Redigera

Hantera metoder för användarautentisering för Microsoft Entra-multifaktorautentisering

  • Så här gör du

Användare i Microsoft Entra ID har två olika uppsättningar med kontaktinformation:

  • Kontaktinformation för offentlig profil, som hanteras i användarprofilen och är synlig för medlemmar i din organisation. För användare som synkroniseras från lokal Active Directory hanteras den här informationen i lokala Windows Server Active Directory-domän Services.
  • Autentiseringsmetoder, som alltid hålls privata och endast används för autentisering, inklusive multifaktorautentisering. Administratörer kan hantera dessa metoder på en användares autentiseringsmetodblad och användarna kan hantera sina metoder på sidan Säkerhetsinformation i MyAccount.

När du hanterar Microsoft Entra multifaktorautentiseringsmetoder för dina användare kan autentiseringsadministratörer:

  • Lägg till autentiseringsmetoder för en specifik användare, inklusive telefonnummer som används för MFA.
  • Återställ en användares lösenord.
  • Kräv att en användare registrerar om för MFA.
  • Återkalla befintliga MFA-sessioner.
  • Ta bort en användares befintliga applösenord

Förutsättningar

Microsoft Entra multifaktorautentisering, som är aktiverad som standard.

Lägga till autentiseringsmetoder för en användare

Du kan lägga till autentiseringsmetoder för en användare med hjälp av administrationscentret för Microsoft Entra eller Microsoft Graph.

Kommentar

Av säkerhetsskäl bör fält för kontaktinformation för offentliga användare inte användas för att utföra MFA. I stället bör användarna fylla i sina autentiseringsmetodnummer som ska användas för MFA.

Skärmbild av att lägga till autentiseringsmetoder från administrationscentret för Microsoft Entra.

Så här lägger du till autentiseringsmetoder för en användare i administrationscentret för Microsoft Entra:

  1. Logga in på administrationscentret för Microsoft Entra som minst autentiseringsadministratör.
  2. Gå till Identitet>Användare>Alla användare.
  3. Välj den användare som du vill lägga till en autentiseringsmetod för och välj Autentiseringsmetoder.
  4. Längst upp i fönstret väljer du + Lägg till autentiseringsmetod.
    • Välj en metod (telefonnummer eller e-post). E-post kan användas för självlösenordsåterställning men inte autentisering. När du lägger till ett telefonnummer väljer du en telefontyp och anger telefonnummer med giltigt format (t.ex. +1 4255551234).
    • Markera Lägga till.

Kommentar

Med förhandsversionen kan administratörer lägga till tillgängliga autentiseringsmetoder för användare, medan den ursprungliga upplevelsen endast tillåter uppdatering av telefon- och alternativa telefonmetoder.

Hantera metoder med PowerShell

Installera PowerShell-modulen Microsoft.Graph.Identity.Signins med hjälp av följande kommandon.

Install-module Microsoft.Graph.Identity.Signins
Connect-MgGraph -Scopes "User.Read.all","UserAuthenticationMethod.Read.All","UserAuthenticationMethod.ReadWrite.All"
Select-MgProfile -Name beta

List phone based authentication methods for a specific user.

Get-MgUserAuthenticationPhoneMethod -UserId balas@contoso.com

Create a mobile phone authentication method for a specific user.

New-MgUserAuthenticationPhoneMethod -UserId balas@contoso.com -phoneType "mobile" -phoneNumber "+1 7748933135"

Remove a specific phone method for a user

Remove-MgUserAuthenticationPhoneMethod -UserId balas@contoso.com -PhoneAuthenticationMethodId 3179e48a-750b-4051-897c-87b9720928f7

Authentication methods can also be managed using Microsoft Graph APIs. For more information, see Authentication and authorization basics.

Hantera alternativ för användarautentisering

Dricks

Stegen i den här artikeln kan variera något beroende på vilken portal du börjar från.

Om du har tilldelats rollen autentiseringsadministratör kan du kräva att användarna återställer sitt lösenord, registrerar om för MFA eller återkallar befintliga MFA-sessioner från användarobjektet. Utför följande steg för att hantera användarinställningar:

  1. Logga in på administrationscentret för Microsoft Entra som minst autentiseringsadministratör.

  2. Gå till Identitet>Användare>Alla användare.

  3. Välj den användare som du vill utföra en åtgärd på och välj Autentiseringsmetoder. Överst i fönstret väljer du sedan något av följande alternativ för användaren:

    • Återställ lösenordet återställer användarens lösenord och tilldelar ett tillfälligt lösenord som måste ändras vid nästa inloggning.
    • Kräv omregistrering av MFA inaktiverar användarens maskinvaru-OATH-token och tar bort följande autentiseringsmetoder från den här användaren: telefonnummer, Microsoft Authenticator-appar och OATH-token för programvara. Om det behövs uppmanas användaren att konfigurera en ny MFA-autentiseringsmetod nästa gång de loggar in.
    • Återkalla MFA-sessioner rensar användarens ihågkomna MFA-sessioner och kräver att de utför MFA nästa gång det krävs av principen på enheten.

    Skärmbild av hantera autentiseringsmetoder från administrationscentret för Microsoft Entra.

Ta bort användarnas befintliga applösenord

För användare som har definierat applösenord kan administratörer också välja att ta bort dessa lösenord, vilket gör att äldre autentisering misslyckas i dessa program. Dessa åtgärder kan vara nödvändiga om du behöver hjälp med en användare eller behöver återställa deras autentiseringsmetoder. Appar som inte är webbläsarappar som har associerats med dessa applösenord slutar fungera tills ett nytt applösenord har skapats.

Utför följande steg för att ta bort en användares applösenord:

  1. Logga in på administrationscentret för Microsoft Entra som minst autentiseringsadministratör.

  2. Gå till Identitet>Användare>Alla användare.

  3. Välj Multifaktorautentisering. Du kan behöva rulla åt höger för att se det här menyalternativet. Välj skärmbilden nedan för att se hela fönstret och menyplatsen: Skärmbild av välj multifaktorautentisering från fönstret Användare i Microsoft Entra-ID.

  4. Markera kryssrutan bredvid den användare eller de användare som du vill hantera. En lista med snabbstegsalternativ visas till höger.

  5. Välj Hantera användarinställningar och markera sedan kryssrutan Ta bort alla befintliga applösenord som genererats av de valda användarna, som du ser i följande exempel: Skärmbild av att ta bort alla befintliga applösenord.

  6. Välj Spara och stäng sedan.

Relaterat innehåll