Включение входа без пароля с помощью Microsoft Authenticator

  • Статья

Microsoft Authenticator можно использовать для входа в любую учетную запись Microsoft Entra без использования пароля. В приложении Microsoft Authenticator проверка подлинности выполняется на основе ключей для того, чтобы разрешить использование учетных данных пользователя, привязанных к устройству, когда на устройстве используется PIN-код или биометрические данные. В службе Windows Hello для бизнеса используется аналогичная технология.

Эту технологию проверки подлинности можно использовать на любой платформе устройств, включая мобильные устройства. Эта технология также может использоваться с любым приложением или веб-сайтом, которые интегрированы с библиотеками проверки подлинности Майкрософт.

Снимок экрана: пример того, как в браузере выглядит диалоговое окно входа в систему с запросом подтвердить вход.

Пользователи, которые включили вход с помощью телефона из приложения Microsoft Authenticator, получают сообщение, предлагающее коснуться определенного числа в приложении. Имя пользователя или пароль не запрашиваются. Чтобы завершить процесс входа в приложение, пользователь должен выполнить следующие действия.

  1. Введите число, отображаемое на экране входа, в диалоговом окне Microsoft Authenticator.
  2. Выберите " Утвердить".
  3. Предоставить PIN-код или биометрические данные.

Несколько учетных записей в iOS

Вы можете включить вход без пароля для нескольких учетных записей в Microsoft Authenticator на любом поддерживаемом устройстве iOS. Консультанты, учащиеся и другие пользователи с несколькими учетными записями в идентификаторе Microsoft Entra могут добавлять каждую учетную запись в Microsoft Authenticator и использовать вход без пароля для всех пользователей с одного устройства iOS.

Ранее администраторы могли не требовать вход без пароля для пользователей с несколькими учетными записями, так как для выполнения входа требовалось больше устройств. Удаляя ограничение на вход одного пользователя с устройства, администраторы могут более уверенно поощрять пользователей регистрировать вход без пароля и использовать его в качестве метода входа по умолчанию.

Учетные записи Microsoft Entra могут находиться в одном клиенте или в разных клиентах. Гостевые учетные записи не поддерживаются для входа в несколько учетных записей с одного устройства.

Необходимые компоненты

Чтобы использовать приложение Microsoft Authenticator для входа без пароля с помощью телефона, нужно выполнить следующие условия:

  • Рекомендуется: многофакторная проверка подлинности Microsoft Entra с push-уведомлениями, разрешенными в качестве метода проверки. Приложение Microsoft Authenticator помогает предотвратить несанкционированный доступ к учетным записям и остановить мошеннические транзакции, отправляя уведомления на смартфон или планшет. Приложение Authenticator автоматически создает коды при настройке push-уведомлений. У пользователя есть метод входа в резервную копию, даже если у устройства нет подключения.
  • Последняя версия Microsoft Authenticator, установленная на устройствах под управлением iOS или Android.
  • Для Android устройство, на котором работает Microsoft Authenticator, должно быть зарегистрировано для отдельного пользователя. Мы активно работаем над включением поддержки нескольких учетных записей на Android.
  • Для iOS устройство должно быть зарегистрировано в каждом арендаторе, в котором оно используется для входа. Например, следующее устройство должно быть зарегистрировано в Contoso и Wingtiptoys, чтобы разрешить вход всем учетным записям:
    • balas@contoso.com
    • balas@wingtiptoys.com и bsandhu@wingtiptoys.

Чтобы использовать проверку подлинности без пароля в идентификаторе Microsoft Entra, сначала включите объединенный интерфейс регистрации, а затем включите пользователей для метода без пароля.

Включение методов проверки подлинности при входе без пароля с помощью телефона

Совет

Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.

Microsoft Entra ID позволяет выбирать методы проверки подлинности, которые могут использоваться во время входа в систему. Затем пользователи регистрируются для использования методов, которые они предпочитают. Политика метода проверки подлинности Microsoft Authenticator управляет традиционным методом многофакторной проверки подлинности и методом проверки подлинности без пароля.

Примечание.

Если вы включили вход в Microsoft Authenticator без пароля с помощью PowerShell, он был включен для всего каталога. Этот новый метод заменяет политику PowerShell при использовании. Рекомендуется включить этот метод для всех пользователей в арендаторе с помощью нового меню Способы проверки подлинности, в противном случае пользователи, не учтенные в новой политике, не смогут выполнить вход без пароля.

Чтобы включить метод проверки подлинности для входа без пароля с помощью телефона, выполните следующие действия.

  1. Войдите в Центр администрирования Microsoft Entra как минимум политику проверки подлинности Администратор istrator.

  2. Перейдите к политикам методов>проверки подлинности защиты.>

  3. В разделе Microsoft Authenticatorвыберите следующие параметры:

    1. Включить — да или нет
    2. Целевой объект — все пользователи или выбранные пользователи

  4. Для каждой добавленной группы или для каждого пользователя по умолчанию включается использование Microsoft Authenticator как в режиме без пароля, так и в режимах push-уведомлений (режим "любой"). Чтобы изменить режим, для каждой строки для режима проверки подлинности выберите "Любой" или "Без пароля". Выбор значения Push-уведомление предотвращает использование учетных данных для входа без пароля с помощью телефона.

  5. Чтобы применить новую политику, нажмите Сохранить.

    Примечание.

    Если при попытке сохранения появляется сообщение об ошибке, причиной может быть число добавляемых пользователей или групп. В качестве обходного решения замените пользователей и группы, которые вы пытаетесь добавить с одной группой, в той же операции и нажмите кнопку "Сохранить еще раз".

Регистрация пользователей

Пользователи регистрируются для метода проверки подлинности без пароля идентификатора Microsoft Entra. Для пользователей, которые уже зарегистрировали приложение Microsoft Authenticator для многофакторной проверки подлинности, перейдите к следующему разделу, включите вход на телефон.

Регистрация прямого входа по телефону

Пользователи могут зарегистрировать вход без пароля на телефон непосредственно в приложении Microsoft Authenticator без необходимости сначала зарегистрировать Microsoft Authenticator с учетной записью, в то время как никогда не накапливать пароль. Это делается следующим образом:

  1. Получите временный проход доступа из Администратор или организации.
  2. Скачайте и установите приложение Microsoft Authenticator на мобильном устройстве.
  3. Откройте Microsoft Authenticator и нажмите кнопку "Добавить учетную запись", а затем выберите рабочую или учебную учетную запись.
  4. Выберите Вход.
  5. Следуйте инструкциям по входу с учетной записью с помощью временного прохода доступа, предоставленного Администратор или организацией.
  6. После входа перейдите к дополнительным инструкциям по настройке входа на телефон.

Интерактивная регистрация с помощью моих входов

Примечание.

Пользователи смогут зарегистрировать Microsoft Authenticator только через объединенную регистрацию, если режим проверки подлинности Microsoft Authenticator имеет значение Any или Push.

Чтобы зарегистрировать приложение Microsoft Authenticator, выполните следующие действия.

  1. Перейдите в https://aka.ms/mysecurityinfo.
  2. Войдите, а затем нажмите кнопку Add method>Authenticator app Add (Добавить приложение>Authenticator), чтобы добавить Microsoft Authenticator.
  3. Следуйте инструкциям по установке и настройке приложения Microsoft Authenticator на устройстве.
  4. Выберите "Готово", чтобы завершить настройку Microsoft Authenticator.

Включение входа с помощью телефона

После регистрации пользователей в приложении Microsoft Authenticator им необходимо включить вход на телефон:

  1. В Microsoft Authenticator выберите учетную запись, зарегистрированную.
  2. Нажмите кнопку "Включить вход на телефон".
  3. Следуйте инструкциям в приложении, чтобы завершить регистрацию учетной записи для включения входа без пароля с помощью телефона.

Теперь организация может предоставить своим пользователям вход без использования пароля с помощью их телефонов. Дополнительные сведения о настройке Microsoft Authenticator и включении входа с помощью телефона см. в разделе Вход в учетные записи с помощью приложения Microsoft Authenticator.

Примечание.

Пользователи, которым политика не разрешает использовать вход с помощью телефона, больше не смогут включить его в Microsoft Authenticator.

Введите данные для входа без пароля

Пользователь может начать использовать вход без пароля после завершения всех следующих действий:

  • Администратор включил клиент пользователя.
  • Пользователь добавил Microsoft Authenticator в качестве метода входа.

При первом запуске процесса входа в систему пользователю нужно выполнить следующие действия.

  1. Ввести свое имя на странице входа.
  2. Нажать кнопку Далее.
  3. При необходимости выбирать элемент Другие способы входа.
  4. Выбрать пункт Утвердить запрос в приложении Authenticator.

После этого пользователю будет предоставлено некоторое число. Приложение запрашивает пользователя подтвердить подлинность путем ввода соответствующего числа, вместо того чтобы вводить пароль.

После того как пользователь использует вход без пароля с помощью телефона, приложение продолжит предоставлять пользователю указания по использованию этого метода. Однако пользователю предоставляется возможность выбрать другой метод.

Снимок экрана: пример выполнения входа в браузере с помощью приложения Microsoft Authenticator.

Временный секретный код

Если администратор клиента включил самостоятельный сброс пароля (SSPR) и пользователь настраивает вход без пароля в приложении Authenticator впервые с помощью пароля с помощью пароля временного доступа, выполните следующие действия.

  1. Пользователь должен открыть браузер на мобильном устройстве или на рабочем столе и перейти на страницу сведений mySecurity .
  2. Пользователь должен зарегистрировать приложение Authenticator в качестве метода входа. Это действие связывает учетную запись пользователя с приложением.
  3. Затем пользователь должен вернуться на мобильное устройство и активировать вход без пароля с помощью приложения Authenticator.

Управление

Политика методов проверки подлинности — это рекомендуемый способ управления Microsoft Authenticator. Политики проверки подлинности Администратор istrator могут изменить эту политику, чтобы включить или отключить Microsoft Authenticator. Администратор могут включать или исключать определенных пользователей и групп из него.

Администратор также могут настраивать параметры для более эффективного управления способом использования Microsoft Authenticator. Например, они могут добавить расположение или имя приложения в запрос на вход, чтобы пользователи имели больше контекста перед утверждением.

Глобальные Администратор istrator также могут управлять Microsoft Authenticator на уровне клиента с помощью устаревших политик MFA и SSPR. Эти политики позволяют Microsoft Authenticator включать или отключать для всех пользователей в клиенте. Нет вариантов включения или исключения всех пользователей или управления способом использования Microsoft Authenticator для входа.

Известные проблемы

Известно о наличии следующих проблем.

Не отображается вариант входа без пароля с помощью телефона

Возможен сценарий, когда у пользователя операция проверки при входе без пароля осталась без ответа и находится в режиме ожидания. Если пользователь пытается войти еще раз, он может увидеть только параметр ввода пароля.

Чтобы устранить этот сценарий, выполните следующие действия.

  1. Откройте Microsoft Authenticator.
  2. Ответьте на все уведомления с запросами.

Затем пользователь может продолжать использовать вход без пароля.

AuthenticatorAppSignInPolicy не поддерживается

AuthenticatorAppSignInPolicy — это устаревшая политика, которая не поддерживается в Microsoft Authenticator. Чтобы пользователи могли отправлять push-уведомления или вход без пароля с помощью приложения Authenticator, используйте политику методов проверки подлинности.

Федеративные учетные записи

Если пользователь включил какие-либо учетные данные без пароля, процесс входа Microsoft Entra останавливается с помощью login_hint. Таким образом, этот процесс не будет ускорять предоставление пользователю доступа для входа в федеративную учетную запись.

Эта логика обычно не позволяет направить пользователя, работающего в гибридном клиенте, в службы федерации Active Directory (AD FS) для проверки правомочности входа. Тем не менее у пользователя остается возможность выбрать вариант Использовать пароль.

Локальные пользователи

Конечный пользователь может быть включен для многофакторной проверки подлинности через локальный поставщик удостоверений. Пользователь по-прежнему сможет создавать и использовать те же учетные данные для входа без пароля с помощью телефона.

Попытка пользователя обновить несколько (более 5) установленных экземпляров Microsoft Authenticator, используя учетные данные для входа без пароля с помощью телефона, может привести к ошибке.

Следующие шаги

Дополнительные сведения о методах проверки подлинности и без пароля Microsoft Entra см. в следующих статьях: