为用户配置和启用通过 Microsoft Entra ID 进行基于短信的身份验证

  • 项目

为了简化和保护登录到应用程序和服务的过程,Microsoft Entra ID 提供多种身份验证选项。 利用基于短信的身份验证,用户无需提供甚至无需知道自己的用户名和密码即可登录。 在标识管理员创建了用户帐户后,用户可以在登录提示中输入他们的电话号码。 他们收到一个短信验证码,可以提供该验证码来完成登录。 这种身份验证方法简化了对应用程序和服务的访问,尤其是对一线工作人员而言。

本文介绍如何在 Microsoft Entra ID 中为选定用户或组启用基于短信的身份验证。 有关支持使用基于短信的登录的应用列表,请参阅应用对基于短信的身份验证的支持

开始之前

需有以下资源和特权才能完成本文:

已知问题

以下是一些已知问题:

  • 基于短信的身份验证目前与 Microsoft Entra 多重身份验证不兼容。
  • 基于短信的身份验证与本机 Office 应用程序不兼容,Teams 除外。
  • B2B 帐户不支持基于 SMS 的身份验证。
  • 联合用户不会在主租户中进行身份验证。 他们只会在云中进行身份验证。
  • 如果用户的默认登录方法是给你的电话号码发短信或打电话,则在多重身份验证过程中会自动发送短信代码或语音呼叫。 截至 2021 年 6 月,某些应用程序会要求用户首先选择“发短信”或“打电话”。 此选项可防止为不同应用发送过多的安全码。 如果默认登录方法是 Microsoft Authenticator 应用(强烈推荐),则将自动发送应用通知。

启用基于短信的身份验证方法

若要在组织中启用和使用基于短信的身份验证,需要执行三个主要步骤:

  • 启用身份验证方法策略。
  • 选择可以使用基于短信的身份验证方法的用户或组。
  • 为每个用户帐户分配一个电话号码。
    • 可在 Microsoft Entra 管理中心分配此电话号码(如本文所示),也可通过“我的员工”或“我的帐户”进行分配。

首先,让我们为 Microsoft Entra 租户启用基于短信的身份验证。

  1. 至少以身份验证策略管理员的身份登录到 Microsoft Entra 管理中心

  2. 浏览至 “保护”>“身份验证方法”>“策略”。

  3. 从可用身份验证方法列表中,选择“短信”。

    Screenshot that shows how to select the SMS authentication method.

  4. 单击“启用”,然后选择“目标用户”。 可以选择为“所有用户”启用基于短信的身份验证,或者选择用户和组。

    注意

    若要为第一因素(即允许用户使用此方法登录)配置基于短信的身份验证,请选中“用于登录”复选框。 如果不选中此项,则基于短信的身份验证可用于多重身份验证,并且仅 Self-Service 密码重置。

    Enable SMS authentication in the authentication method policy window

向用户和组分配身份验证方法

在 Microsoft Entra 租户中启用基于短信的身份验证后,现在可选择允许使用此身份验证方法的一些用户或组。

  1. 在“短信身份验证策略”窗口中,将“目标”设置为“选择用户”。
  2. 选择“添加用户或组”,然后选择某个测试用户或组,例如“Contoso 用户”或“Contoso 短信用户”。
  3. 选择用户或组后,选择“选择”,然后保存更新的身份验证方法策略。

短信身份验证方法策略中启用的每个用户都必须获得许可,即使他们不使用该方法。 确保为在身份验证方法策略中启用的用户提供适当的许可证,尤其是为大型用户组启用此功能时。

为用户帐户设置电话号码

现在,已为用户启用了基于短信的身份验证,接下来必须先将其电话号码与 Microsoft Entra ID 中的用户配置文件关联,然后他们才能登录。 可以让用户在“我的帐户”中自己设置此电话号码,也可由你使用 Microsoft Entra 管理中心来分配电话号码。 电话号码可由全局管理员、身份验证管理员或特权身份验证管理员进行设置。

为基于短信的登录设置电话号码后,还可将该电话号码用于 Microsoft Entra 多重身份验证自助式密码重置

  1. 搜索“Microsoft Entra ID”并将其选中。

  2. 在 Microsoft Entra 窗口左侧的导航菜单中,选择“用户”。

  3. 选择在上一部分中为其启用了基于短信的身份验证的用户(例如“Contoso 用户”),然后选择“身份验证方法”。

  4. 选择“+ 添加身份验证方法”,然后在“选择方法”下拉菜单中选择“电话号码”。

    输入用户的电话号码,包括国家/地区代码,例如 +1 xxxxxxxxx。 Microsoft Entra 管理中心会验证电话号码的格式是否正确。

    然后,根据需要从“电话类型”下拉菜单中选择“移动电话”、“备用移动电话”,或“其他” 。

    Set a phone number for a user in the Microsoft Entra admin center to use with SMS-based authentication

    该电话号码在租户中必须是唯一的。 如果尝试为多个用户使用同一个电话号码,将显示错误消息。

  5. 若要将电话号码应用于用户的帐户,请选择“添加”。

成功预配后,会出现一个勾选标记,表示已启用短信登录。

测试基于短信的登录

若要测试现已启用基于短信的登录的用户帐户,请完成以下步骤:

  1. 在新的 InPrivate 或 Incognito Web 浏览器窗口中打开 https://www.office.com

  2. 在右上角选择“登录”。

  3. 在登录提示下,输入在上一部分中设置的与用户关联的电话号码,然后选择“下一步”。

    Enter a phone number at the sign-in prompt for the test user

  4. 系统会向提供的电话号码发送一条短信。 若要完成登录过程,请在登录提示中输入短信中包含的 6 位代码。

    Enter the SMS confirmation code sent to the user's phone number

  5. 现在,用户无需提供用户名或密码就已登录。

排查基于短信的登录的问题

如果在启用和使用基于短信登录时遇到问题,可以使用以下方案和故障排除步骤。 有关支持使用基于短信的登录的应用列表,请参阅应用对基于短信的身份验证的支持

已经为用户帐户设置了电话号码

如果用户已经注册 Microsoft Entra 多重身份验证和/或自助式密码重置 (SSPR),则他们已拥有与其帐户关联的电话号码。 此电话号码不能自动用于基于短信的登录。

对于已经为其帐户设置了电话号码的用户,其“我的个人资料”页中会显示一个“启用短信登录”按钮。 选择此按钮,即可将该帐户与基于短信的登录和以前的 Microsoft Entra 多重身份验证或 SSPR 注册配合使用。

若要详细了解最终用户体验,请参阅电话号码的短信登录用户体验

尝试对用户帐户设置电话号码时出错

如果尝试在 Microsoft Entra 管理中心为用户帐户设置电话号码时遇到错误,请查看以下故障排除步骤:

  1. 确保你能够使用基于短信的登录。
  2. 确认在“短信”身份验证方法策略中启用了该用户帐户。
  3. 确保使用正确的格式设置电话号码并已在 Microsoft Entra 管理中心经过验证(例如 +1 4251234567)。
  4. 确保电话号码未在租户中的其他地方使用。
  5. 检查帐户中是否设置了语音号码。 如果设置了语音号码,请删除并尝试重新输入电话号码。

后续步骤