Поделиться через

Включение входа без пароля с помощью Authenticator

Authenticator используется для входа в любую учетную запись Microsoft Entra без использования пароля. Authenticator использует проверку подлинности на основе ключей, чтобы включить учетные данные пользователя, привязанные к устройству, где устройство использует ПИН-код или биометрические данные. Windows Hello для бизнеса использует аналогичную технологию.

Технология проверки подлинности может использоваться на любой платформе устройств, включая мобильные устройства. Authenticator может работать в iOS или Android.

Снимок экрана: пример входа в браузер с просьбой пользователя утвердить вход.

При входе в систему с помощью телефона в приложении Authenticator отображается сообщение, которое просит пользователя нажать на число в приложении. Он не запрашивает имя пользователя или пароль. Чтобы завершить процесс входа в приложение, выполните следующие действия.

  1. В диалоговом окне Authenticator введите номер, показанный на экране входа.
  2. Выберите "Утвердить".
  3. Укажите ПИН-код или биометрические данные.

Несколько учетных записей

Вы можете включить вход без пароля для нескольких учетных записей в Authenticator на любом поддерживаемом устройстве Android или iOS. Консультанты, учащиеся и другие пользователи с несколькими учетными записями в Идентификаторе Microsoft Entra могут добавлять каждую учетную запись в Authenticator и использовать вход без пароля для всех пользователей с одного устройства.

Учетные записи Microsoft Entra могут находиться в одном клиенте или в разных клиентах. Гостевые учетные записи не поддерживаются для входа в несколько учетных записей с одного устройства.

Предварительные условия

Чтобы использовать вход без пароля с помощью Authenticator, необходимо выполнить следующие предварительные требования:

  • Рекомендуется: многофакторная проверка подлинности (MFA) Microsoft Entra с push-уведомлениями, разрешенными в качестве метода проверки. Push-уведомления на смартфон или планшет пользователя помогают приложению Authenticator предотвратить несанкционированный доступ к учетным записям и остановить мошеннические транзакции. Приложение Authenticator автоматически создает коды при настройке push-уведомлений. У пользователя есть альтернативный метод входа, даже если у устройства нет подключения.

  • Устройство должно быть зарегистрировано у каждого арендатора, где оно используется для авторизации. Например, следующее устройство должно быть зарегистрировано в Contoso и Wingtip Toys, чтобы разрешить вход всем учетным записям:

    • balas@contoso.com
    • balas@wingtiptoys.com и bsandhu@wingtiptoys.

Чтобы использовать проверку подлинности без пароля в идентификаторе Microsoft Entra, сначала включите объединенный интерфейс регистрации, а затем включите пользователей для метода без пароля.

Включение методов проверки подлинности при входе без пароля с помощью телефона

Идентификатор Microsoft Entra позволяет администраторам политик проверки подлинности выбрать, какие методы проверки подлинности можно использовать для входа. Вы можете включить Microsoft Authenticator в политике методов проверки подлинности для управления традиционным методом push-проверки подлинности и методом проверки подлинности без пароля.

После включения Microsoft Authenticator в качестве метода проверки подлинности пользователи могут перейти в сведения о безопасности , чтобы зарегистрировать Authenticator в качестве способа входа. Microsoft Authenticator указан в качестве метода в сведениях о безопасности. Например, отображается microsoft Authenticator-Passwordless или Microsoft Authenticator-MFA Push , в зависимости от того, что включено и зарегистрировано.

Чтобы включить метод проверки подлинности для входа без пароля телефона, выполните следующие действия.

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор политики проверки подлинности.
  2. Перейдите к Entra ID>Методы аутентификации>Политики.

Каждая группа включена по умолчанию для использования любого режима. Любой режим позволяет членам группы выполнять вход с помощью push-уведомления или входа без пароля телефона.

Примечание.

Если при попытке сохранить возникает ошибка, это может быть связано с количеством добавляемых пользователей или групп. В качестве обходного решения замените тех пользователей и группы, которых вы пытаетесь добавить, одной группой в рамках той же операции. Затем снова нажмите кнопку "Сохранить ".

Регистрация пользователей

Пользователи регистрируются на метод аутентификации Microsoft Entra ID без пароля. Пользователи, которые уже зарегистрировали приложение Authenticator для MFA , могут перейти к следующему разделу и включить вход по телефону.

Регистрация прямого входа по телефону

Пользователи могут зарегистрироваться для входа без пароля непосредственно в приложении Authenticator без необходимости сначала регистрировать Authenticator с учетной записью, при этом не создавая пароль. Это делается следующим образом:

  1. Получите временный проход доступа от администратора или организации.
  2. Скачайте и установите приложение Authenticator на мобильном устройстве.
  3. Откройте Authenticator и выберите "Добавить учетную запись", а затем выберите рабочую или учебную учетную запись.
  4. Выберите вход.
  5. Следуйте инструкциям для входа в свою учетную запись с помощью временного кода доступа, предоставленного вашим администратором или вашей организацией.
  6. После входа выполните дополнительные действия, чтобы настроить вход по телефону.

Пошаговая регистрация с помощью My Sign-Ins

Примечание.

Пользователи могут зарегистрировать Authenticator через объединенную регистрацию, только если для режима проверки подлинности Authenticator задано значение Any или Push.

Чтобы зарегистрировать приложение Authenticator, выполните следующие действия.

  1. Перейдите к сведениям о безопасности.
  2. Войдите в систему, затем выберите Добавить метод>Приложение для проверки подлинности> и Добавить, чтобы добавить приложение.
  3. Следуйте инструкциям по установке и настройке приложения Authenticator на устройстве.
  4. Нажмите кнопку "Готово", чтобы завершить настройку Authenticator.

Включение входа с помощью телефона

После регистрации в приложении Authenticator пользователям необходимо включить вход на телефон:

  1. В Microsoft Authenticator выберите учетную запись, зарегистрированную.
  2. Выберите "Настроить запросы на вход без пароля".
  3. Следуйте инструкциям в приложении, чтобы завершить регистрацию учетной записи для входа в аккаунт с телефона без пароля.

Теперь организация может предоставить своим пользователям вход без использования пароля с помощью их телефонов. Дополнительные сведения о настройке Authenticator и включении входа по телефону см. в разделе "Вход в учетные записи" с помощью приложения Authenticator.

Примечание.

Если политика запрещает пользователю использовать вход с использованием телефона, пользователь не может включить эту функцию в Authenticator.

Вход с помощью учетных данных без пароля

Пользователь может начать использовать вход без пароля после завершения всех следующих действий:

  • Администратор активировал арендатора пользователя.
  • Пользователь добавил Authenticator в качестве метода входа.

Чтобы начать процесс входа на телефон впервые, выполните следующие действия:

  1. Введите имя на панели входа .
  2. Нажмите кнопку "Далее".
  3. При необходимости выберите другие способы входа.
  4. Выберите "Утвердить запрос" для приложения Authenticator.

Затем появится число. Приложение предложит пользователю пройти проверку подлинности, введя соответствующее число вместо ввода пароля.

После того как пользователь использует вход без пароля, приложение продолжает управлять пользователем с помощью этого метода. Пользователь также видит возможность выбрать другой метод.

Снимок экрана: пример входа в браузер с помощью приложения Authenticator.

Временный пропуск

Если администратор арендатора включил самостоятельный сброс пароля, чтобы пользователи могли настроить вход без пароля с помощью приложения Authenticator посредством использования временного пропуска доступа, выполните следующие действия.

  1. Откройте браузер на мобильном устройстве или на рабочем столе и перейдите в раздел "Сведения о безопасности".
  2. Зарегистрируйте приложение Authenticator в качестве метода входа. Это действие связывает учетную запись с приложением.
  3. Вернитесь на мобильное устройство и активируйте вход без пароля с помощью приложения Authenticator.

Управление

Рекомендуется использовать политику методов проверки подлинности в качестве оптимального способа управления Authenticator. Администраторы политики проверки подлинности могут изменить эту политику, чтобы включить или отключить Authenticator. Администраторы могут включать или исключать определенных пользователей и групп из него.

Администраторы также могут настроить параметры, чтобы лучше управлять тем, как используется Authenticator. Например, они могут добавить расположение или имя приложения в запрос на вход, чтобы пользователи имели более широкий контекст перед утверждением.

Известные проблемы

Известно о наличии следующих проблем.

Не отображается параметр для входа без пароля телефона

В одном из сценариев у пользователя может быть неподтвержденная проверка входа без пароля через телефон, которая находится в ожидании. Если пользователь пытается войти еще раз, пользователь видит только параметр ввести пароль.

Чтобы устранить этот сценарий, выполните следующие действия.

  1. Откройте Authenticator.
  2. Ответьте на все запросы в уведомлениях.

Затем продолжайте использовать вход без пароля телефона.

AuthenticatorAppSignInPolicy не поддерживается

Устаревшая политика AuthenticatorAppSignInPolicy не поддерживается в Authenticator. Чтобы предоставить пользователям возможность push-уведомлений или входа без пароля с помощью приложения Authenticator, используйте политику методов аутентификации .

Федеративные учетные записи

После того как пользователь включает любые учетные данные без пароля, процесс входа Microsoft Entra перестает использовать login\_hint. Процесс больше не ускоряет пользователя к федеративной точке входа.

Эта логика обычно предотвращает перенаправление пользователя в гибридном клиенте в службы федерации Active Directory для проверки входа. Параметр Использовать пароль вместо этого по-прежнему доступен.

Локальные пользователи

Администраторы могут включить пользователей для многофакторной аутентификации через локального поставщика идентификации. Пользователи по-прежнему могут создавать и использовать единые учетные данные для входа по телефону без пароля.

Если пользователь пытается обновить пять и более установок Authenticator с учетными данными для входа через телефон без пароля, это изменение может привести к ошибке.

Связанное содержимое

Чтобы узнать о проверке подлинности Microsoft Entra и безопасных методах без пароля, см. в следующих статьях: