji, administratorzy mogą również zdecydować się na usunięcie tych haseł, co powoduje niepowodzenie starszego uwierzytelniania w tych aplikacjach. Te akcje mogą być konieczne, jeśli musisz udzielić pomocy użytkownikowi lub zresetować ich metody uwierzytelniania. Aplikacje inne niż przeglądarki skojarzone z tymi hasłami aplikacji przestaną działać do momentu utworzenia nowego hasła aplikacji.

Aby usunąć hasła aplikacji użytkownika, wykonaj następujące kroki:

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator uwierzytelniania.

  2. Przejdź do pozycji Tożsamość>Użytkownicy>Wszyscy użytkownicy.

  3. Wybierz pozycję Uwierzytelnianie wieloskładnikowe. Aby wyświetlić tę opcję menu, może być konieczne przewinięcie w prawo. Wybierz poniższy przykładowy zrzut ekranu, aby wyświetlić pełne okno i lokalizację menu: Zrzut ekranu przedstawiający wybieranie uwierzytelniania wieloskładnikowego w oknie Użytkownicy w witrynie Microsoft Entra ID.

  4. Zaznacz pole wyboru obok użytkownika lub użytkowników, którymi chcesz zarządzać. Po prawej stronie zostanie wyświetlona lista opcji szybkiego kroku.

  5. Wybierz pozycję Zarządzaj ustawieniami użytkownika, a następnie zaznacz pole wyboru Usuń wszystkie istniejące hasła aplikacji wygenerowane przez wybranych użytkowników, jak pokazano w poniższym przykładzie: Zrzut ekranu przedstawiający usuwanie wszystkich istniejących haseł aplikacji.

  6. Wybierz pozycję Zapisz, a następnie zamknij.