設定和啟用使用者使用 Microsoft Entra ID 進行 SMS 型驗證

  • 發行項

為了簡化和保護對應用程式和服務的登入,Microsoft Entra ID 提供多個驗證選項。 SMS 型驗證可讓使用者登入,而不需要提供或甚至知道其使用者名稱和密碼。 身分識別系統管理員建立其帳戶之後,他們可以在登入提示字元中輸入電話號碼。 他們會收到簡訊驗證碼,可供他們提供以完成登入。 此驗證方法可簡化應用程式和服務的存取,特別是針對 Frontline 背景工作角色。

本文說明如何為 Microsoft Entra ID 中的選取使用者或群組啟用 SMS 型驗證。 如需使用 SMS 型登入支援的應用程式清單,請參閱 SMS 型驗證 的應用程式支援。

開始之前

若要完成本文,您需要下列資源和許可權:

已知問題

以下是一些已知問題:

  • SMS 型驗證目前與 Microsoft Entra 多重要素驗證不相容。
  • 除了 Teams 之外,SMS 型驗證與原生Office 應用程式lication 不相容。
  • B2B 帳戶不支援 SMS 型驗證。
  • 同盟使用者不會在主租使用者中驗證。 它們只會在雲端進行驗證。
  • 如果使用者的預設登入方法是電話號碼的文字或通話,則多重要素驗證期間會自動傳送簡訊代碼或語音通話。 自 2021 年 6 月起,某些應用程式會要求使用者先選擇 [簡訊 ] 或 [通話 ]。 此選項可防止針對不同的應用程式傳送太多安全性代碼。 如果預設登入方法是 Microsoft Authenticator 應用程式( 強烈建議 使用),則會自動傳送代理程式更新。

啟用 SMS 型驗證方法

在您的組織中啟用和使用 SMS 型驗證有三個主要步驟:

  • 啟用驗證方法原則。
  • 選取可使用 SMS 型驗證方法的使用者或群組。
  • 為每個使用者帳戶指派電話號碼。
    • 您可以在 Microsoft Entra 系統管理中心指派此電話號碼(如本文所示),以及 [我的員工 ] 或 [ 我的帳戶 ]。

首先,讓我們為您的 Microsoft Entra 租使用者啟用 SMS 型驗證。

  1. 以至少驗證 原則管理員istrator 身分登入 Microsoft Entra 系統管理中心

  2. 流覽至 [ 保護 > 驗證方法 > 原則]。

  3. 從可用的驗證方法清單中,選取 [ SMS ]。

    Screenshot that shows how to select the SMS authentication method.

  4. 按一下 [ 啟用 ],然後選取 [ 目標使用者 ]。 您可以選擇為 所有使用者 啟用 SMS 型驗證,或 選取使用者 和群組。

    注意

    若要設定第一因素的 SMS 型驗證(也就是允許使用者使用此方法登入),請核取 [用於登入 ] 核取方塊。 保留此未核取可讓 SMS 型驗證僅適用于多重要素驗證和自助式密碼重設。

    Enable SMS authentication in the authentication method policy window

將驗證方法指派給使用者和群組

在您的 Microsoft Entra 租使用者中啟用 SMS 型驗證後,現在選取一些使用者或群組,以允許使用此驗證方法。

  1. 在 [SMS 驗證原則] 視窗中,將 [目標] 設定 為 [ 選取使用者 ]。
  2. 選擇 [ 新增使用者或群組 ],然後選取測試使用者或群組,例如 Contoso User Contoso SMS Users
  3. 當您選取使用者或群組時,請選擇 [ 選取 ],然後選擇 [ 儲存 更新的驗證方法原則]。

SMS 驗證方法原則中啟用的每個使用者都必須獲得授權,即使他們未使用它也一樣。 請確定您在驗證方法原則中啟用的使用者具有適當的授權,特別是當您為大量使用者群組啟用此功能時。

設定使用者帳戶的電話號碼

使用者現在已啟用 SMS 型驗證,但其電話號碼必須與 Microsoft Entra ID 中的使用者設定檔相關聯,才能登入。 使用者可以 在 [我的帳戶 ] 中 設定此電話號碼, 或者您可以使用 Microsoft Entra 系統管理中心來指派電話號碼。 電話號碼可由全域管理員、驗證系統管理員 特殊許可權驗證管理員設定

當設定 SMS 型登入的電話號碼時,它也可用於與 Microsoft Entra 多重要素驗證 自助式密碼重設 搭配使用。

  1. 搜尋並選取 [Microsoft Entra ID]

  2. 從 Microsoft Entra 視窗左側的導覽功能表中,選取 [ 使用者 ]。

  3. 選取您在上一節中啟用 SMS 型驗證的使用者,例如 Contoso User ,然後選取 [ 驗證方法 ]。

  4. 選取 [+ 新增驗證方法],然後在 [選擇方法 ] 下拉式功能表中 ,選擇 [電話號碼 ]。

    輸入使用者的電話號碼,包括國家/地區代碼,例如 +1 xxxxxxxxx 。 Microsoft Entra 系統管理中心會驗證電話號碼的格式正確。

    然後,從 [電話類型 ] 下拉式功能表中,選取 [ 行動 裝置]、 [替代行動 裝置] 或 [其他 ]。

    Set a phone number for a user in the Microsoft Entra admin center to use with SMS-based authentication

    您的租使用者中電話號碼必須是唯一的。 如果您嘗試為多個使用者使用相同的電話號碼,則會顯示錯誤訊息。

  5. 若要將電話號碼套用至使用者帳戶,請選取 [ 新增 ]。

成功布建時,已啟用 SMS 登入的核取記號隨即 出現

測試 SMS 型登入

若要測試現在已啟用 SMS 型登入的使用者帳戶,請完成下列步驟:

  1. 開啟新的 InPrivate 或 Incognito 網頁瀏覽器視窗至 https://www.office.com

  2. 在右上角,選取 [ 登入 ]。

  3. 在登入提示中,輸入上一節中與使用者相關聯的電話號碼,然後選取 [ 下一步 ]。

    Enter a phone number at the sign-in prompt for the test user

  4. SMS 訊息會傳送至提供的電話號碼。 若要完成登入程式,請在登入提示字元中輸入 SMS 訊息中提供的 6 位數代碼。

    Enter the SMS confirmation code sent to the user's phone number

  5. 使用者現在已登入,而不需要提供使用者名稱或密碼。

針對 SMS 型登入進行疑難排解

如果您在啟用和使用 SMS 型登入時遇到問題,可以使用下列案例和疑難排解步驟。 如需使用 SMS 型登入支援的應用程式清單,請參閱 SMS 型驗證 的應用程式支援。

已為使用者帳戶設定電話號碼

如果使用者已註冊 Microsoft Entra 多重要素驗證和/或自助式密碼重設 (SSPR),則他們已經有與其帳戶相關聯的電話號碼。 此電話號碼不會自動與 SMS 型登入搭配使用。

已為其帳戶設定電話號碼的使用者會顯示按鈕,以 在 [ 我的設定檔 ] 頁面中啟用 SMS 登入 。 選取此按鈕,且帳戶已啟用與 SMS 型登入和先前的 Microsoft Entra 多重要素驗證或 SSPR 註冊搭配使用。

如需使用者體驗的詳細資訊,請參閱 電話號碼 的 SMS 登入使用者體驗。

嘗試在使用者帳戶上設定電話號碼時發生錯誤

如果您在 Microsoft Entra 系統管理中心嘗試設定使用者帳戶的電話號碼時收到錯誤,請檢閱下列疑難排解步驟:

  1. 請確定您已針對 SMS 型登入啟用。
  2. 確認已在 SMS 驗證方法原則中 啟用使用者帳戶。
  3. 請確定您已使用適當的格式設定電話號碼,如 Microsoft Entra 系統管理中心驗證的電話號碼(例如 +1 4251234567 )。
  4. 請確定您的租使用者中其他地方不會使用電話號碼。
  5. 檢查帳戶上未設定任何語音號碼。 如果已設定語音號碼,請刪除並再次嘗試電話號碼。

下一步

  • 如需使用 SMS 型登入支援的應用程式清單,請參閱 SMS 型驗證 的應用程式支援。
  • 如需在沒有密碼的情況下登入 Microsoft Entra ID 的方法,例如 Microsoft Authenticator 應用程式或 FIDO2 安全性金鑰,請參閱 Microsoft Entra ID 的無密碼驗證選項。
  • 您也可以使用 Microsoft Graph REST API 來 啟用 停用 以 SMS 為基礎的登入。