Autentiseringsmetoder i Microsoft Entra-ID – Microsoft Authenticator-appen
Microsoft Authenticator-appen ger en annan säkerhetsnivå för ditt Microsoft Entra-arbets- eller skolkonto eller ditt Microsoft-konto och är tillgänglig för Android och iOS. Med Microsoft Authenticator-appen kan användare autentisera på ett lösenordslöst sätt under inloggningen, eller ett annat verifieringsalternativ under självbetjäning av lösenordsåterställning (SSPR) eller multifaktorautentiseringshändelser.
Nu kan du använda nycklar för användarautentisering. Användare kan sedan få ett meddelande via sin mobilapp för att godkänna eller neka Authenticator-appen att generera en OATH-verifieringskod. Den här koden kan sedan anges i ett inloggningsgränssnitt. Om du aktiverar både en meddelande- och verifieringskod kan användare som registrerar Authenticator-appen använda någon av metoderna för att verifiera sin identitet med hjälp av nyckelnycklar.
Not
För att förbereda nyckelstöd i Microsoft Authenticator kan användarna se Authenticator som en nyckelleverantör på iOS- och Android-enheter. Mer information finns i Inloggning med nyckelnycklar (förhandsversion).
Om du vill använda Authenticator-appen vid en inloggningsprompt i stället för en kombination av användarnamn och lösenord läser du Aktivera lösenordslös inloggning med Microsoft Authenticator.
Not
- Användarna har inte möjlighet att registrera sin mobilapp när de aktiverar SSPR. I stället kan användarna registrera sin mobilapp på https://aka.ms/mfasetup eller som en del av den kombinerade registreringen av säkerhetsinformation på https://aka.ms/setupsecurityinfo.
- Authenticator-appen kanske inte stöds i betaversioner av iOS och Android. Från och med den 20 oktober 2023 stöder authenticator-appen på Android inte längre äldre versioner av Android-Företagsportal. Android-användare med Företagsportal versioner under 2111 (5.0.5333.0) kan inte registrera om eller registrera nya instanser av Authenticator förrän de uppdaterar sina Företagsportal program till en nyare version.
Inloggning med lösenord (förhandsversion)
Authenticator är en kostnadsfri nyckellösning som låter användare göra lösenordsfria nätfiskeresistenta autentiseringar från sina egna telefoner. Några viktiga fördelar med att använda nyckelnycklar i Authenticator-appen:
- Nycklar kan enkelt distribueras i stor skala. Sedan är nycklar tillgängliga på en användares telefon för både hantering av mobila enheter (MDM) och BYOD-scenarier (Bring Your Own Device).
- Nycklar i Authenticator kostar inget mer och reser med användaren vart de än går.
- Nycklar i Authenticator är enhetsbundna, vilket säkerställer att nyckeln inte lämnar enheten som den skapades på.
- Användarna håller sig uppdaterade med den senaste nyckelinnovationen baserat på öppna WebAuthn-standarder.
- Företag kan lägga andra funktioner ovanpå autentiseringsflöden, till exempel FIPS 140-efterlevnad.
Enhetsbunden nyckel
Nycklar i Authenticator-appen är enhetsbundna för att säkerställa att de aldrig lämnar den enhet som de skapades på. På en iOS-enhet använder Authenticator den säkra enklaven för att skapa nyckeln. På Android skapar vi nyckeln i det säkra elementet på enheter som stöder det eller återgår till den betrodda körningsmiljön (TEE).
Så här fungerar nyckelattestering med Authenticator
För tillfället är nycklar i Authenticator otestade. Attesteringsstöd för nyckelnycklar i Authenticator planeras för en framtida version.
Säkerhetskopiera och återställa nycklar i Authenticator
Nycklar i Authenticator säkerhetskopieras inte och kan inte återställas på en ny enhet. Om du vill skapa nycklar på en ny enhet använder du nyckeln på en äldre enhet eller använder en annan autentiseringsmetod för att återskapa nyckeln.
Lösenordsfri inloggning
I stället för att se en uppmaning om ett lösenord efter att ha angett ett användarnamn ser användare som aktiverar telefoninloggning från Authenticator-appen ett meddelande om att ange ett nummer i sin app. När rätt nummer har valts slutförs inloggningsprocessen.
Den här autentiseringsmetoden ger en hög säkerhetsnivå och tar bort behovet av att användaren anger ett lösenord vid inloggning.
Information om hur du kommer igång med lösenordslös inloggning finns i Aktivera lösenordslös inloggning med Microsoft Authenticator.
Meddelande via mobilapp
Authenticator-appen kan hjälpa till att förhindra obehörig åtkomst till konton och stoppa bedrägliga transaktioner genom att skicka ett meddelande till din smartphone eller surfplatta. Användarna visar meddelandet och väljer Verifiera om det är legitimt. Annars kan de välja Neka.
Not
Från och med augusti 2023 genererar avvikande inloggningar inte meddelanden, på samma sätt som inloggningar från okända platser inte genererar meddelanden. Om du vill godkänna en avvikande inloggning kan användarna öppna Microsoft Authenticator eller Authenticator Lite i en relevant tillhörande app som Outlook. Sedan kan de antingen hämta för att uppdatera eller trycka på Uppdatera och godkänna begäran.
I Kina fungerar inte metoden Notification through mobile app på Android-enheter eftersom google play-tjänster (inklusive push-meddelanden) blockeras i regionen. IOS-meddelanden fungerar dock. För Android-enheter bör alternativa autentiseringsmetoder göras tillgängliga för dessa användare.
Verifieringskod från mobilapp
Authenticator-appen kan användas som en programvarutoken för att generera en OATH-verifieringskod. När du har angett ditt användarnamn och lösenord anger du koden som tillhandahålls av Authenticator-appen i inloggningsgränssnittet. Verifieringskoden ger en andra form av autentisering.
Not
OATH-verifieringskoder som genereras av Authenticator stöds inte för certifikatbaserad autentisering.
Användare kan ha en kombination av upp till fem OATH-maskinvarutoken eller autentiseringsprogram, till exempel Authenticator-appen, som konfigurerats för användning när som helst.
FIPS 140-kompatibel för Microsoft Entra-autentisering
I enlighet med de riktlinjer som beskrivs i NIST SP 800-63B måste autentiserare som används av amerikanska myndigheter använda FIPS 140-validerad kryptografi. Den här riktlinjen hjälper amerikanska myndigheter att uppfylla kraven i Executive Order (EO) 14028. Dessutom hjälper den här riktlinjen andra reglerade branscher som sjukvårdsorganisationer som arbetar med elektroniska recept för kontrollerade ämnen (EPCS) att uppfylla sina regelkrav.
FIPS 140 är en amerikansk myndighetsstandard som definierar minimikrav för säkerhet för kryptografiska moduler i informationsteknikprodukter och -system. Valideringsprogrammet för kryptografiska moduler (CMVP) underhåller testningen mot FIPS 140-standarden.
Microsoft Authenticator för iOS
Från och med version 6.6.8 använder Microsoft Authenticator för iOS den inbyggda Apple CoreCrypto-modulen för FIPS-validerad kryptografi på Apple iOS FIPS 140-kompatibla enheter. Alla Microsoft Entra-autentiseringar med nätfiskeresistenta enhetsbundna nycklar, push-multifaktorautentisering (MFA), lösenordslös telefoninloggning (PSI) och tidsbaserade engångslösenord (TOTP) använder FIPS-kryptografin.
Mer information om FIPS 140-verifierade kryptografiska moduler som används och kompatibla iOS-enheter finns i Säkerhetscertifieringar för Apple iOS.
Microsoft Authenticator för Android
Från och med version 6.2409.6094 på Microsoft Authenticator för Android betraktas alla autentiseringar i Microsoft Entra-ID, inklusive nyckelnycklar, nu som FIPS-kompatibla. Authenticator använder wolfSSL Inc.:s kryptografiska modul för att uppnå FIPS 140- och säkerhetsnivå 1-efterlevnad på Android-enheter. Mer information om certifieringen som används finns i Valideringsprogrammet för kryptografiska moduler | CSRC (nist.gov).
Fastställa registreringstypen Microsoft Authenticator i Säkerhetsinformation
Användare kan komma åt min säkerhetsinformation (se URL:er i nästa avsnitt) eller genom att välja Säkerhetsinformation från MyAccount för att hantera och lägga till fler Microsoft Authenticator-registreringar. Specifika ikoner används för att skilja mellan om Microsoft Authenticator-registreringen är lösenordslös inloggning eller MFA.
Registreringstyp för authenticator | Ikon |
---|---|
Microsoft Authenticator: Lösenordslös telefoninloggning | |
Microsoft Authenticator: (Notification/Code) |
MySecurityInfo-länkar
Moln | MySecurityInfo URL |
---|---|
Azure Commercial (inklusive GCC) | https://aka.ms/MySecurityInfo |
Azure for US Government (inkluderar GCC High och DoD) | https://aka.ms/MySecurityInfo-us |
Uppdateringar av authenticator
Microsoft uppdaterar kontinuerligt Authenticator för att upprätthålla en hög säkerhetsnivå. För att säkerställa att användarna får bästa möjliga upplevelse rekommenderar vi att de kontinuerligt uppdaterar sin Authenticator-app. Vid kritiska säkerhetsuppdateringar kan appversioner som inte är uppdaterade sluta fungera och kan blockera användare från att slutföra sina autentiseringar. Om en användare använder en version av appen som inte stöds uppmanas de att uppgradera till den senaste versionen innan de kan fortsätta med autentiseringar.
Microsoft drar också regelbundet tillbaka äldre versioner av Authenticator-appen för att upprätthålla en hög säkerhetsstapel för din organisation. Om en användares enhet inte stöder moderna versioner av Microsoft Authenticator-appen kan de inte logga in med appen. Vi rekommenderar att dessa användare använder en OATH-verifieringskod i Microsoft Authenticator-appen för att slutföra tvåfaktorautentisering.
Nästa steg
Information om hur du kommer igång med lösenord finns i Aktivera nyckelnycklar i Microsoft Authenticator-inloggning (förhandsversion).
Mer information om lösenordslös inloggning finns i Aktivera lösenordslös inloggning med Microsoft Authenticator.
Läs mer om hur du konfigurerar autentiseringsmetoder med hjälp av Microsoft Graph REST API.