設定和啟用使用者使用 Microsoft Entra ID 進行 SMS 型驗證

為了簡化及保護應用程式和服務的登入，Microsoft Entra ID 提供了多個驗證選項。 SMS 型驗證可讓使用者直接登入，而無須提供 (甚至不需知道) 其使用者名稱和密碼。 在身分識別管理員建立帳戶之後，使用者可在登入提示中輸入其電話號碼。 使用者會收到驗證碼，其可提供該驗證碼來完成登入。 此驗證方法會簡化對應用程式和服務的存取，特別是針對前線的員工。

本文說明如何針對 Microsoft Entra ID 中選取的使用者或群組啟用 SMS 型驗證。 如需支援使用 SMS 型登入的應用程式清單，請參閱 SMS 型驗證的應用程式支援。

開始之前

若要完成本文章，您需要下列資源和權限：

• 有效的 Azure 訂閱。
  • 如果您沒有 Azure 訂用帳戶，請先建立帳戶。
• 與訂用帳戶相關聯的 Microsoft Entra 租用戶。
  • 如有需要，請建立 Microsoft Entra 租用戶或將 Azure 訂用帳戶與您的帳戶建立關聯。
• 您至少需要 Microsoft Entra 租用戶中的驗證原則管理員角色，才能啟用 SMS 型驗證。
• 在文字簡訊驗證方法原則中啟用的每個使用者都必須獲得授權，即使使用者未使用該驗證。 每個啟用的使用者都必須具有下列其中一個 Microsoft Entra ID、EMS、Microsoft 365 授權：
  • Microsoft 365 F1 或 F3
  • Microsoft Entra ID P1 或 P2
  • Enterprise Mobility + Security (EMS) E3 或 E5 或 Microsoft 365 E3 或 E5
  • Office 365 F3

已知問題

以下是一些已知問題：

• SMS 型驗證目前與 Microsoft Entra 多重要素驗證不相容。
• 除了 Teams 之外，SMS 型驗證與原生 Office 應用程式不相容。
• 不支援對 B2B 帳戶使用 SMS 型驗證。
• 同盟使用者不會在主租用戶中進行驗證。 他們只會在雲端中進行驗證。
• 如果使用者的預設登入方法是簡訊或撥打您的電話號碼，則在多重要素驗證期間會自動傳送 SMS 代碼或語音通話。 從 2021 年 6 月起，有些應用程式會首先要求使用者選擇 [簡訊] 或 [通話]。 此選項可防止針對不同的應用程式傳送太多安全性驗證碼。 如果預設登入方法是 Microsoft Authenticator 應用程式我們強烈建議使用此應用程式，則系統會自動傳送代理程式更新。

啟用 SMS 型驗證方法

在貴組織中啟用和使用 SMS 型驗證有三個主要步驟：

• 啟用驗證方法原則。
• 選取可以使用 SMS 型驗證方法的使用者或群組。
• 為每個使用者帳戶指派電話號碼。
  • 此電話號碼可以在 Microsoft Entra 系統管理中心指派 (如本文所示)，以及在 [我的員工] 或 [我的帳戶] 中指派。

首先，讓我們為您的 Microsoft Entra 租用戶啟用 SMS 型驗證。

1. 以至少驗證原則管理員的身分登入 Microsoft Entra 系統管理中心。

2. 瀏覽至 [資料保護]>[驗證方法]>[原則]。

3. 從可用驗證方法的清單中，選取 [文字簡訊]。

   

4. 按一下 [啟用]，然後選取 [目標使用者]。 您可以選擇針對「所有使用者」或「選取使用者」和群組，啟用 SMS 型驗證。

   注意

   若要設定第一要素的 SMS 型驗證 (也就是允許使用者使用此方法登入)，請勾選 [用於登入] 核取方塊。 讓此方塊保留未核取狀態，使 SMS 型驗證僅適用於多重要素驗證和自助式密碼重設。

   

將驗證方法指派給使用者和群組

在您的 Microsoft Entra 租用戶中啟用 SMS 型驗證之後，現在請選取要允許使用此驗證方法的某些使用者或群組。

1. 在文字簡訊驗證原則視窗中，將 [目標] 設定為 [選取使用者]。
2. 選擇 [新增使用者或群組]，然後選取測試使用者或群組，例如「Contoso 使用者」或「Contoso SMS 使用者」。
3. 當您選取使用者或群組之後，請選擇 [選取]，然後選擇 [儲存] 已更新的驗證方法原則。

在文字簡訊驗證方法原則中啟用的每個使用者都必須獲得授權，即使使用者未使用該驗證。 請確定您對於在驗證方法原則中啟用的使用者擁有適當授權，特別是當您為大型使用者群組啟用此功能時。

為使用者帳戶設定電話號碼

使用者現在已啟用 SMS 型驗證，但是其電話號碼必須與 Microsoft Entra ID 中的使用者設定檔建立關聯，才能登入。 使用者可以在 [我的帳戶] 中自行設定此電話號碼，或者您可以使用 Microsoft Entra 系統管理中心指派電話號碼。 電話號碼可由至少具備驗證管理員角色的人員設定。

設定 SMS 式登入的電話號碼時，也可與 Microsoft Entra 多重要素驗證和自助式密碼重設搭配使用。

1. 搜尋並選取 Microsoft Entra ID。

2. 從 Microsoft Entra 視窗左側的導覽功能表中，選取 [使用者]。

3. 選取您在上一節中啟用 SMS 型驗證的使用者，例如「Contoso 使用者」，然後選取 [驗證方法]。

4. 選取 [+ 新增驗證方法]，然後在 [選擇方法] 下拉式功能表中，選擇 [電話號碼]。

   輸入使用者的電話號碼，包括國家/地區代碼，例如「+1 xxxxxxxxx」。 Microsoft Entra 系統管理中心會驗證電話號碼是否為正確格式。

   然後，從 [電話類型] 下拉式功能表中，視需要選取 [行動]、[替代行動] 或 [其他]。

   

   電話號碼在您的租用戶中必須是唯一的。 如果您嘗試為多個使用者使用相同的電話號碼，則會顯示錯誤訊息。

5. 若要將電話號碼套用至使用者的帳戶，請選取 [新增]。

成功佈建時，會顯示「SMS 登入已啟用」的核取記號。

測試 SMS 型登入

若要測試現在已啟用 SMS 型登入的使用者帳戶，請完成下列步驟：

1. 將新的 InPrivate 或 Incognito 網頁瀏覽器視窗開啟至 https://www.office.com

2. 選取右上角的 [登入]。

3. 在登入提示中，輸入與上一節中使用者相關聯的電話號碼，然後選取 [下一步]。

   

4. 文字簡訊會傳送到提供的電話號碼。 若要完成登入程序，請在登入提示中輸入於文字簡訊中提供的 6 位數代碼。

   

5. 使用者現在已登入，不需要提供使用者名稱或密碼。

針對 SMS 型登入進行疑難排解

如果您有啟用和使用 SMS 型登入的問題，可以使用下列案例和疑難排解步驟。 如需支援使用 SMS 型登入的應用程式清單，請參閱 SMS 型驗證的應用程式支援。

已經為使用者帳戶設定電話號碼

如果使用者已註冊 Microsoft Entra 多重要素驗證和/或自助式密碼重設 (SSPR)，他們的帳戶就已經有相關聯的電話號碼。 此電話號碼不會自動提供給 SMS 型登入使用。

系統會針對其帳戶已設定電話號碼的使用者，在其 [我的設定檔] 頁面中顯示 [針對 SMS 登入啟用] 按鈕。 選取此按鈕，帳戶就會啟用以搭配 SMS 型登入和先前的 Microsoft Entra 多重要素驗證或 SSPR 註冊使用。

如需使用者體驗的詳細資訊，請參閱電話號碼的 SMS 登入使用者體驗。

嘗試在使用者帳戶上設定電話號碼時發生錯誤

當您嘗試在 Microsoft Entra 系統管理中心為使用者帳戶設定電話號碼時，如果收到錯誤，請參閱下列疑難排解步驟：

1. 請確定您已啟用 SMS 型登入。
2. 確認使用者帳戶已在「文字簡訊」驗證方法原則中啟用。
3. 請確定您設定的電話號碼具有適當格式，如在 Microsoft Entra 系統管理中心所驗證 (例如「+1 4251234567」)。
4. 請確定您的租用戶中其他地方未使用此電話號碼。
5. 請檢查帳戶上未設定任何語音號碼。 若已設定語音號碼，請刪除並再次嘗試電話號碼。

下一步

• 如需支援使用 SMS 型登入的應用程式清單，請參閱 SMS 型驗證的應用程式支援。
• 若要了解在沒有密碼的情況下登入 Microsoft Entra ID 的其他方式 (例如 Microsoft Authenticator 應用程式或 FIDO2 安全性金鑰)，請參閱 Microsoft Entra ID 的無密碼驗證選項。
• 您也可以使用 Microsoft Graph REST API 來啟用或停用 SMS 型登入。