Hantera autentiseringsmetoder för Microsoft Entra-ID
Med Microsoft Entra-ID kan du använda en rad olika autentiseringsmetoder för att stödja en mängd olika inloggningsscenarier. Administratörer kan specifikt konfigurera varje metod för att uppfylla sina mål för användarupplevelse och säkerhet. Det här avsnittet beskriver hur du hanterar autentiseringsmetoder för Microsoft Entra-ID och hur konfigurationsalternativ påverkar scenarier för användarinloggning och lösenordsåterställning.
Princip för autentiseringsmetoder
Principen Autentiseringsmetoder är det rekommenderade sättet att hantera autentiseringsmetoder, inklusive moderna metoder som lösenordslös autentisering. Administratörer av autentiseringsprinciper kan redigera den här principen för att aktivera autentiseringsmetoder för alla användare eller specifika grupper.
Metoder som är aktiverade i principen Autentiseringsmetoder kan vanligtvis användas var som helst i Microsoft Entra-ID för både autentiserings- och lösenordsåterställningsscenarier. Undantaget är att vissa metoder är begränsade till att användas i autentisering, till exempel FIDO2 och Windows Hello för företag, och andra är begränsade till att användas vid lösenordsåterställning, till exempel säkerhetsfrågor. Om du vill ha mer kontroll över vilka metoder som kan användas i ett visst autentiseringsscenario bör du överväga att använda funktionen Autentiseringsstyrkor .
De flesta metoder har också konfigurationsparametrar för att mer exakt kontrollera hur metoden kan användas. Om du till exempel aktiverar röstsamtal kan du även ange om en kontorstelefon kan användas utöver en mobiltelefon.
Eller anta att du vill aktivera lösenordslös autentisering med Microsoft Authenticator. Du kan ange extra parametrar som att visa användarens inloggningsplats eller namnet på appen som loggas in på. De här alternativen ger mer kontext för användare när de loggar in och hjälper till att förhindra oavsiktliga MFA-godkännanden.
Om du vill hantera principen Autentiseringsmetoder loggar du in på administrationscentret för Microsoft Entra som minst administratör för autentiseringsprinciper och bläddrar till Principer för skyddsautentiseringsmetoder>>.
Endast den konvergerade registreringsupplevelsen är medveten om principen för autentiseringsmetoder. Användare i omfånget för principen Autentiseringsmetoder men inte den konvergerade registreringsmiljön ser inte rätt metoder för registrering.
Äldre MFA- och SSPR-principer
Två andra principer, som finns i inställningar för multifaktorautentisering och inställningar för lösenordsåterställning , ger ett äldre sätt att hantera vissa autentiseringsmetoder för alla användare i klientorganisationen. Du kan inte styra vem som använder en aktiverad autentiseringsmetod eller hur metoden kan användas. En global administratör krävs för att hantera dessa principer.
Viktigt!
I mars 2023 tillkännagav vi utfasningen av hantering av autentiseringsmetoder i äldre principer för multifaktorautentisering och självbetjäning av lösenordsåterställning (SSPR). Från och med den 30 september 2025 kan autentiseringsmetoder inte hanteras i dessa äldre MFA- och SSPR-principer. Vi rekommenderar att kunderna använder den manuella migreringskontrollen för att migrera till principen Autentiseringsmetoder efter utfasningsdatumet.
Om du vill hantera den äldre MFA-principen väljer du Säkerhet>Multifaktorautentisering>Ytterligare molnbaserade inställningar för multifaktorautentisering.
Om du vill hantera autentiseringsmetoder för självbetjäning av lösenordsåterställning (SSPR) klickar du på Autentiseringsmetoder för lösenordsåterställning>. Alternativet Mobiltelefon i den här principen tillåter att röstsamtal eller sms skickas till en mobiltelefon. Alternativet Office-telefon tillåter endast röstsamtal.
Så här fungerar principer tillsammans
Inställningar synkroniseras inte mellan principerna, vilket gör att administratörer kan hantera varje princip oberoende av varandra. Microsoft Entra-ID respekterar inställningarna i alla principer så att en användare som är aktiverad för en autentiseringsmetod i alla principer kan registrera och använda den metoden. För att förhindra användare från att använda en metod måste den inaktiveras i alla principer.
Nu ska vi gå igenom ett exempel där en användare som tillhör gruppen Redovisning vill registrera Microsoft Authenticator. Registreringsprocessen kontrollerar först principen Autentiseringsmetoder. Om redovisningsgruppen är aktiverad för Microsoft Authenticator kan användaren registrera den.
Annars kontrollerar registreringsprocessen den äldre MFA-principen. I den principen kan alla användare registrera Microsoft Authenticator om någon av dessa inställningar är aktiverad för MFA:
- Meddelande via mobilapp
- Verifieringskod från mobilapp eller maskinvarutoken
Om användaren inte kan registrera Microsoft Authenticator baserat på någon av dessa principer kontrollerar registreringsprocessen den äldre SSPR-principen. I den principen kan en användare också registrera Microsoft Authenticator om användaren är aktiverad för SSPR och någon av dessa inställningar är aktiverade:
- Avisering om mobilapp
- Mobilappkod
För användare som är aktiverade för mobiltelefon för SSPR kan den oberoende kontrollen mellan principer påverka inloggningsbeteendet. Om de andra principerna har separata alternativ för textmeddelande- och röstsamtal aktiverar mobiltelefonen för SSPR båda alternativen. Det innebär att alla som använder mobiltelefon för SSPR också kan använda röstsamtal för lösenordsåterställning, även om de andra principerna inte tillåter röstsamtal.
På samma sätt antar vi att du aktiverar röstsamtal för en grupp. När du har aktiverat det upptäcker du att även användare som inte är gruppmedlemmar kan logga in med ett röstsamtal. I det här fallet är det troligt att dessa användare är aktiverade för mobiltelefon i den äldre SSPR-principen eller Ring till telefon i den äldre MFA-principen.
Migrering mellan principer
Principen Autentiseringsmetoder tillhandahåller en migreringsväg mot enhetlig administration av alla autentiseringsmetoder. Alla önskade metoder kan aktiveras i principen Autentiseringsmetoder, förutsatt att den har definierats de användargrupper som krävs för varje princip för autentiseringsmetod (såvida den inte gäller för alla användare). Efter den här hanteringsaktiviteten för användargrupper kan metoder i äldre MFA- och SSPR-principer inaktiveras. Migreringen har tre inställningar som gör att du kan flytta i din egen takt och undvika problem med inloggning eller SSPR under övergången. När migreringen är klar centraliserar du kontrollen över autentiseringsmetoderna för både inloggning och SSPR på en enda plats, och de äldre MFA- och SSPR-principerna inaktiveras.
Kommentar
Säkerhetsfrågor kan bara aktiveras i dag med hjälp av den äldre SSPR-principen. I framtiden kommer den att göras tillgänglig i principen Autentiseringsmetoder. Om du använder säkerhetsfrågor och inte vill inaktivera dem ska du se till att de är aktiverade i den äldre SSPR-principen tills den nya kontrollen är tillgänglig i framtiden. Du kan migrera resten av dina autentiseringsmetoder och fortfarande hantera säkerhetsfrågor i den äldre SSPR-principen.
Om du vill visa migreringsalternativen öppnar du principen Autentiseringsmetoder och klickar på Hantera migrering.
I följande tabell beskrivs varje alternativ.
| Alternativ | Description |
|---|---|
| Före migrering | Principen Autentiseringsmetoder används endast för autentisering. Äldre principinställningar respekteras. |
| Migrering pågår | Principen Autentiseringsmetoder används för autentisering och SSPR. Äldre principinställningar respekteras. |
| Migreringen har slutförts | Endast principen Autentiseringsmetoder används för autentisering och SSPR. Äldre principinställningar ignoreras. |
Klienter är inställda på antingen Före migrering eller Migrering pågår som standard, beroende på klientorganisationens aktuella tillstånd. Om du börjar i före migreringen kan du när som helst gå över till något av tillstånden. Om du har startat migreringen pågår kan du när som helst flytta mellan Migrering pågår och Microsoft Complete, men du får inte gå över till Före migrering. Om du går över till Slutförd migrering och sedan väljer att återställa till ett tidigare tillstånd frågar vi varför så att vi kan utvärdera produktens prestanda.
Kommentar
När alla autentiseringsmetoder har migrerats fullständigt förblir följande element i den äldre SSPR-principen aktiva:
- Antal metoder som krävs för att återställa kontrollen: Administratörer kan fortsätta att ändra hur många autentiseringsmetoder som måste verifieras innan en användare kan utföra SSPR.
- SSPR-administratörsprincipen: Administratörer kan fortsätta att registrera sig och använda alla metoder som anges under den äldre SSPR-administratörsprincipen eller de metoder som de är aktiverade för att använda i principen Autentiseringsmetoder.
I framtiden kommer båda dessa funktioner att integreras med principen Autentiseringsmetoder.
Kända problem och begränsningar
- I de senaste uppdateringarna har vi tagit bort möjligheten att rikta in oss på enskilda användare. Tidigare riktade användare kommer att finnas kvar i principen, men vi rekommenderar att du flyttar dem till en målgrupp.
- Registreringen av FIDO2-säkerhetsnycklar kan misslyckas för vissa användare om FIDO2-autentiseringsmetodprincipen är riktad för en grupp och den övergripande principen för autentiseringsmetoder har fler än 20 grupper konfigurerade. Vi arbetar med att öka storleksgränsen för principen och under den genomsnittliga tiden rekommenderar vi att du begränsar antalet gruppmål till högst 20.