Поделиться через


Проведение кампании регистрации для настройки Microsoft Authenticator

Вы можете напомнить пользователям о необходимости настройки Microsoft Authenticator во время входа. Пользователи проходят обычный вход, выполняют многофакторную проверку подлинности как обычно, а затем получают запрос на настройку Microsoft Authenticator. Вы можете включить либо исключить пользователей или группы для управления тем, кому будет отображаться напоминание о настройке приложения. Это позволяет целевым кампаниям перемещать пользователей из менее безопасных методов проверки подлинности в Authenticator.

Вы также можете определить, сколько дней пользователь может отложить или "отложить", подталкивая. Если пользователь нажимает кнопку "Пропустить сейчас ", чтобы отложить настройку приложения, он снова нажмит на следующую попытку MFA после истечения срока ожидания ожидания. Вы можете решить, может ли пользователь отключать неограниченное время или до трех раз (после чего требуется регистрация).

Примечание.

Когда пользователи проходят регулярный вход, политики условного доступа, которые управляют регистрацией сведений о безопасности, применяются, прежде чем пользователю будет предложено настроить Authenticator. Например, если политика условного доступа требует обновления сведений о безопасности, может возникать только во внутренней сети, пользователи не будут запрашивать настройку Authenticator, если только они не находятся во внутренней сети.

Необходимые компоненты

  • Ваша организация должна включить многофакторную проверку подлинности Microsoft Entra. Каждый выпуск идентификатора Microsoft Entra включает многофакторную проверку подлинности Microsoft Entra. Для кампании регистрации не требуется никаких других лицензий.
  • Пользователи уже не могут настроить приложение Authenticator для push-уведомлений в своей учетной записи.
  • Администраторы должны включить пользователей для приложения Authenticator с помощью одной из следующих политик:
    • Политика регистрации в многофакторной проверке подлинности: пользователям необходимо разрешить получение уведомлений через мобильное приложение.
    • Политика способов проверки подлинности: пользователям необходимо разрешить использование приложения Authenticator, а для режима проверки подлинности необходимо задать значение Любой или Push. Если для политики задано значение Без пароля, пользователю не будет отображаться напоминание. Дополнительные сведения о настройке режима проверки подлинности см. в статье Включение входа без пароля с помощью Microsoft Authenticator.

Взаимодействие с пользователем

  1. Сначала необходимо успешно пройти проверку подлинности с помощью многофакторной проверки подлинности Microsoft Entra (MFA).

  2. Если вы включили push-уведомления Authenticator и еще не настроили его, вам будет предложено настроить Authenticator, чтобы улучшить работу входа.

    Примечание.

    Другие функции безопасности, такие как секретный ключ без пароля, самостоятельный сброс пароля или параметры безопасности по умолчанию, могут также запрашивать настройку.

    Снимок экрана: многофакторная проверка подлинности.

  3. Нажмите кнопку "Далее " и выполните шаги по настройке приложения Authenticator.

  4. Сначала скачайте приложение.

    Снимок экрана: скачивание для Microsoft Authenticator.

    1. Узнайте, как настроить приложение Authenticator.

      Снимок экрана: Microsoft Authenticator.

    2. Просканируйте QR-код.

      Снимок экрана: QR-код.

    3. Проверьте удостоверение.

      Снимок экрана: проверка удостоверения.

    4. Утверждение тестового уведомления на устройстве.

      Снимок экрана: уведомление о тестировании.

    5. Приложение Authenticator теперь успешно настроено.

      Снимок экрана: завершение установки.

  5. Если вы не хотите установить приложение Authenticator, вы можете нажать кнопку "Пропустить сейчас", чтобы отложить запрос до 14 дней, которые могут быть заданы администратором. Пользователи с бесплатными и пробными подписками могут отложить запрос до трех раз.

    Снимок экрана: параметр отсознания.

Включение политики кампании регистрации с помощью Центра администрирования Microsoft Entra

Чтобы включить кампанию регистрации в Центре администрирования Microsoft Entra, выполните следующие действия.

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор политики проверки подлинности.

  2. Перейдите к кампании регистрации методов>проверки подлинности защиты>и нажмите кнопку "Изменить".

  3. Для состояния:

    • Выберите "Включено" , чтобы включить кампанию регистрации для всех пользователей.
    • Выберите корпорацию Майкрософт, чтобы включить кампанию регистрации только для голосового звонка или текстовых сообщений пользователей. Управляемый параметр Майкрософт позволяет корпорации Майкрософт задать значение по умолчанию. Дополнительные сведения см. в разделе "Защита методов проверки подлинности" в идентификаторе Microsoft Entra.

    Если для состояния кампании регистрации задано значение Enabled или Microsoft managed, можно настроить интерфейс для конечных пользователей с помощью ограниченного количества snoozes:

    • Если включено ограниченное количество snoozes , пользователи могут пропустить запрос прерывания 3 раза, после чего они вынуждены зарегистрировать аутентификатор.
    • Если ограниченное число snoozes отключено, пользователи могут отклонить неограниченное количество раз и избежать регистрации Authenticator.

    Дни, разрешенные для отклочения , задают период между двумя последовательными запросами прерываний. Например, если задано значение 3 дня, пользователи, которые пропустили регистрацию, не будут запрашиваться снова до 3 дней.

    Снимок экрана: включение кампании регистрации.

  4. Выберите всех пользователей или групп, чтобы исключить из кампании регистрации, а затем нажмите кнопку "Сохранить".

Включение политики кампании регистрации с помощью Graph Explorer

Помимо использования Центра администрирования Microsoft Entra, вы также можете включить политику кампании регистрации с помощью Graph Explorer. Чтобы активировать политику кампании регистрации, необходимо применить политику способов проверки подлинности с помощью API Graph. Те, кто назначен по крайней мере роль администратора политики проверки подлинности, могут обновить политику.

Чтобы настроить политику с помощью песочницы Graph, сделайте следующее:

  1. Войдите в обозреватель Graph и убедитесь, что вы предоставили согласие на разрешения Policy.Read.All и Policy.ReadWrite.AuthenticationMethod .

    Чтобы открыть панель "Разрешения", сделайте следующее:

    Снимок экрана: обозреватель Graph.

  2. Получите политику методов проверки подлинности:

    GET https://graph.microsoft.com/v1.0/policies/authenticationmethodspolicy
    
  3. Обновите раздел registrationEnforcement и authenticationMethodsRegistrationCampaign политики, чтобы включить напоминание для пользователя или группы.

    Снимок экрана: ответ API.

    Чтобы обновить политику, выполните исправление для политики методов проверки подлинности только с обновленным разделом registrationEnforcement:

    PATCH https://graph.microsoft.com/v1.0/policies/authenticationmethodspolicy
    

В следующей таблице приведены свойства authenticationMethodsRegistrationCampaign.

Имя. Возможные значения Description
snoozeDurationInDays Диапазон: 0 – 14 Определяет число дней до повторного сдвига пользователя.
Если задано значение 0, пользователь будет видеть напоминание при каждой попытке выполнения многофакторной проверки подлинности.
По умолчанию: 1 день.
enforceRegistrationAfterAllowedSnoozes "true"
"false"
Определяет, требуется ли пользователю выполнить настройку после 3 snoozes.
Если значение true, необходимо зарегистрировать пользователя.
Если значение false, пользователь может отклониться на неопределенный срок.
Значение по умолчанию: true
state "enabled"
"disabled"
"default"
Позволяет включить или отключить функцию.
Значение по умолчанию используется, если конфигурация не была явно задана и будет использовать значение по умолчанию идентификатора Microsoft Entra для этого параметра. Состояние по умолчанию включено для голосового звонка и текстовых сообщений пользователей во всех клиентах.
Измените состояние на включено (для всех пользователей) или отключено по мере необходимости.
excludeTargets Н/П Позволяет исключить различных пользователей и группы для действия функции. Если пользователь принадлежит к группе, которая исключена, и к другой группе, которая включена, такой пользователь будет исключен.
includeTargets Н/П Позволяет включить различных пользователей и группы для действия функции.

В следующей таблице приведены свойства includeTargets.

Имя. Возможные значения Description
targetType "user"
"группа"
Тип целевой сущности.
Идентификатор Идентификатор GUID Идентификатор целевого пользователя или группы.
targetedAuthenticationMethod "microsoftAuthenticator" Способ проверки подлинности, который предлагается зарегистрировать пользователю. Единственное допустимое значение: "microsoftAuthenticator".

В следующей таблице приведены свойства excludeTargets.

Имя. Возможные значения Description
targetType "user"
"группа"
Тип целевой сущности.
Идентификатор Строка Идентификатор целевого пользователя или группы.

Примеры

Ниже приведено несколько примеров JSON, которые можно использовать для начала работы.

  • включает всех пользователей

    Если вы хотите включить всех пользователей в клиент, обновите следующий пример JSON с соответствующими идентификаторами GUID пользователей и групп. Затем вставьте его в обозреватель Graph и запустите PATCH его в конечной точке.

    {
    "registrationEnforcement": {
            "authenticationMethodsRegistrationCampaign": {
                "snoozeDurationInDays": 1,
                "enforceRegistrationAfterAllowedSnoozes": true,
                "state": "enabled",
                "excludeTargets": [],
                "includeTargets": [
                    {
                        "id": "all_users",
                        "targetType": "group",
                        "targetedAuthenticationMethod": "microsoftAuthenticator"
                    }
                ]
            }
        }
    }
    
  • Включение определенных пользователей или групп пользователей

    Если вы хотите включить в клиент определенных пользователей или групп, обновите следующий пример JSON с соответствующими идентификаторами GUID пользователей и групп. Затем вставьте код JSON в песочницу Graph и выполните команду PATCH на конечной точке.

    {
    "registrationEnforcement": {
          "authenticationMethodsRegistrationCampaign": {
              "snoozeDurationInDays": 1,
              "enforceRegistrationAfterAllowedSnoozes": true,
              "state": "enabled",
              "excludeTargets": [],
              "includeTargets": [
                  {
                      "id": "*********PLEASE ENTER GUID***********",
                      "targetType": "group",
                      "targetedAuthenticationMethod": "microsoftAuthenticator"
                  },
                  {
                      "id": "*********PLEASE ENTER GUID***********",
                      "targetType": "user",
                      "targetedAuthenticationMethod": "microsoftAuthenticator"
                  }
              ]
          }
      }
    }  
    
  • Включение и исключение определенных пользователей или групп

    Если вы хотите включить и исключить определенных пользователей или групп в клиенте, обновите следующий пример JSON с соответствующими идентификаторами GUID пользователей и групп. Затем вставьте его в обозреватель Graph и запустите PATCH его в конечной точке.

    {
    "registrationEnforcement": {
            "authenticationMethodsRegistrationCampaign": {
                "snoozeDurationInDays": 1,
                "enforceRegistrationAfterAllowedSnoozes": true,
                "state": "enabled",
                "excludeTargets": [
                    {
                        "id": "*********PLEASE ENTER GUID***********",
                        "targetType": "group"
                    },
                  {
                        "id": "*********PLEASE ENTER GUID***********",
                        "targetType": "user"
                    }
                ],
                "includeTargets": [
                    {
                        "id": "*********PLEASE ENTER GUID***********",
                        "targetType": "group",
                        "targetedAuthenticationMethod": "microsoftAuthenticator"
                    },
                    {
                        "id": "*********PLEASE ENTER GUID***********",
                        "targetType": "user",
                        "targetedAuthenticationMethod": "microsoftAuthenticator"
                    }
                ]
            }
        }
    }
    

Указание GUID пользователей для вставки в файлы JSON

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор политики проверки подлинности.

  2. В колонке Управление выберите Пользователи.

  3. На странице Пользователи укажите определенного пользователя.

  4. При выборе определенного пользователя вы увидите значение Идентификатор объекта для такого пользователя, то есть GUID.

    Идентификатор объекта пользователя

Определение GUID групп для вставки в файлы JSON

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор политики проверки подлинности.

  2. В колонке Управление выберите Группы.

  3. На странице Группы укажите определенную группу.

  4. Коснитесь группы и получите значение Идентификатор объекта.

    Напоминание для группы

Ограничения

Напоминание не будет отображаться на мобильных устройствах с Android или iOS.

Часто задаваемые вопросы

Доступна ли регистрационная кампания для сервера MFA?

Нет, кампания регистрации доступна только для пользователей с помощью многофакторной проверки подлинности Microsoft Entra.

Можно ли отправлять напоминание пользователям в приложении?

Да, мы поддерживаем внедренные представления браузера в некоторых приложениях. Мы не подталкиваем пользователей из поля или в представлениях браузера, внедренных в параметры Windows.

Могут ли пользователи быть обнажены на мобильном устройстве?

Кампания регистрации недоступна на мобильных устройствах.

Сколько времени кампания выполняется?

Вы можете включить кампанию до тех пор, пока вы хотите. Всякий раз, когда вы хотите выполнить кампанию, используйте центр администрирования или API для отключения кампании.

Может ли каждая группа пользователей иметь свою длительность задержки?

№ Длительность задержки для запроса применяется на уровне всего арендатора и ко всем группам в области.

Можно ли напомнить пользователям о необходимости настройки входа на телефоне без пароля?

Эта функция позволяет администраторам напомнить пользователям о необходимости настройки многофакторной проверки подлинности с использованием приложения Authenticator, а не входа на телефоне без пароля.

Увидит ли пользователь, который входит в приложение 3-й стороны authenticator?

Да. Если пользователь включен для кампании регистрации и не настроен microsoft Authenticator для push-уведомлений, пользователь настроится для настройки Authenticator.

Будет ли пользователь, настроивший Authenticator только для кодов TOTP, увидеть нажми?

Да. Если пользователь включен для кампании регистрации и приложение Authenticator не настроено для push-уведомлений, пользователь настроил push-уведомление с помощью Authenticator.

Если пользователь только что прошел регистрацию MFA, они подталкиваются в том же сеансе входа?

№ Чтобы обеспечить удобство работы, пользователи не будут видеть напоминание о настройке Authenticator в том же сеансе, в котором они регистрируют другие способы проверки подлинности.

Можно ли напоминать пользователям о необходимости регистрации другого способа проверки подлинности?

№ Сейчас эта функция предназначена только для напоминания пользователям о настройке приложения Authenticator.

Могу ли я скрыть параметр задержки и принудить пользователей настроить приложение Authenticator?

Задайте ограниченное количество snoozsв значение "Включено ", чтобы пользователи могли отложить настройку приложения до трех раз, после чего требуется настройка.

Сможет ли я подталкивать пользователей, если я не использую многофакторную проверку подлинности Microsoft Entra?

№ Nudge работает только для пользователей, которые выполняют MFA с помощью службы многофакторной проверки подлинности Microsoft Entra.

Будет ли отправляться напоминание гостевым пользователям или пользователям B2B в моем арендаторе?

Да. Если они находятся в области напоминания с использованием политики.

А если пользователь закроет браузер?

Это аналогично задержке. Если настройка требуется для пользователя после того, как они заносили три раза, пользователю будет предложено при следующем входе.

Почему некоторые пользователи не видят нажми, если для регистрации сведений о безопасности существует политика условного доступа?

Нажми не появится, если пользователь находится в области политики условного доступа, которая блокирует доступ к странице сведений о безопасности регистрации.

Отображаются ли пользователи на экране с условиями использования (ToU), который отображается пользователю во время входа?

При входе пользователь не будет отображаться, если пользователь отображается с условиями использования (ToU).

Отображаются ли пользователи подталкивать, когда пользовательские элементы управления условного доступа применимы к входу?

При входе пользователь перенаправляется во время входа из-за параметров пользовательских элементов управления условного доступа.

Существуют ли какие-либо планы прекратить использование SMS и Голосовой связи в качестве методов, доступных для MFA?

Нет, нет таких планов.

Следующие шаги

Включение входа без пароля с помощью Microsoft Authenticator