Konfigurera Azure AD multifaktorautentiseringsinställningar

Om du vill anpassa slutanvändarupplevelsen för Azure AD Multi-Factor Authentication kan du konfigurera alternativ för inställningar som tröskelvärden för kontoutelåsning eller bedrägeriaviseringar och meddelanden. Vissa inställningar är tillgängliga direkt i Azure-Portal för Azure Active Directory (Azure AD) och vissa finns i en separat Azure AD Multi-Factor Authentication-portalen.

Följande Azure AD multifaktorautentiseringsinställningar är tillgängliga i Azure-Portal:

Funktion Beskrivning
Kontoutelåsning Lås tillfälligt konton från att använda Azure AD Multi-Factor Authentication om det finns för många nekade autentiseringsförsök i rad. Den här funktionen gäller endast för användare som anger en PIN-kod för autentisering. (endast MFA-server)
Blockera/avblockera användare Blockera specifika användare från att kunna ta emot Azure AD Multi-Factor Authentication-begäranden. Alla autentiseringsförsök för blockerade användare nekas automatiskt. Användarna förblir blockerade i 90 dagar från det att de blockeras eller tills de avblockeras manuellt.
Bedrägerivarning Konfigurera inställningar som gör det möjligt för användare att rapportera bedrägliga verifieringsförfrågningar.
Aviseringar Aktivera meddelanden om händelser från MFA Server.
OATH-token Används i molnbaserade Azure AD Multi-Factor Authentication-miljöer för att hantera OATH-token för användare.
Inställningar för telefonsamtal Konfigurera inställningar som rör telefonsamtal och hälsningar för molnmiljöer och lokala miljöer.
Leverantörer Detta visar alla befintliga autentiseringsprovidrar som du har associerat med ditt konto. Tillägg av nya leverantörer inaktiveras från och med den 1 september 2018.

Azure-Portal – Azure AD multifaktorautentiseringsinställningar

Kontoutelåsning

Om du vill förhindra upprepade MFA-försök som en del av en attack kan du med kontoutelåsningsinställningarna ange hur många misslyckade försök som tillåts innan kontot blir utelåst under en tidsperiod. Inställningarna för kontoutelåsning tillämpas endast när en PIN-kod anges för MFA-prompten.

Följande inställningar är tillgängliga:

  • Antal MFA-nekanden som utlöser kontoutelåsning
  • Minuter tills kontoutelåsningsräknaren återställs
  • Minuter tills kontot avblockeras automatiskt

Utför följande steg för att konfigurera inställningar för kontoutelåsning:

  1. Logga in på Azure-Portal som administratör.

  2. Gå till Azure Active DirectorySecurity Multifactor authentication Account lockout (Azure Active Directory >Security>Multifactor Authentication>Account lockout).

  3. Ange värdena för din miljö och välj sedan Spara.

    Skärmbild som visar inställningarna för kontoutelåsning i Azure-Portal.

Blockera och avblockera användare

Om en användares enhet tappas bort eller blir stulen kan du blockera Azure AD multifaktorautentiseringsförsök för det associerade kontot. Alla Azure AD multifaktorautentiseringsförsök för blockerade användare nekas automatiskt. Användarna är fortfarande blockerade i 90 dagar från det att de blockeras. En video som förklarar hur du gör detta finns i blockera och avblockera användare i din klientorganisation.

Blockera en användare

Utför följande steg för att blockera en användare.

Titta på en kort video som beskriver den här processen.

  1. Bläddra till Azure Active Directory>Security>Multifactor Authentication>Blockera/avblockera användare.
  2. Välj Lägg till för att blockera en användare.
  3. Ange användarnamnet för den blockerade användaren i formatet username@domain.comoch ange sedan en kommentar i rutan Orsak .
  4. Välj OK för att blockera användaren.

Avblockera en användare

Om du vill avblockera en användare utför du följande steg:

  1. Gå till Azure Active Directory>Security>Multifactor Authentication>Blockera/avblockera användare.
  2. I kolumnen Åtgärd bredvid användaren väljer du Avblockera.
  3. Ange en kommentar i rutan Orsak till avblockering .
  4. Välj OK för att avblockera användaren.

Bedrägerivarning

Med funktionen för bedrägeriaviseringar kan användare rapportera bedrägliga försök att komma åt sina resurser. När en okänd och misstänkt MFA-uppmaning tas emot kan användarna rapportera bedrägeriförsöket med hjälp av appen Microsoft Authenticator eller via sin telefon.

Följande konfigurationsalternativ för bedrägeriaviseringar är tillgängliga:

  • Blockera automatiskt användare som rapporterar bedrägeri. Om en användare rapporterar bedrägeri blockeras Azure AD Multi-Factor Authentication-försök för användarkontot i 90 dagar eller tills en administratör avblockera kontot. En administratör kan granska inloggningar med hjälp av inloggningsrapporten och vidta lämpliga åtgärder för att förhindra framtida bedrägerier. En administratör kan sedan avblockera användarens konto.

  • Kod för att rapportera bedrägeri under den första hälsningen. När användarna får ett telefonsamtal för att utföra multifaktorautentisering trycker de normalt på # för att bekräfta sin inloggning. Om du vill rapportera bedrägeri anger användaren en kod innan du trycker på #. Den här koden är 0 som standard, men du kan anpassa den. Om automatisk blockering är aktiverat, när användaren trycker på 0# för att rapportera bedrägeri, måste de trycka på 1 för att bekräfta att kontot blockeras.

    Anteckning

    Standardrösthälsningarna från Microsoft instruera användarna att trycka på 0# för att skicka en bedrägeriavisering. Om du vill använda en annan kod än 0 kan du spela in och ladda upp dina egna anpassade rösthälsningar med lämpliga instruktioner för användarna.

Utför följande steg för att aktivera och konfigurera bedrägeriaviseringar:

  1. Gå till Azure Active Directory>Security>Multifactor Authentication>Bedrägeriavisering.
  2. Ange Tillåt användare att skicka bedrägeriaviseringar till .
  3. Konfigurera automatiskt blockera användare som rapporterar bedrägeri eller kod för att rapportera bedrägerier under den första hälsningsinställningen efter behov.
  4. Välj Spara.

Visa bedrägerirapporter

När en användare rapporterar bedrägeri visas händelsen i inloggningsrapporten (som en inloggning som avvisades av användaren) och i granskningsloggarna.

  • Om du vill visa bedrägerirapporter i inloggningsrapporten väljer duAutentiseringsinformation för Azure ActiveDirectory-inloggningsloggar>>. Bedrägerirapporten är en del av standardrapporten Azure AD inloggningar och visas i resultatinformationen som MFA nekad, Bedrägerikod angiven.

  • Om du vill visa bedrägerirapporter i granskningsloggarna väljer du Azure ActiveDirectory-granskningsloggar>. Bedrägerirapporten visas under Aktivitetstyp Bedrägeri rapporteras – användaren blockeras för MFA eller Bedrägeri rapporteras – inga åtgärder som vidtas baserat på inställningarna på klientnivå för bedrägerirapporten.

Meddelanden

Du kan konfigurera Azure AD att skicka e-postmeddelanden när användare rapporterar bedrägeriaviseringar. Dessa meddelanden skickas vanligtvis till identitetsadministratörer, eftersom användarens kontoautentiseringsuppgifter sannolikt komprometteras. I följande exempel visas hur ett e-postmeddelande om bedrägeriaviseringar ser ut:

Skärmbild som visar ett e-postmeddelande om bedrägeriavisering.

Så här konfigurerar du aviseringar om bedrägeri:

  1. Gå till Azure Active Directory>Security>Multi-FactorAuthentication-meddelanden>.
  2. Ange den e-postadress som meddelandet ska skickas till.
  3. Om du vill ta bort en befintlig e-postadress väljer du ... bredvid e-postadressen och väljer sedan Ta bort.
  4. Välj Spara.

OATH-token

Azure AD stöder användningen av OATH TOTP SHA-1-token som uppdaterar koder var 30:e eller 60:e sekund. Du kan köpa dessa token från valfri leverantör.

OATH TOTP-maskinvarutoken levereras vanligtvis med en hemlig nyckel, eller ett startvärde, som är förprogramltat i token. Du måste ange dessa nycklar i Azure AD enligt beskrivningen i följande steg. Hemliga nycklar är begränsade till 128 tecken, vilket kanske inte är kompatibelt med alla token. Den hemliga nyckeln kan bara innehålla tecknen a-z eller A-Z och siffrorna 1–7. Den måste vara kodad i Base32.

Programmerbara OATH TOTP-maskinvarutoken som kan återställas kan också konfigureras med Azure AD i installationsflödet för programvarutoken.

OATH-maskinvarutoken stöds som en del av en offentlig förhandsversion. Mer information om förhandsversioner finns i Kompletterande användningsvillkor för Microsoft Azure-förhandsversioner.

Skärmbild som visar avsnittet OATH-token.

När du har hämtat token måste du ladda upp dem i filformatet kommaavgränsade värden (CSV). Inkludera UPN, serienummer, hemlig nyckel, tidsintervall, tillverkare och modell, som du ser i det här exemplet:

upn,serial number,secret key,time interval,manufacturer,model
Helga@contoso.com,1234567,1234567abcdef1234567abcdef,60,Contoso,HardwareKey

Anteckning

Se till att inkludera rubrikraden i CSV-filen.

En administratör kan logga in på Azure-Portal, gå till Azure Active Directory>Security>Multifactor Authentication>OATH-token och ladda upp CSV-filen.

Beroende på CSV-filens storlek kan det ta några minuter att bearbeta. Välj Uppdatera för att hämta statusen. Om det finns fel i filen kan du ladda ned en CSV-fil som visar dem. Fältnamnen i den nedladdade CSV-filen skiljer sig från dem i den uppladdade versionen.

När eventuella fel har åtgärdats kan administratören aktivera varje nyckel genom att välja Aktivera för token och ange den OTP som visas i token.

Användare kan ha en kombination av upp till fem OATH-maskinvarutoken eller autentiseringsprogram, till exempel Microsoft Authenticator-appen, konfigurerad för användning när som helst.

Inställningar för telefonsamtal

Om användarna får telefonsamtal för MFA-frågor kan du konfigurera deras upplevelse, till exempel nummerpresentation eller rösthälsningen de hör.

I Estados Unidos, om du inte har konfigurerat MFA-nummerpresentation, kommer röstsamtal från Microsoft från följande nummer. Användning med skräppostfilter bör undanta det här numret.

  • +1 (855) 330-8653

Anteckning

När Azure AD Multi-Factor Authentication-samtal placeras via det offentliga telefonnätet dirigeras ibland samtalen via ett transportföretag som inte stöder nummerpresentation. Därför är nummerpresentationen inte garanterad, även om Azure AD Multi-Factor Authentication alltid skickar det. Detta gäller både telefonsamtal och textmeddelanden som tillhandahålls av Azure AD Multi-Factor Authentication. Om du behöver verifiera att ett textmeddelande kommer från Azure AD Multi-Factor Authentication läser du Vilka SMS-kortkoder används för att skicka meddelanden?.

Utför följande steg för att konfigurera ditt eget nummer för nummerpresentation:

  1. Gå till Azure Active Directory>Security>Multifactor Authentication>Telefonsamtalsinställningar.
  2. Ange MFA-nummer för nummerpresentation till det nummer som du vill att användarna ska se på sina telefoner. Endast USA-baserade tal tillåts.
  3. Välj Spara.

Anpassade röstmeddelanden

Du kan använda dina egna inspelningar eller hälsningar för Azure AD Multi-Factor Authentication. Dessa meddelanden kan användas utöver standard Microsoft inspelningar eller för att ersätta dem.

Innan du börjar bör du vara medveten om följande begränsningar:

  • Filformaten som stöds är .wav och .mp3.
  • Filstorleksgränsen är 1 MB.
  • Autentiseringsmeddelanden bör vara kortare än 20 sekunder. Meddelanden som är längre än 20 sekunder kan orsaka att verifieringen misslyckas. Om användaren inte svarar innan meddelandet är klart överskrider verifieringen tidsgränsen.

Beteende för anpassat meddelandespråk

När ett anpassat röstmeddelande spelas upp för användaren beror meddelandets språk på följande faktorer:

  • Användarens språk.
    • Det språk som identifieras av användarens webbläsare.
    • Andra autentiseringsscenarier kan bete sig annorlunda.
  • Språket för alla tillgängliga anpassade meddelanden.
    • Det här språket väljs av administratören när ett anpassat meddelande läggs till.

Om det till exempel bara finns ett anpassat meddelande och det är på tyska:

  • En användare som autentiserar på tyska kommer att höra det anpassade tyska meddelandet.
  • En användare som autentiserar på engelska hör standardmeddelandet på engelska.

Standardinställningar för anpassat röstmeddelande

Du kan använda följande exempelskript för att skapa egna anpassade meddelanden. Dessa fraser är standardvärdena om du inte konfigurerar dina egna anpassade meddelanden.

Meddelandenamn Skript
Autentiseringen lyckades Inloggningen har verifierats. Hej då.
Tilläggsprompt Tack för att du använder Microsoft inloggningsverifieringssystem. Tryck på pundknappen för att fortsätta.
Bedrägeribekräftelse En bedrägerivarning har skickats in. Om du vill avblockera ditt konto kontaktar du företagets IT-supportavdelning.
Bedrägerihälsning (standard) Tack för att du använder Microsoft inloggningsverifieringssystem. Tryck på pundknappen för att slutföra verifieringen. Om du inte har initierat den här verifieringen kanske någon försöker komma åt ditt konto. Tryck på noll pund för att skicka en bedrägerivarning. Detta meddelar företagets IT-team och blockerar ytterligare verifieringsförsök.
Bedrägeri rapporterat En bedrägerivarning har skickats in. Om du vill avblockera ditt konto kontaktar du företagets IT-supportavdelning.
Aktivering Tack för att du använder Microsoft inloggningsverifieringssystem. Tryck på pundknappen för att slutföra verifieringen.
Autentisering nekades återförsök Verifiering nekad.
Försök igen (standard) Tack för att du använder Microsoft inloggningsverifieringssystem. Tryck på pundknappen för att slutföra verifieringen.
Hälsning (standard) Tack för att du använder Microsoft inloggningsverifieringssystem. Tryck på pundknappen för att slutföra verifieringen.
Hälsning (PIN-kod) Tack för att du använder Microsoft inloggningsverifieringssystem. Ange din PIN-kod följt av pundnyckeln för att slutföra verifieringen.
Bedrägerihälsning (PIN-kod) Tack för att du använder Microsoft inloggningsverifieringssystem. Ange din PIN-kod följt av pundnyckeln för att slutföra verifieringen. Om du inte har initierat den här verifieringen kanske någon försöker komma åt ditt konto. Tryck på noll pund för att skicka en bedrägerivarning. Detta meddelar företagets IT-team och blockerar ytterligare verifieringsförsök.
Försök igen (PIN-kod) Tack för att du använder Microsoft inloggningsverifieringssystem. Ange din PIN-kod följt av pundnyckeln för att slutföra verifieringen.
Tilläggsprompt efter siffror Om du redan har denna förlängning trycker du på pundknappen för att fortsätta.
Autentisering nekad Jag är ledsen, vi kan inte logga in dig just nu. Försök igen senare.
Aktiveringshälsning (standard) Tack för att du använder Microsoft inloggningsverifieringssystem. Tryck på pundknappen för att slutföra verifieringen.
Återförsök av aktivering (standard) Tack för att du använder Microsoft inloggningsverifieringssystem. Tryck på pundknappen för att slutföra verifieringen.
Aktiveringshälsning (PIN-kod) Tack för att du använder Microsoft inloggningsverifieringssystem. Ange din PIN-kod följt av pundnyckeln för att slutföra verifieringen.
Tilläggsprompt före siffror Tack för att du använder Microsoft inloggningsverifieringssystem. Överför det här anropet till tilläggstillägget<>.

Konfigurera ett anpassat meddelande

Utför följande steg för att använda dina egna anpassade meddelanden:

  1. Gå till Azure Active Directory Security>>Multifaktorautentisering>Telefonsamtalsinställningar.
  2. Välj Lägg till hälsning.
  3. Välj Typ av hälsning, till exempel Hälsning (standard) eller Autentisering lyckades.
  4. Välj Språk. Se föregående avsnitt om beteendet för anpassat meddelandespråk.
  5. Bläddra efter och välj en .mp3- eller WAV-ljudfil som ska laddas upp.
  6. Välj Lägg till och sedan Spara.

MFA-tjänstinställningar

Inställningar för applösenord, betrodda IP-adresser, verifieringsalternativ och kom ihåg multifaktorautentisering på betrodda enheter är tillgängliga i tjänstinställningarna. Det här är en äldre portal. Det är inte en del av den vanliga Azure AD-portalen.

Du kan komma åt tjänstinställningar från Azure-Portal genom att gå till Azure Active Directory Security>>Multifaktorautentisering>Komma igång>Konfigurera>ytterligare molnbaserade MFA-inställningar. Ett fönster eller en flik öppnas med ytterligare alternativ för tjänstinställningar.

Tillförlitliga IP-adresser

Funktionen betrodda IP-adresser i Azure AD Multi-Factor Authentication kringgår frågor om multifaktorautentisering för användare som loggar in från ett definierat IP-adressintervall. Du kan ange betrodda IP-intervall för dina lokala miljöer. Det visas ingen fråga om multifaktorautentisering när användarna är på någon av dessa platser. Funktionen betrodda IP-adresser kräver Azure AD Premium P1.

Anteckning

Betrodda IP-adresser kan bara innehålla privata IP-intervall när du använder MFA Server. För molnbaserad Azure AD Multi-Factor Authentication kan du bara använda offentliga IP-adressintervall.

IPv6-intervall stöds endast i gränssnittet Namngivna platser (förhandsversion).

Om din organisation använder NPS-tillägget för att tillhandahålla MFA till lokala program, verkar källans IP-adress alltid vara den NPS-server som autentiseringsförsöket flödar genom.

Azure AD klientorganisationstyp Alternativ för betrodda IP-funktioner
Hanterad Specifikt intervall med IP-adresser: Administratörer anger ett intervall med IP-adresser som kan kringgå multifaktorautentiseringar för användare som loggar in från företagets intranät. Högst 50 betrodda IP-intervall kan konfigureras.
Federerade Alla federerade användare: Alla federerade användare som loggar in inifrån organisationen kan kringgå multifaktorautentiseringar. Användare kringgår verifieringar med hjälp av ett anspråk som utfärdas av Active Directory 联合身份验证服务 (AD FS).
Specifikt intervall med IP-adresser: Administratörer anger ett intervall med IP-adresser som kan kringgå multifaktorautentisering för användare som loggar in från företagets intranät.

Den betrodda IP-förbikopplingen fungerar bara inifrån företagets intranät. Om du väljer alternativet Alla federerade användare och en användare loggar in utanför företagets intranät måste användaren autentisera med hjälp av multifaktorautentisering. Processen är densamma även om användaren presenterar ett AD FS-anspråk.

Användarupplevelse i företagsnätverket

När funktionen betrodda IP-adresser är inaktiverad krävs multifaktorautentisering för webbläsarflöden. Applösenord krävs för äldre rich-client-program.

När betrodda IP-adresser används krävs inte multifaktorautentisering för webbläsarflöden. Applösenord krävs inte för äldre rich-client-program om användaren inte har skapat ett applösenord. När ett applösenord används krävs lösenordet.

Användarupplevelse utanför företagsnätverket

Oavsett om betrodda IP-adresser har definierats krävs multifaktorautentisering för webbläsarflöden. Applösenord krävs för äldre rich-client-program.

Aktivera namngivna platser med villkorlig åtkomst

Du kan använda regler för villkorsstyrd åtkomst för att definiera namngivna platser med hjälp av följande steg:

  1. I Azure-Portal söker du efter och väljer Azure Active Directory och går sedan till Platser medvillkorlig åtkomst> för säkerhet>.
  2. Välj Ny plats.
  3. Ange ett namn på platsen.
  4. Välj Markera som betrodd plats.
  5. Ange IP-intervallet för din miljö i CIDR-notation. Till exempel 40.77.182.32/27.
  6. Välj Skapa.

Aktivera funktionen betrodda IP-adresser med hjälp av villkorsstyrd åtkomst

Utför följande steg för att aktivera betrodda IP-adresser med hjälp av principer för villkorsstyrd åtkomst:

  1. I Azure-Portal söker du efter och väljer Azure Active Directory och går sedan till Platser medvillkorlig åtkomst> för säkerhet>.

  2. Välj Konfigurera betrodda IP-adresser för MFA.

  3. Välj något av följande alternativ under Betrodda IP-adresser på sidan Tjänstinställningar:

    • För begäranden från federerade användare som kommer från mitt intranät: Markera kryssrutan om du vill välja det här alternativet. Alla federerade användare som loggar in från företagsnätverket kringgår multifaktorautentiseringar med hjälp av ett anspråk som utfärdas av AD FS. Se till att AD FS har en regel för att lägga till intranätsanspråket i lämplig trafik. Om regeln inte finns skapar du följande regel i AD FS:

      c:[Type== "https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork"] => issue(claim = c);

    • För begäranden från ett visst intervall med offentliga IP-adresser: Om du vill välja det här alternativet anger du IP-adresserna i textrutan i CIDR-notation.

      • För IP-adresser som finns i intervallet xxx.xxx.xxx.1till och med xxx.xxx.xxx.254 använder du notation som xxx.xxx.xxx.0/24.
      • För en enskild IP-adress använder du notation som xxx.xxx.xxx.xxx/32.
      • Ange upp till 50 IP-adressintervall. Användare som loggar in från dessa IP-adresser kringgår multifaktorautentiseringar.
  4. Välj Spara.

Aktivera funktionen betrodda IP-adresser med hjälp av tjänstinställningar

Om du inte vill använda principer för villkorsstyrd åtkomst för att aktivera betrodda IP-adresser kan du konfigurera tjänstinställningarna för Azure AD Multi-Factor Authentication med hjälp av följande steg:

  1. I Azure-Portal söker du efter och väljer Azure Active Directory och väljer sedan Användare.

  2. Välj MFA per användare.

  3. Under multifaktorautentisering överst på sidan väljer du tjänstinställningar.

  4. På sidan Tjänstinställningar under Betrodda IP-adresser väljer du ett eller båda av följande alternativ:

    • För begäranden från federerade användare på mitt intranät: Markera kryssrutan om du vill välja det här alternativet. Alla federerade användare som loggar in från företagsnätverket kringgår multifaktorautentisering med hjälp av ett anspråk som utfärdas av AD FS. Se till att AD FS har en regel för att lägga till intranätsanspråket i lämplig trafik. Om regeln inte finns skapar du följande regel i AD FS:

      c:[Type== "https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork"] => issue(claim = c);

    • För begäranden från ett angivet intervall av IP-adressundernät: Om du vill välja det här alternativet anger du IP-adresserna i textrutan i CIDR-notation.

      • För IP-adresser som finns i intervallet xxx.xxx.xxx.1till och med xxx.xxx.xxx.254 använder du notation som xxx.xxx.xxx.0/24.
      • För en enskild IP-adress använder du notation som xxx.xxx.xxx.xxx/32.
      • Ange upp till 50 IP-adressintervall. Användare som loggar in från dessa IP-adresser kringgår multifaktorautentiseringar.
  5. Välj Spara.

Verifieringsmetoder

Du kan välja de verifieringsmetoder som är tillgängliga för dina användare i portalen för tjänstinställningar. När användarna registrerar sina konton för Azure AD Multi-Factor Authentication väljer de sin önskade verifieringsmetod bland de alternativ som du har aktiverat. Vägledning för användarregistreringsprocessen finns i Konfigurera mitt konto för multifaktorautentisering.

Följande verifieringsmetoder är tillgängliga:

Metod Beskrivning
Ring till telefon Ringer ett automatiserat röstsamtal. Användaren svarar på samtalet och trycker på # på telefonen för att autentisera. Telefonnumret synkroniseras inte med жергілікті Active Directory.
Sms till telefon Skickar ett sms som innehåller en verifieringskod. Användaren uppmanas att ange verifieringskoden i inloggningsgränssnittet. Den här processen kallas enkelriktad SMS. Tvåvägs-SMS innebär att användaren måste skicka tillbaka en viss kod. Tvåvägs-SMS är inaktuellt och stöds inte efter den 14 november 2018. Administratörer bör aktivera en annan metod för användare som tidigare använde dubbelriktad SMS.
Meddelande via mobilapp Skickar ett push-meddelande till användarens telefon eller registrerade enhet. Användaren visar meddelandet och väljer Verifiera för att slutföra verifieringen. Appen Microsoft Authenticator är tillgänglig för Windows Phone, Android och iOS.
Verifieringskod från mobilapp eller maskinvarutoken Appen Microsoft Authenticator genererar en ny OATH-verifieringskod var 30:e sekund. Användaren anger verifieringskoden i inloggningsgränssnittet. Appen Microsoft Authenticator är tillgänglig för Windows Phone, Android och iOS.

Mer information finns i Vilka autentiserings- och verifieringsmetoder är tillgängliga i Azure AD?.

Aktivera och inaktivera verifieringsmetoder

Om du vill aktivera eller inaktivera verifieringsmetoder utför du följande steg:

  1. I Azure-Portal söker du efter och väljer Azure Active Directory och väljer sedan Användare.
  2. Välj MFA per användare.
  3. Under multifaktorautentisering överst på sidan väljer du tjänstinställningar.
  4. På sidan tjänstinställningar går du till verifieringsalternativ och markerar eller avmarkerar lämpliga kryssrutor.
  5. Välj Spara.

Kom ihåg multifaktorautentisering

Funktionen kom ihåg multifaktorautentisering gör att användarna kan kringgå efterföljande verifieringar under ett angivet antal dagar efter att de har loggat in på en enhet med hjälp av MFA. Om du vill förbättra användbarheten och minimera antalet gånger som en användare måste utföra MFA på en viss enhet väljer du en varaktighet på 90 dagar eller mer.

Viktigt

Om ett konto eller en enhet komprometteras kan det påverka säkerheten att komma ihåg MFA för betrodda enheter. Om ett företagskonto komprometteras eller om en betrodd enhet tappas bort eller blir stulen bör du återkalla MFA-sessioner.

Åtgärden återkalla återkallar den betrodda statusen från alla enheter och användaren måste utföra multifaktorautentisering igen. Du kan också instruera användarna att återställa den ursprungliga MFA-statusen på sina egna enheter enligt beskrivningen i Hantera dina inställningar för multifaktorautentisering.

Så här fungerar funktionen

Funktionen kom ihåg multifaktorautentisering anger en beständig cookie i webbläsaren när en användare väljer alternativet Fråga inte igen för X dagar vid inloggning. Användaren tillfrågas inte igen om MFA från den webbläsaren förrän cookien upphör att gälla. Om användaren öppnar en annan webbläsare på samma enhet eller rensar cookies uppmanas de att verifiera igen.

Alternativet Fråga inte igen om X dagar visas inte i program som inte är webbläsarbaserade, oavsett om appen stöder modern autentisering eller inte. Dessa appar använder uppdateringstoken som ger nya åtkomsttoken varje timme. När en uppdateringstoken verifieras kontrollerar Azure AD att den senaste multifaktorautentiseringen inträffade inom det angivna antalet dagar.

Funktionen minskar antalet autentiseringar i webbappar, vilket normalt efterfrågas varje gång. Funktionen kan öka antalet autentiseringar för moderna autentiseringsklienter som normalt frågar var 180:e dag, om en lägre varaktighet har konfigurerats. Det kan också öka antalet autentiseringar i kombination med principer för villkorsstyrd åtkomst.

Viktigt

Funktionen kom ihåg att multifaktorautentisering inte är kompatibel med funktionen Håll mig inloggad i AD FS när användare utför multifaktorautentisering för AD FS via MFA Server eller en multifaktorautentiseringslösning från tredje part.

Om dina användare väljer håll mig inloggad på AD FS och även markerar sin enhet som betrodd för MFA, verifieras inte användaren automatiskt efter att antalet dagar för kom ihåg multifaktorautentisering upphör att gälla. Azure AD begär en ny multifaktorautentisering, men AD FS returnerar en token med det ursprungliga MFA-anspråket och -datumet, i stället för att utföra multifaktorautentisering igen. Den här reaktionen aktiverar en verifieringsloop mellan Azure AD och AD FS.

Kom ihåg att multifaktorautentiseringsfunktionen inte är kompatibel med B2B-användare och inte visas för B2B-användare när de loggar in på de inbjudna klienterna.

Aktivera kom ihåg multifaktorautentisering

Utför följande steg för att aktivera och konfigurera alternativet för att tillåta användare att komma ihåg sin MFA-status och kringgå prompter:

  1. I Azure-Portal söker du efter och väljer Azure Active Directory och väljer sedan Användare.
  2. Välj MFA per användare.
  3. Under multifaktorautentisering överst på sidan väljer du tjänstinställningar.
  4. På sidan Tjänstinställningar går du till Kom ihåg multifaktorautentisering och väljer Tillåt användare att komma ihåg multifaktorautentisering på enheter som de litar på.
  5. Ange hur många dagar som betrodda enheter ska kunna kringgå multifaktorautentiseringar. För optimal användarupplevelse kan du förlänga varaktigheten till 90 eller fler dagar.
  6. Välj Spara.

Markera en enhet som betrodd

När du har aktiverat funktionen kom ihåg multifaktorautentisering kan användarna markera en enhet som betrodd när de loggar in genom att välja Fråga inte igen.

Nästa steg

Mer information finns i Vilka autentiserings- och verifieringsmetoder är tillgängliga i Azure Active Directory?