在 Microsoft Entra ID 租户中支持 Authenticator 中的密钥

2025-03-04

本文介绍用户在 Authenticator 中使用密钥时可能看到的问题，以及管理员解决其可能的方法。

在 Android 配置文件中存储密钥

在 Android 中，仅通过存储通行密钥的配置文件来使用通行密钥。如果密钥存储在 Android Work 配置文件中，则从该配置文件使用它。如果密钥存储在 Android 个人配置文件中，则从该配置文件使用它。为了确保用户可以访问和使用他们需要的密钥，具有 Android 个人配置文件和 Android Work 配置文件的用户都应在每个配置文件的 Authenticator 中创建其通行密钥。

解决方法

对 Authenticator 密码问题使用以下解决方法。

身份验证强度条件访问策略循环的解决方法

当用户尝试在 Authenticator 中添加通行密钥时，如果条件性访问策略要求进行防钓鱼身份验证才能访问“所有资源”（以前为“所有云应用”），用户可能会陷入循环。例如：

条件：所有设备（Windows、Linux、macOS、Windows、Android）
目标资源：所有资源(以前为“所有云应用”)
授权控制：身份验证强度 – 要求 Authenticator 中的密钥

该策略强制目标用户使用密钥登录到所有云应用程序，其中包括 Authenticator 应用。当用户在 Android 或 iOS 上的 Authenticator 中尝试添加通行密钥时，系统要求他们使用通行密钥。

下面是一些解决方法：

可以筛选应用程序，并将策略目标从“所有资源（以前为‘所有云应用’）”转换为特定应用程序。首先查看租户中使用的应用程序。使用筛选器标记 Authenticator 和其他应用程序。

为了进一步降低支持成本，您可以开展内部活动，在强制使用通行密钥之前帮助用户采纳它们。准备好强制使用密钥时，请创建两个条件访问策略：

适用于移动操作系统（OS）版本的策略
适用于桌面 OS 版本的策略

需要对每个策略使用不同的身份验证强度，并配置下表中列出的其他策略设置。可以为用户启用临时访问通行证（TAP），或者启用其他身份验证方法来帮助用户注册通行密钥。

TAP 限制用户可以注册通行密钥的时间。只能在允许密钥注册的移动平台上接受它。

条件访问策略	桌面 OS	移动 OS
名称	需要 Authenticator 中的密钥才能访问桌面 OS。	需要 TAP、防钓鱼凭据或任何其他指定的身份验证方法才能访问移动 OS。
条件	特定设备（桌面操作系统）。	特定设备（移动操作系统）。
设备	N/A.	Android、iOS。
排除设备	Android、iOS。	N/A.
目标资源	所有资源。	所有资源。
授权控制	身份验证强度。	身份验证强度。¹
方法	Authenticator 中的通行密钥。	TAP，Authenticator 中的通行密钥。
策略结果	无法在 Authenticator 中使用密码登录的用户将定向到 “我的登录” 向导模式。注册后，系统会要求他们在移动设备上登录到 Authenticator。	使用 TAP 或其他允许的方法登录到 Authenticator 的用户可以直接在 Authenticator 中注册密钥。由于用户满足身份验证要求，因此不会发生循环。

¹用户注册新的登录方法，移动策略的授权控制需要与条件访问策略匹配，以注册安全信息。

注意

使用任一解决方法，用户还必须满足任何针对于 注册安全信息 的条件访问策略，否则他们将无法注册通行码。如果使用 所有资源 策略设置其他条件，则必须在注册通行密钥时满足这些条件。

由于“要求批准的客户端应用”或“需要应用保护策略”条件访问授予控制措施而无法注册通行密钥的用户

如果用户包含在以下条件访问策略中，则无法在 Authenticator 中注册密钥：

条件：所有设备（Windows、Linux、macOS、Windows、Android）
目标资源：所有资源(以前为“所有云应用”)
授予控制权：要求批准的客户端应用或需要应用保护策略

该策略强制用户使用支持 Microsoft Intune 应用保护策略的应用登录到所有云应用程序。 Authenticator 不支持 Android 或 iOS 上的此策略。

下面是一些解决方法：

可以筛选应用程序，并将策略目标从“所有资源（以前为‘所有云应用’）”转换为特定应用程序。从查看租户中使用的应用程序开始。使用筛选器标记相应的应用程序。
可以使用移动设备管理 (MDM) 和要求设备标记为合规控件。如果 MDM 完全管理设备且符合要求，验证器可以满足此授权控制。例如：
- 条件：所有设备（Windows、Linux、macOS、Windows、Android）
- 目标资源：所有资源(以前为“所有云应用”)
- 授予控制权：要求批准的客户端应用或需要应用保护策略或要求设备标记为合规
你可以向用户授予条件访问策略的临时豁免。建议使用一个或多个补偿控件：
- 仅允许有限时间段的豁免。在允许用户注册通行密钥时告知用户。在时限过后删除豁免。如果用户错过了他们预定的时间，请告知他们致电服务台。
- 使用另一个条件访问策略要求用户仅从特定网络位置或合规设备注册。

注意

使用任何提议的解决方法时，用户还需要满足任何面向注册安全信息的条件访问策略，否则无法注册密钥。如果已使用所有资源策略设置了其他条件，用户也需要满足这些条件才能注册通行密钥。

限制蓝牙的使用，使其仅支持 Authenticator 中的通行密钥

某些组织会限制蓝牙的使用，其中包括使用通行密钥。在这种情况下，组织可以通过仅允许蓝牙与已启用通行密钥的 FIDO2 验证器进行配对来允许通行密钥。有关如何仅针对通行密钥配置蓝牙使用的详细信息，请参阅蓝牙受限环境中的通行密钥。

有关 Microsoft Authenticator 中的密钥的详细信息，请参阅Microsoft Authenticator 身份验证方法。
若要在 Microsoft Authenticator 中启用验证密钥以供用户登录，请参阅启用 Microsoft Authenticator 中的验证密钥。