分享方式:

使用 Microsoft Authenticator 來啟用無密碼登入

  • 文章

Microsoft Authenticator 可以用來在不使用密碼的情況下登入任何 Microsoft Entra 帳戶。 Microsoft Authenticator 會使用金鑰型驗證來啟用與裝置 (該裝置會使用 PIN 或生物特徵辨識) 繫結的使用者認證。 Windows Hello 企業版會使用類似的技術。

這項驗證技術可用於任何裝置平台,包括行動裝置。 這項技術也可以用於與 Microsoft 驗證程式庫整合的任何應用程式或網站。

螢幕擷取畫面:顯示要求使用者核准登入的瀏覽器登入範例。

透過 Microsoft Authenticator 啟用手機登入的使用者會看到訊息,內容是要求他們點選應用程式中的數字。 系統不會要求其提供使用者名稱或密碼。 若要在應用程式中完成登入程序,使用者接著必須採取下列行動:

  1. 在 Microsoft Authenticator 對話方塊中,輸入使用者在登入畫面上看到的數字。
  2. 選擇 [核准]
  3. 提供其 PIN 或生物特徵辨識。

多個帳戶

在任何支援的 Android 或 iOS 裝置上,您可以針對 Microsoft Authenticator 中的多個帳戶啟用無密碼手機登入。 Microsoft Entra ID 中具有多個帳戶的顧問、學生和其他人員可以將每個帳戶都新增至 Microsoft Authenticator,並針對來自相同裝置的所有帳戶都使用無密碼手機登入。

先前,管理員可能無須要求具有多個帳戶的使用者進行無密碼登入,因為這需要他們攜帶更多裝置才能登入。 從裝置移除一位使用者登入的限制後,管理員可以更放心地鼓勵使用者註冊無密碼手機登入,並使用其作為預設登入方法。

Microsoft Entra 帳戶可以位於相同的租用戶或不同的租用戶中。 來賓裝置不支援從一部裝置登入多個帳戶。

必要條件

若要搭配 Microsoft Authenticator 來使用無密碼手機登入,您必須符合下列必要條件:

  • 建議:Microsoft Entra 多重要素驗證,並允許以推播通知作為驗證方法。 推播通知到手機或平板電腦可協助 Authenticator 應用程式防止未經授權即存取帳戶,並阻止詐騙交易。 設定進行推播通知時,Authenticator 應用程式會自動產生代碼。 使用者即使在其裝置沒有連線能力的情況下也具有備份登入方法。
  • 在執行 iOS 或 Android 的裝置上安裝的最新版 Microsoft Authenticator。
  • 裝置必須向用來登入的每個租用戶註冊。 例如,下列裝置必須向 Contoso 和 Wingtiptoys 註冊,才能允許所有帳戶登入:
    • balas@contoso.com
    • balas@wingtiptoys.com 和 bsandhu@wingtiptoys

若要在 Microsoft Entra ID 中使用無密碼驗證,請先啟用合併的註冊體驗,然後為使用者啟用無密碼方法。

啟用無密碼手機登入驗證方法

提示

根據您開始使用的入口網站,本文中的步驟可能略有不同。

Microsoft Entra ID 可讓您選擇在登入程序進行期間可以使用的驗證方法。 然後,使用者便可註冊其想要使用的方法。 Microsoft Authenticator 驗證方法原則可管理傳統推播 MFA 方法和無密碼驗證方法。

注意

如果您已使用 PowerShell 來啟用 Microsoft Authenticator 無密碼登入,則已針對整個目錄予以啟用。 如果您使用這個新方法來啟用,其便會取代 PowerShell 原則。 建議您透過新的 [驗證方法] 功能表為租用戶中的所有使用者啟用,否則不在新原則內的使用者就無法在無密碼的情況下登入。

若要啟用無密碼手機登入驗證方法,請完成下列步驟:

  1. 至少以驗證原則管理員的身分登入 Microsoft Entra 系統管理中心

  2. 瀏覽至 [保護] > [驗證方法] > [原則]

  3. 在 [Microsoft Authenticator] 下,選擇下列選項:

    1. 啟用 - 是或否
    2. 目標 - 所有使用者或選取使用者

  4. 所新增的每個群組或使用者預設都會啟用為可同時在無密碼模式和推播通知模式 (「任何」模式) 中使用 Microsoft Authenticator。 若要變更模式,請針對 [驗證模式] 的每一列 - 選擇 [任何] 或 [無密碼]。 選擇 [推播] 可避免使用無密碼手機登入認證。

  5. 若要套用新的原則,請按一下 [儲存]

    注意

    如果您在嘗試儲存時看到錯誤,原因可能是正在新增的使用者或群組數目。 因應措施是,在相同的作業中,將您嘗試新增的使用者和群組取代為單一群組,然後選取 [儲存]

使用者註冊

使用者自行註冊 Microsoft Entra ID 的無密碼驗證方法。 針對已註冊 Microsoft Authenticator 應用程式以進行多重要素驗證的使用者,請跳至下一節:啟用手機登入

直接手機登入註冊

使用者可以直接在 Microsoft Authenticator 應用程式內註冊無密碼手機登入,而不需要先向其帳戶註冊 Microsoft Authenticator,同時永遠不要產生密碼。 方法如下:

  1. 從您的系統管理員或組織取得臨時存取密碼
  2. 在行動裝置上,下載並安裝 Microsoft Authenticator 應用程式。
  3. 開啟 Microsoft Authenticator,然後按一下 [新增帳戶],然後選擇 [公司或學校帳戶]
  4. 選擇 [登入]
  5. 遵循指示,以使用系統管理員或組織所提供的臨時存取密碼來登入您的帳戶。
  6. 登入之後,請繼續遵循其他步驟來設定手機登入。

使用我的登入進行引導式註冊

注意

如果 Microsoft Authenticator 驗證模式設定為 [任何] 或 [推送],則使用者只能透過合併的註冊來註冊 Microsoft Authenticator。

若要註冊 Microsoft Authenticator 應用程式,請遵循下列步驟:

  1. 瀏覽至 https://aka.ms/mysecurityinfo
  2. 進行登入,然後選取 [新增方法] > [Authenticator 應用程式] > [新增] 以新增 Microsoft Authenticator。
  3. 遵循指示在裝置上安裝和設定 Microsoft Authenticator 應用程式。
  4. 選取 [完成] 以完成 Microsoft Authenticator 設定。

啟用手機登入

使用者自行註冊 Microsoft Authenticator 應用程式之後,需要啟用手機登入:

  1. 在 [Microsoft Authenticator] 中,選取已註冊的帳戶。
  2. 選取 [啟用手機登入]
  3. 遵循應用程式中的指示,完成無密碼手機登入的帳戶註冊作業。

組織可以指示使用者使用手機來登入,而不需要使用密碼。 如需如何設定 Microsoft Authenticator 並啟用手機登入的進一步協助,請參閱使用 Microsoft Authenticator 應用程式來登入帳戶

注意

未經原則允許而無法使用手機來登入的使用者,就無法再於 Microsoft Authenticator 內啟用此功能。

使用無密碼認證登入

完成下列所有動作之後,使用者即可開始使用無密碼登入:

  • 管理員已啟用使用者的租用戶。
  • 使用者已將 Microsoft Authenticator 新增為登入方法。

使用者第一次啟動手機登入程序時會執行下列步驟:

  1. 在登入頁面上輸入名稱。
  2. 選取 [下一步]
  3. 如有必要,則選取 [其他登入方式]
  4. 選取 [核准我的 Authenticator 應用程式上的要求]

然後,使用者會看到一個數字。 應用程式會提示使用者輸入適當的數字來進行驗證,而不是要求其輸入密碼。

在使用者使用無密碼手機登入之後,應用程式會繼續引導使用者完成此方法。 不過,使用者會看到可供選擇其他方法的選項。

螢幕擷取畫面:顯示使用 Microsoft Authenticator 應用程式的瀏覽器登入範例。

暫時存取通行證

如果租用戶系統管理員已啟用自助式密碼重設 (SSPR),並且使用者第一次使用臨時存取密碼來設定使用 Authenticator 應用程式的無密碼登入,則應該遵循下列步驟:

  1. 使用者應該在行動裝置或桌面上開啟瀏覽器,然後導覽至 mySecurity 資訊頁面。
  2. 使用者必須將 Authenticator 應用程式註冊為其登入方法。 此動作會將使用者的帳戶連結至應用程式。
  3. 然後,使用者應該返回其行動裝置,並透過 Authenticator 應用程式來啟用無密碼登入。

管理

驗證方法原則是管理 Microsoft Authenticator 的建議方式。 驗證原則系統管理員可以編輯此原則來啟用或停用 Microsoft Authenticator。 系統管理員可以包括特定使用者和群組,或將其排除不予使用。

系統管理員也可以設定參數,以更妥善地控制如何使用 Microsoft Authenticator。 例如,他們可以將位置或應用程式名稱新增至登入要求,讓使用者在核准之前擁有更大的內容。

全域系統管理員也可以使用舊版 MFA 和 SSPR 原則,以根據整個租用戶來管理 Microsoft Authenticator。 這些原則允許針對租用戶中的所有使用者啟用或停用 Microsoft Authenticator。 沒有選項可包括或排除任何人,或控制如何將 Microsoft Authenticator 用於登入。

已知問題

已知有下列問題存在。

未看到無密碼手機登入選項

有時候,使用者可能會有擱置中的未回覆無密碼手機登入驗證。 如果使用者嘗試再次登入,則可能只會看到輸入密碼的選項。

若要解決此案例,請遵循下列步驟:

  1. 開啟 Microsoft Authenticator。
  2. 回應通知提示。

然後,使用者即可繼續使用無密碼手機登入。

不支援 AuthenticatorAppSignInPolicy

AuthenticatorAppSignInPolicy 是 Microsoft Authenticator 不支援的舊版原則。 若要讓使用者使用 Authenticator 應用程式進行推播通知或無密碼手機登入,請使用驗證方法原則

同盟帳戶

使用者已啟用任何無密碼認證時,Microsoft Entra 登入程序會停止使用 login_hint。 因此,此程序不再讓使用者前往同盟登入位置。

此邏輯一般會讓混合式租用戶中的使用者無法導向到 Active Directory 同盟服務 (AD FS) 以進行登入驗證。 不過,使用者仍會保有按一下 [改為使用密碼] 的選項。

內部部署使用者

透過內部部署身分識別提供者,可以為終端使用者啟用多重要素驗證 (MFA)。 使用者仍然可以建立及使用單一的無密碼手機登入認證。

如果使用者嘗試使用無密碼手機登入認證來升級 Microsoft Authenticator 的多個安裝 (5 個以上),這項變更可能會導致錯誤。

下一步

若要了解 Microsoft Entra 驗證和無密碼方法,請參閱下列文章: