Vanliga frågor och svar om Microsoft Entra Multifactor Authentication

Med Multi-Factor Authentication Server lagras användardata endast på de lokala servrarna. Inga beständiga användardata lagras i molnet. När användaren utför tvåstegsverifiering skickar Multi-Factor Authentication Server data till molntjänsten Microsoft Entra multifaktorautentisering för autentisering. Kommunikation mellan Multi-Factor Authentication Server och molntjänsten för multifaktorautentisering använder SSL (Secure Sockets Layer) eller TLS (Transport Layer Security) via port 443 utgående.

När autentiseringsbegäranden skickas till molntjänsten samlas data in för autentiserings- och användningsrapporter. Följande datafält ingår i tvåstegsverifieringsloggar:

• Unikt ID (antingen användarnamn eller lokalt Server-ID för multifaktorautentisering)
• För- och efternamn (valfritt)
• E-postadress (valfritt)
• Telefon tal (när du använder ett röstsamtal eller sms-autentisering)
• Enhetstoken (när du använder autentisering med mobilappar)
• Autentiseringsläge
• Autentiseringsresultat
• Servernamn för multifaktorautentisering
• IP-adress för multifaktorautentiseringsserver
• Klient-IP (om tillgängligt)

De valfria fälten kan konfigureras i Multi-Factor Authentication Server.

Verifieringsresultatet (lyckades eller nekades) och orsaken till att det nekades lagras med autentiseringsdata. Dessa data är tillgängliga i autentiserings- och användningsrapporter.

Mer information finns i Datahemvist och kunddata för Microsoft Entra multifaktorautentisering.

I USA använder vi följande korta koder:

• 97671
• 69829
• 51789
• 99399

I Kanada använder vi följande korta koder:

• 759731
• 673801

Det finns ingen garanti för konsekvent textmeddelande eller röstbaserad multifaktorautentisering med samma nummer. I användarnas intresse kan vi lägga till eller ta bort korta koder när som helst när vi gör vägjusteringar för att förbättra leveransen av textmeddelanden.

Vi stöder inte korta koder för länder eller regioner förutom USA och Kanada.

Ja, i vissa fall som vanligtvis omfattar upprepade autentiseringsbegäranden på kort tid begränsar Microsoft Entra multifaktorautentisering användarnas inloggningsförsök för att skydda telekommunikationsnätverk, minimera MFA-trötthetsattacker och skydda sina egna system till förmån för alla kunder.

Även om vi inte delar specifika begränsningsgränser baseras de på rimlig användning.

Nej, du debiteras inte för enskilda telefonsamtal eller sms som skickas till användare via Microsoft Entra multifaktorautentisering. Om du använder en MFA-provider per autentisering debiteras du för varje autentisering, men inte för den metod som används.

Användarna kan debiteras för telefonsamtal eller sms som de får, enligt deras personliga telefontjänst.

Faktureringen baseras på antalet användare som har konfigurerats för att använda multifaktorautentisering, oavsett om de utförde tvåstegsverifiering den månaden.

När du skapar en MFA-provider per användare eller per autentisering debiteras din organisations Azure-prenumeration varje månad baserat på användning. Den här faktureringsmodellen liknar hur Azure fakturerar för användning av virtuella datorer och Web Apps.

När du köper en prenumeration för Microsoft Entra multifaktorautentisering betalar din organisation endast den årliga licensavgiften för varje användare. MFA-licenser och Microsoft 365-, Microsoft Entra-ID P1- eller P2- eller Enterprise Mobility + Security-paket faktureras på det här sättet.

Mer information finns i Så här hämtar du Multifaktorautentisering för Microsoft Entra.

Standardinställningar för säkerhet kan aktiveras på den kostnadsfria nivån för Microsoft Entra-ID. Med säkerhetsstandarder är alla användare aktiverade för multifaktorautentisering med hjälp av Microsoft Authenticator-appen. Det finns ingen möjlighet att använda sms eller telefonverifiering med säkerhetsstandarder, bara Microsoft Authenticator-appen.

Mer information finns i Vad är standardinställningar för säkerhet?

Om din organisation köper MFA som en fristående tjänst med förbrukningsbaserad fakturering väljer du en faktureringsmodell när du skapar en MFA-provider. Du kan inte ändra faktureringsmodellen när en MFA-provider har skapats.

Om MFA-providern inte är länkad till en Microsoft Entra-klientorganisation eller om du länkar den nya MFA-providern till en annan Microsoft Entra-klientorganisation överförs inte användarinställningar och konfigurationsalternativ. Dessutom måste befintliga MFA-servrar återaktiveras med aktiveringsautentiseringsuppgifter som genereras via den nya MFA-providern. Återaktiveringen av MFA-servrarna för att koppla dem till den nya MFA-providern påverkar inte autentiseringen via telefonsamtal eller SMS, men mobilappsaviseringarna slutar fungera för alla användare tills de återaktiverar mobilappen.

Läs mer om MFA-leverantörer i Komma igång med en Azure multifaktorautentiseringsprovider.

I vissa fall, ja.

Om din katalog har en Microsoft Entra-multifaktorautentiseringsprovider per användare kan du lägga till MFA-licenser. Användare med licenser räknas inte i den förbrukningsbaserade faktureringen per användare. Användare utan licenser kan fortfarande aktiveras för MFA via MFA-providern. Om du köper och tilldelar licenser för alla användare som har konfigurerats för att använda multifaktorautentisering kan du ta bort Multifaktorautentiseringsprovidern för Microsoft Entra. Du kan alltid skapa en annan MFA-leverantör per användare om du har fler användare än licenser i framtiden.

Om din katalog har en Microsoft Entra-multifaktorautentiseringsprovider per autentisering debiteras du alltid för varje autentisering, så länge MFA-providern är länkad till din prenumeration. Du kan tilldela MFA-licenser till användare, men du debiteras fortfarande för varje tvåstegsverifieringsbegäran, oavsett om den kommer från någon med en tilldelad MFA-licens eller inte.

Om din organisation använder en förbrukningsbaserad faktureringsmodell är Microsoft Entra-ID valfritt, men krävs inte. Om MFA-providern inte är länkad till en Microsoft Entra-klientorganisation kan du bara distribuera Azure Multi-Factor Authentication Server lokalt.

Microsoft Entra-ID krävs för licensmodellen eftersom licenser läggs till i Microsoft Entra-klientorganisationen när du köper och tilldelar dem till användare i katalogen.

Låt användarna försöka upp till fem gånger på fem minuter för att få ett telefonsamtal eller sms för autentisering. Microsoft använder flera leverantörer för att leverera samtal och textmeddelanden. Om den här metoden inte fungerar öppnar du ett supportärende för att felsöka ytterligare.

Säkerhetsappar från tredje part kan också blockera verifieringskodens sms eller telefonsamtal. Om du använder en säkerhetsapp från tredje part kan du prova att inaktivera skyddet och sedan begära att en annan MFA-verifieringskod skickas.

Om stegen ovan inte fungerar kontrollerar du om användarna har konfigurerats för mer än en verifieringsmetod. Försök att logga in igen, men välj en annan verifieringsmetod på inloggningssidan.

Mer information finns i felsökningsguiden för slutanvändare.

Du kan återställa användarens konto genom att göra så att de går igenom registreringsprocessen igen. Läs mer om att hantera användar- och enhetsinställningar med Microsoft Entra multifaktorautentisering i molnet.

Om du vill förhindra obehörig åtkomst tar du bort alla användarens applösenord. När användaren har en ersättningsenhet kan de återskapa lösenorden. Läs mer om att hantera användar- och enhetsinställningar med Microsoft Entra multifaktorautentisering i molnet.

Om din organisation fortfarande använder äldre klienter och du har tillåtit användning av applösenord kan användarna inte logga in på dessa äldre klienter med sitt användarnamn och lösenord. I stället måste de konfigurera applösenord. Användarna måste rensa (ta bort) sin inloggningsinformation, starta om appen och sedan logga in med sitt användarnamn och applösenord i stället för sitt vanliga lösenord.

Om din organisation inte har äldre klienter bör du inte tillåta att användarna skapar applösenord.

Leverans av textmeddelanden garanteras inte eftersom okontrollerbara faktorer kan påverka tjänstens tillförlitlighet. Dessa faktorer inkluderar mållandet eller regionen, mobiltelefonoperatören och signalstyrkan.

Säkerhetsappar från tredje part kan också blockera verifieringskodens sms eller telefonsamtal. Om du använder en säkerhetsapp från tredje part kan du prova att inaktivera skyddet och sedan begära att en annan MFA-verifieringskod skickas.

Om användarna ofta har problem med att ta emot textmeddelanden på ett tillförlitligt sätt kan du be dem att använda Microsoft Authenticator-appen eller telefonsamtalsmetoden i stället. Microsoft Authenticator kan ta emot meddelanden både via mobilnät och Wi-Fi-anslutningar. Dessutom kan mobilappen generera verifieringskoder även om enheten inte har någon signal alls. Microsoft Authenticator-appen finns för Android, iOS och Windows Phone.

I vissa fall ja.

För enkelriktade SMS med MFA Server v7.0 eller senare kan du konfigurera timeout-inställningen genom att ange en registernyckel. När MFA-molntjänsten har skickat textmeddelandet returneras verifieringskoden (eller engångslösenordet) till MFA-servern. MFA-servern lagrar koden i minnet i 300 sekunder som standard. Om användaren inte anger koden innan de 300 sekunderna har passerat nekas autentiseringen. Använd de här stegen för att ändra standardinställningen för timeout:

1. Gå till HKLM\Software\Wow6432Node\Positive Networks\PhoneFactor.
2. Skapa en DWORD-registernyckel med namnet pfsvc_pendingSmsTimeoutSeconds och ange den tid i sekunder som du vill att MFA-servern ska lagra engångslösenord.

Om användarna inte svarar på SMS:et inom den definierade tidsgränsen nekas deras autentisering.

För enkelriktad SMS med Microsoft Entra multifaktorautentisering i molnet (inklusive AD FS-adaptern eller servertillägget för nätverksprincip) kan du inte konfigurera tidsgränsinställningen. Microsoft Entra ID lagrar verifieringskoden i 180 sekunder.

Om du använder Multi-Factor Authentication Server kan du importera tidsbaserade TOTP-token (Open Authentication) från tredje part och sedan använda dem för tvåstegsverifiering.

Du kan använda ActiveIdentity-token som är OATH TOTP-token om du placerar den hemliga nyckeln i en CSV-fil och importerar till Multi-Factor Authentication Server. Du kan använda OATH-token med Active Directory Federation Services (AD FS) (ADFS), IIS-formulärbaserad autentisering (Internet Information Server) och RADIUS (Remote Authentication Dial-In User Service) så länge klientsystemet kan acceptera användarens indata.

Du kan importera OATH TOTP-token från tredje part med följande format:

• Portabel symmetrisk nyckelcontainer (PSKC)
• CSV om filen innehåller ett serienummer, en hemlig nyckel i Base 32-format och ett tidsintervall

Ja, men om du använder Windows Server 2012 R2 eller senare kan du bara skydda Terminal Services med hjälp av Fjärrskrivbordsgateway (RD Gateway).

Säkerhetsändringar i Windows Server 2012 R2 ändrade hur Multi-Factor Authentication Server ansluter till LSA-säkerhetspaketet (Local Security Authority) i Windows Server 2012 och tidigare versioner. För versioner av Terminal Services i Windows Server 2012 eller tidigare kan du skydda ett program med Windows-autentisering. Om du använder Windows Server 2012 R2 behöver du fjärrskrivbordsgateway.

När multifaktorautentiseringssamtal görs via det offentliga telefonnätet dirigeras de ibland via en operatör som inte stöder nummerpresentation. På grund av det här operatörsbeteendet är nummerpresentationen inte garanterad, även om multifaktorautentiseringssystemet alltid skickar det.

Det finns flera orsaker till att användare kan uppmanas att registrera sin säkerhetsinformation:

• Användaren har aktiverats för MFA av sin administratör i Microsoft Entra-ID, men har inte säkerhetsinformation registrerad för sitt konto ännu.
• Användaren har aktiverats för självbetjäning av lösenordsåterställning i Microsoft Entra-ID. Säkerhetsinformationen hjälper dem att återställa sitt lösenord i framtiden om de någonsin glömmer det.
• Användaren har använt ett program som har en princip för villkorsstyrd åtkomst för att kräva MFA och som inte tidigare har registrerats för MFA.
• Användaren registrerar en enhet med Microsoft Entra-ID (inklusive Microsoft Entra-anslutning) och din organisation kräver MFA för enhetsregistrering, men användaren har inte tidigare registrerat sig för MFA.
• Användaren genererar Windows Hello för företag i Windows 10 (som kräver MFA) och har inte tidigare registrerat sig för MFA.
• Organisationen har skapat och aktiverat en MFA-registreringsprincip som har tillämpats på användaren.
• Användaren registrerades tidigare för MFA, men valde en verifieringsmetod som en administratör sedan dess har inaktiverat. Användaren måste därför gå igenom MFA-registreringen igen för att välja en ny standardverifieringsmetod.

Be användaren att slutföra följande procedur för att ta bort sitt konto från Microsoft Authenticator och lägg sedan till det igen:

1. Gå till kontoprofilen och logga in med ett organisationskonto.
2. Välj Ytterligare säkerhetsverifiering.
3. Ta bort det befintliga kontot från Microsoft Authenticator-appen.
4. Klicka på Konfigurera och följ sedan anvisningarna för att konfigurera om Microsoft Authenticator.

Felet 0x800434D4L uppstår när du försöker logga in på ett program som inte är ett webbläsarprogram, installerat på en lokal dator, som inte fungerar med konton som kräver tvåstegsverifiering.

En lösning på det här felet är att ha separata användarkonton för administratörsrelaterade och icke-administratörsåtgärder. Senare kan du länka postlådor mellan ditt administratörskonto och ett konto som inte är administratör så att du kan logga in på Outlook med ditt konto som inte är administratör. Mer information om den här lösningen finns i hur du ger en administratör möjlighet att öppna och visa innehållet i en användares postlåda.

Fel 1073741715 = Statusinloggningsfel –> Inloggningsförsöket är ogiltigt. Detta beror antingen på ett felaktigt användarnamn eller autentisering.

En rimlig orsak till det här felet: Om de primära autentiseringsuppgifterna är korrekta kan det uppstå ett matchningsfel mellan den NTLM-version som stöds på MFA-servern och domänkontrollanten. MFA Server stöder endast NTLMv1 (LmCompatabilityLevel=1 till 4) och inte NTLMv2 (LmCompatabilityLevel=5).

Nästa steg

Om din fråga inte besvaras här är följande supportalternativ tillgängliga:

• Sök i Microsoft Support Knowledge Base efter lösningar på vanliga tekniska problem.
• Sök efter och bläddra bland tekniska frågor och svar från communityn, eller ställ din egen fråga i Microsoft Entra Q&A.
• Kontakta Microsoft Professional via stöd för Multi-Factor Authentication Server. När du kontaktar oss är det bra om du kan inkludera så mycket information om problemet som möjligt. Information som du kan ange innehåller sidan där du såg felet, den specifika felkoden, det specifika sessions-ID:t och ID:t för den användare som såg felet.
• Om du är en äldre Telefon Faktorkund och du har frågor eller behöver hjälp med att återställa ett lösenord använder du e-postadressen för att öppna ett supportärendephonefactorsupport@microsoft.com.