如何執行註冊活動以設定 Microsoft Authenticator

您可以推移使用者在登入期間設定 Microsoft Authenticator。 用戶進行一般登入、如往常執行多重要素驗證，然後收到設定 Microsoft Authenticator 的提示。 您可以包含或排除使用者或群組，以控制要設定應用程式的人員。 這可讓目標行銷活動將使用者從較不安全的驗證方法移至 Authenticator。

您也可以定義使用者可以延遲或「延遲」的推移天數。 如果使用者點選 [立即 略過] 以延後應用程式設定，則會在延遲持續時間過後，在下一次 MFA 嘗試中再次遭到推移。 您可以決定使用者是否可以無限期延遲或最多三次（需要註冊之後）。

注意

當用戶進行一般登入時，系統會先套用管理安全性資訊註冊的條件式存取原則，再提示用戶設定 Authenticator。 例如，如果條件式存取原則要求安全性資訊更新只能在內部網路上進行，除非使用者位於內部網路上，否則不會提示用戶設定 Authenticator。

必要條件

• 您的組織必須已啟用 Microsoft Entra 多重要素驗證。 每個版本的 Microsoft Entra 識別碼都包含 Microsoft Entra 多重要素驗證。 註冊活動不需要任何其他授權。
• 用戶無法設定 Authenticator 應用程式，以在其帳戶上進行推播通知。
• 管理員 需要使用下列其中一個原則，為 Authenticator 應用程式啟用使用者：
  • MFA 註冊原則：用戶必須透過行動應用程式啟用通知。
  • 驗證方法原則：驗證器應用程式必須啟用使用者，並將驗證模式設定為 [任何] 或 [推送]。 如果原則設定為 無密碼，則使用者將無法獲得裸體資格。 如需如何設定驗證模式的詳細資訊，請參閱 使用 Microsoft Authenticator 啟用無密碼登入。

使用者體驗

1. 首先，您必須使用 Microsoft Entra 多重要素驗證 （MFA） 成功進行驗證。

2. 如果您已啟用 Authenticator 推播通知，但尚未設定它，系統會提示您設定 Authenticator 以改善登入體驗。

   注意

   其他安全性功能，例如無密碼複雜密碼、自助式密碼重設或安全性預設值，也可能會提示您進行設定。

   

3. 點 選 [下一步 ] 並逐步執行 Authenticator 應用程式設定。

4. 請先下載應用程式。

   

   1. 請參閱如何設定 Authenticator 應用程式。

      

   2. 掃描 QR 代碼。

      

   3. 確認您的身分識別。

      

   4. 核准裝置上的測試通知。

      

   5. 驗證器應用程式現在已成功設定。

      

5. 如果您不想要安裝 Authenticator 應用程式，您可以點選 [立即 略過] 來延遲提示最多 14 天，這可由系統管理員設定。具有免費和試用版訂用帳戶的使用者最多可以延遲提示三次。

   

使用 Microsoft Entra 系統管理中心啟用註冊活動原則

若要在 Microsoft Entra 系統管理中心啟用註冊活動，請完成下列步驟：

1. 以驗證原則 管理員 istrator 或 Global 管理員 istrator 身分登入 Microsoft Entra 系統管理中心。

2. 流覽至 [保護>驗證方法>註冊] 活動，然後按兩下 [編輯]。

3. 針對 狀態：

   • 選取 [已啟用 ] 以啟用所有使用者的註冊活動。
   • 選取 [Microsoft]， 以僅針對語音通話或簡訊用戶啟用註冊活動。 Microsoft 管理設定可讓 Microsoft 設定預設值。 如需詳細資訊，請參閱 保護 Microsoft Entra ID 中的驗證方法。

   如果註冊活動狀態設定為 [已啟用] 或 [Microsoft 受管理]，您可以使用有限的 snoozes 數目來設定終端用戶的體驗：

   • 如果 已啟用有限的 snoozes 數目，用戶可以略過中斷提示 3 次，之後他們就會被迫註冊 Authenticator。
   • 如果 停用有限的 snoozes 數目，用戶可以延遲無限次數，並避免註冊 Authenticator。

   允許延遲 的天數會設定兩個連續中斷提示之間的期間。 例如，如果設定為 3 天，則略過註冊的使用者在 3 天后才會再次收到提示。

   

4. 選取要從註冊行銷活動中排除的任何使用者或群組，然後按兩下 [ 儲存]。

使用 Graph 總管啟用註冊行銷活動原則

除了使用 Microsoft Entra 系統管理中心之外，您也可以使用 Graph Explorer 來啟用註冊活動原則。 若要啟用註冊行銷活動原則，您必須使用圖形 API 的驗證方法原則。 全域 管理員 istrators 和驗證原則 管理員 istrators 可以更新原則。

若要使用 Graph 總管設定原則：

1. 登入 Graph 總管，並確定您已同意 Policy.Read.All 和 Policy.ReadWrite.AuthenticationMethod 許可權。

   若要開啟 [許可權] 面板：

   

2. 擷取驗證方法原則：

   GET https://graph.microsoft.com/v1.0/policies/authenticationmethodspolicy
   

3. 更新原則的 registrationEnforcement 和 authenticationMethodsRegistrationCampaign 區段，以在使用者或群組上啟用 Nudge。

   

   若要更新原則，請在只有更新的 registrationEnforcement 區段的驗證方法原則上執行 PATCH：

   PATCH https://graph.microsoft.com/v1.0/policies/authenticationmethodspolicy
   

下表列出 authenticationMethodsRegistrationCampaign 屬性。

名稱	可能值	描述
snoozeDurationInDays	範圍：0 - 14	定義使用者再次裸體前的天數。 如果值為 0，則使用者會在每次 MFA 嘗試期間被推入。 預設值：1 天
enforceRegistrationAfterAllowedSnoozes	"true" "false"	指定使用者是否需要在 3 個 snoozes 之後執行設定。 如果為 true，則需要用戶註冊。 如果為 false，用戶可以無限期延遲。 預設值：true
state	“enabled” “disabled” "default"	可讓您啟用或停用此功能。 未明確設定組態時，會使用預設值，並將使用此設定的 Microsoft Entra ID 預設值。 所有租使用者中的語音通話和簡訊用戶都會啟用默認狀態。 將狀態變更為已啟用（針對所有使用者）或視需要停用。
excludeTargets	N/A	可讓您排除您想要從功能中省略的不同使用者和群組。 如果用戶位於已排除的群組和包含的群組中，使用者將會從功能中排除。
includeTargets	N/A	可讓您包含您想要將功能設為目標的不同使用者和群組。

下表列出 includeTargets 屬性。

名稱	可能值	描述
targetType	"user" 「群組」	目標實體的種類。
Id	GUID 識別碼	目標使用者或群組的標識碼。
targetedAuthenticationMethod	“microsoftAuthenticator”	系統會提示用戶註冊驗證方法。 唯一允許的值是 「microsoftAuthenticator」。。

下表列出 excludeTargets 屬性。

名稱	可能值	描述
targetType	"user" 「群組」	目標實體的種類。
Id	字串	目標使用者或群組的標識碼。

範例

以下是一些可用來開始使用的範例 JSON！

• 包含所有使用者

  如果您想要在租使用者中包含所有使用者，請使用使用者和群組的相關 GUID 更新下列 JSON 範例。 然後將它貼到 Graph 總管中，並在端點上執行 PATCH 。

  {
  "registrationEnforcement": {
          "authenticationMethodsRegistrationCampaign": {
              "snoozeDurationInDays": 1,
              "enforceRegistrationAfterAllowedSnoozes": true,
              "state": "enabled",
              "excludeTargets": [],
              "includeTargets": [
                  {
                      "id": "all_users",
                      "targetType": "group",
                      "targetedAuthenticationMethod": "microsoftAuthenticator"
                  }
              ]
          }
      }
  }
  

• 包含特定用戶或使用者群組

  如果您想要在租使用者中包含特定使用者或群組，請使用使用者和群組的相關 GUID 更新下列 JSON 範例。 然後在 Graph 總管中貼上 JSON，並在端點上執行 PATCH 。

  {
  "registrationEnforcement": {
        "authenticationMethodsRegistrationCampaign": {
            "snoozeDurationInDays": 1,
            "enforceRegistrationAfterAllowedSnoozes": true,
            "state": "enabled",
            "excludeTargets": [],
            "includeTargets": [
                {
                    "id": "*********PLEASE ENTER GUID***********",
                    "targetType": "group",
                    "targetedAuthenticationMethod": "microsoftAuthenticator"
                },
                {
                    "id": "*********PLEASE ENTER GUID***********",
                    "targetType": "user",
                    "targetedAuthenticationMethod": "microsoftAuthenticator"
                }
            ]
        }
    }
  }  
  

• 包含和排除特定使用者或群組

  如果您想要在租使用者中包含 AND 排除特定使用者或群組，請使用使用者和群組的相關 GUID 更新下列 JSON 範例。 然後將它貼到 Graph 總管中，並在端點上執行 PATCH 。

  {
  "registrationEnforcement": {
          "authenticationMethodsRegistrationCampaign": {
              "snoozeDurationInDays": 1,
              "enforceRegistrationAfterAllowedSnoozes": true,
              "state": "enabled",
              "excludeTargets": [
                  {
                      "id": "*********PLEASE ENTER GUID***********",
                      "targetType": "group"
                  },
                {
                      "id": "*********PLEASE ENTER GUID***********",
                      "targetType": "user"
                  }
              ],
              "includeTargets": [
                  {
                      "id": "*********PLEASE ENTER GUID***********",
                      "targetType": "group",
                      "targetedAuthenticationMethod": "microsoftAuthenticator"
                  },
                  {
                      "id": "*********PLEASE ENTER GUID***********",
                      "targetType": "user",
                      "targetedAuthenticationMethod": "microsoftAuthenticator"
                  }
              ]
          }
      }
  }
  

識別要插入 JSON 的使用者 GUID

1. 以至少驗證原則 管理員 istrator 身分登入 Microsoft Entra 系統管理中心。

2. 在 [ 管理] 刀鋒視窗中，點選 [使用者]。

3. 在 [ 使用者] 頁面中，識別您想要鎖定的特定使用者。

4. 當您點選特定使用者時，您會看到其物件 識別碼，也就是使用者的 GUID。

   

識別要插入 JSON 之群組的 GUID

1. 以至少驗證原則 管理員 istrator 身分登入 Microsoft Entra 系統管理中心。

2. 在 [ 管理] 刀鋒視窗中，點選 [ 群組]。

3. 在 [ 群組] 頁面中，識別您想要鎖定的特定群組。

4. 點選群組並取得 物件標識碼。

   

限制

Nudge 不會出現在執行 Android 或 iOS 的行動裝置上。

常見問題集

MFA Server 是否可使用註冊活動？

否，註冊活動僅適用於使用 Microsoft Entra 多重要素驗證的使用者。

使用者是否可以在應用程式內被推入？

是，我們支援特定應用程式中的內嵌瀏覽器檢視。 我們不會在現用體驗或內嵌於 Windows 設定中的瀏覽器檢視中，將使用者推入現用體驗。

用戶可以在行動裝置上裸體嗎？

行動裝置上無法使用註冊活動。

競選活動運行多久？

您可以視需要啟用營銷活動。 每當您想要執行行銷活動時，請使用系統管理中心或 API 來停用行銷活動。

每位使用者群組是否可以有不同的延遲持續時間？

否。 提示的延遲持續時間是全租用戶設定，並套用至範圍中的所有群組。

使用者是否可以裸體設定無密碼手機登入？

此功能旨在讓系統管理員能夠讓使用者使用 Authenticator 應用程式來設定 MFA，而不是無密碼的手機登入。

使用第三方驗證器應用程式登入的使用者是否會看到微調？

是。 如果使用者已啟用註冊行銷活動，且未設定 Microsoft Authenticator 進行推播通知，則會將使用者推播為設定 Authenticator。

只有 TOTP 程式代碼設定 Authenticator 的使用者是否會看到微調？

是。 如果使用者已啟用註冊行銷活動，且未針對推播通知設定 Authenticator 應用程式，則會將使用者 nudgged 設定為使用 Authenticator 來設定推播通知。

如果使用者剛通過 MFA 註冊，他們是否在相同的登入工作階段中被推入？

否。 為了提供良好的用戶體驗，使用者將不會在註冊其他驗證方法的相同會話中設定 Authenticator。

我可以將使用者推移以註冊另一個驗證方法嗎？

否。 此功能目前旨在推移使用者，只設定 Authenticator 應用程式。

我是否有辦法隱藏延遲選項，並強制我的用戶設定 Authenticator 應用程式？

將 [ 有限數目的 snoozes ] 設定為 [已啟用] ，讓使用者可以將應用程式設定延後最多三次，之後才需要設定。

如果我未使用 Microsoft Entra 多重要素驗證，我是否能夠推移使用者？

否。 Nudge 僅適用於使用 Microsoft Entra 多重要素驗證服務執行 MFA 的使用者。

我的租使用者中的來賓/B2B 使用者是否會遭到推移？

是。 如果它們已針對使用原則進行微調的範圍。

如果使用者關閉瀏覽器，該怎麼辦？

這和打盹一樣。 如果使用者在登入三次之後需要設定，則會在下一次登入時提示使用者。

當有條件式存取原則「註冊安全性資訊」時，為什麼有些使用者看不到推移？

如果使用者在條件式存取原則的範圍內，封鎖存取 [ 註冊安全性資訊 ] 頁面，就不會顯示 Nudge。

當使用者在登入期間向用戶顯示使用規定畫面時，是否會看到小推？

如果使用者在登入期間會顯示 使用規定 （ToU） 畫面， 將不會顯示裸體。

當使用者在條件式存取自定義控件適用於登入時，是否會看到微調？

如果使用者因為條件式存取自定義控件設定而重新導向登入期間，將不會顯示微調。

是否有任何計劃停止 SMS 和 Voice 作為 MFA 可使用的方法？

不，沒有這樣的計劃。

下一步

使用 Microsoft Authenticator 來啟用無密碼登入