Entra SMS 型驗證可讓使用者只使用已註冊的電話號碼和透過SMS傳送的一次性密碼(OTP)登入,而不需要使用者名稱或密碼。 這與 Entra SMS 多重要素驗證不同,這通常需要使用者名稱、密碼和 SMS 作為 MFA 方法。 此驗證方法主要是為了簡化前線工作者的登入體驗,不建議用於資訊工作者(IW)。
Entra 也提供了針對前線工作人員的替代方案的公開預覽,稱為 QR 代碼驗證,組織可能會想要針對前線共用設備場景進行考慮。
本文的其餘部分會示範如何啟用SMS型驗證,作為選取Microsoft EntraID中使用者或群組的第一個因素。 如需支援使用 SMS 型登入的應用程式清單,請參閱 SMS 型驗證的應用程式支援。
開始之前
以下是開始前的一些重點:
- 您應該 只 針對前線工作者啟用SMS驗證。
- 如果您啟用 SMS 驗證,請確保遵循最佳做法,為前線工作人員在工作或家庭存取時使用安全控制措施。 如需詳細資訊,請參閱 保護前線工作者的最佳做法。
- 如果您為前線員工啟用SMS驗證,建議您移至使用QR代碼驗證(預覽),這無法進行網路釣魚。 如需詳細資訊,請參閱 Microsoft Entra ID - QR 代碼驗證方法中的驗證方法 (預覽) 。
為了簡化及保護應用程式和服務的登入,Microsoft Entra ID 提供了多個驗證選項。 SMS 型驗證可讓使用者,例如前線工作者,輸入 SMS 代碼作為登入的第一道驗證因素。 使用者不需要提供或甚至知道其使用者名稱和密碼。
在身分識別管理員建立帳戶之後,使用者可在登入提示中輸入其電話號碼。 使用者會收到驗證碼,其可提供該驗證碼來完成登入。 此驗證方法會簡化對應用程式和服務的存取,特別是針對前線的員工。
先決條件
若要完成本文章,您需要下列資源和權限:
- 有效的 Azure 訂閱。
- 如果您沒有 Azure 訂用帳戶,請先建立帳戶。
- 與訂用帳戶相關聯的 Microsoft Entra 租戶。
- 您至少需要 Microsoft Entra 租用戶中的驗證原則管理員角色,才能啟用 SMS 型驗證。
- 在簡訊驗證方法政策中啟用的每位使用者都必須獲得授權,即使他們沒有實際使用該方法。 每個啟用的使用者都必須具有下列其中一個 Microsoft Entra ID、EMS、Microsoft 365 授權:
已知問題
以下是一些已知問題:
- SMS 型驗證目前與 Microsoft Entra 多重要素驗證不相容。
- 除了 Teams 之外,SMS 型驗證與原生 Office 應用程式不相容。
- 不支援對 B2B 帳戶使用 SMS 型驗證。
- 同盟使用者不會在主租用戶中進行驗證。 他們只會在雲端中進行驗證。
- 如果使用者的預設登入方法是簡訊或撥打您的電話號碼,則在多重要素驗證期間會自動傳送 SMS 代碼或語音通話。 從 2021 年 6 月起,有些應用程式會首先要求使用者選擇 [簡訊] 或 [通話]。 此選項可防止針對不同的應用程式傳送太多安全性驗證碼。 如果預設登入方法是 Microsoft Authenticator 應用程式(我們強烈建議使用此應用程式),則應用程式通知會自動傳送。
- 跨租戶同步處理 不支援已啟用以簡訊登入的使用者。
啟用 SMS 型驗證方法
在貴組織中啟用和使用 SMS 型驗證有三個主要步驟:
- 啟用驗證方法原則。
- 選取可以使用 SMS 型驗證方法的使用者或群組。
- 為每個使用者帳戶指派電話號碼。
- 此電話號碼可以在 Microsoft Entra 系統管理中心指派 (如本文所示),以及在 [我的員工] 或 [我的帳戶] 中指派。
首先,讓我們為您的 Microsoft Entra 租用戶啟用 SMS 型驗證。
以至少驗證原則管理員的身分登入 Microsoft Entra 系統管理中心。
流覽至 Entra ID>驗證方法>原則。
從可用驗證方法的清單中,選取 [文字簡訊]。
選取 啟用,然後選取 目標使用者。 您可以選擇針對「所有使用者」或「選取使用者」和群組,啟用 SMS 型驗證。
注意
若要設定第一要素的 SMS 型驗證 (也就是允許使用者使用此方法登入),請勾選 [用於登入] 核取方塊。 不勾選此方塊會讓以 SMS 為基礎的驗證僅適用於多重驗證和自助式密碼重設。
將驗證方法指派給使用者和群組
在您的 Microsoft Entra 租用戶中啟用 SMS 型驗證之後,現在請選取要允許使用此驗證方法的某些使用者或群組。
- 在文字簡訊驗證原則視窗中,將 [目標] 設定為 [選取使用者]。
- 選擇 [新增使用者或群組],然後選取測試使用者或群組,例如「Contoso 使用者」或「Contoso SMS 使用者」。
- 當您選取使用者或群組之後,請選擇 [選取],然後選擇 [儲存] 已更新的驗證方法原則。
在 SMS 驗證方法策略中啟用的每個使用者,即使未使用該驗證,也必須獲得授權。 請確定您對於在驗證方法原則中啟用的使用者擁有適當授權,特別是當您為大型使用者群組啟用此功能時。
為使用者帳戶設定電話號碼
使用者現在已啟用 SMS 型驗證,但是其電話號碼必須與 Microsoft Entra ID 中的使用者設定檔建立關聯,才能登入。 使用者可以在 [我的帳戶] 中自行設定此電話號碼,或者您可以使用 Microsoft Entra 系統管理中心指派電話號碼。 電話號碼可由至少具備驗證管理員角色的人員設定。
設定 SMS 式登入的電話號碼時,也可與 Microsoft Entra 多重要素驗證和自助式密碼重設搭配使用。
搜尋並選取 Microsoft Entra ID。
從 Microsoft Entra 視窗左側的導覽功能表中,選取 [使用者]。
選取您在上一節中啟用 SMS 型驗證的使用者,例如「Contoso 使用者」,然後選取 [驗證方法]。
選取 [+ 新增驗證方法],然後在 [選擇方法] 下拉式功能表中,選擇 [電話號碼]。
輸入使用者的電話號碼,包括國家/地區代碼,例如「+1 xxxxxxxxx」。 Microsoft Entra 系統管理中心會驗證電話號碼是否為正確格式。
然後,從 [電話類型] 下拉式功能表中,視需要選取 [行動]、[替代行動] 或 [其他]。
電話號碼在您的租戶中必須是唯一的。 如果您嘗試為多個使用者使用相同的電話號碼,則會顯示錯誤訊息。
若要將電話號碼套用至使用者的帳戶,請選取 [新增]。
成功佈建時,會顯示「SMS 登入已啟用」的核取記號。
測試 SMS 型登入
若要測試現在已啟用 SMS 型登入的使用者帳戶,請完成下列步驟:
將新的 InPrivate 或 Incognito 網頁瀏覽器視窗開啟至 https://www.office.com
選取右上角的 [登入]。
在登入提示中,輸入與上一節中使用者相關聯的電話號碼,然後選取 [下一步]。
文字簡訊會傳送到提供的電話號碼。 若要完成登入程序,請在登入提示中輸入於文字簡訊中提供的 6 位數代碼。
使用者現在已登入,不需要提供使用者名稱或密碼。
針對 SMS 型登入進行疑難排解
如果您在啟用和使用SMS型登入時遇到問題,可以使用下列案例和疑難解答步驟。 如需支援使用 SMS 型登入的應用程式清單,請參閱 SMS 型驗證的應用程式支援。
已經為使用者帳戶設定電話號碼
如果使用者已註冊 Microsoft Entra 多重要素驗證和/或自助式密碼重設 (SSPR),他們的帳戶就已經有相關聯的電話號碼。 此電話號碼不會自動提供給 SMS 型登入使用。
系統會針對其帳戶已設定電話號碼的使用者,在其 [我的設定檔] 頁面中顯示 [針對 SMS 登入啟用] 按鈕。 選取此按鈕,帳戶就會啟用以搭配 SMS 型登入和先前的 Microsoft Entra 多重要素驗證或 SSPR 註冊使用。
如需使用者體驗的詳細資訊,請參閱電話號碼的 SMS 登入使用者體驗。
嘗試在使用者帳戶上設定電話號碼時發生錯誤
當您嘗試在 Microsoft Entra 系統管理中心為使用者帳戶設定電話號碼時,如果收到錯誤,請參閱下列疑難排解步驟:
- 請確定您已啟用 SMS 型登入。
- 確認使用者帳戶已在 SMS 驗證方法原則中啟用。
- 請確定您設定的電話號碼具有適當格式,如在 Microsoft Entra 系統管理中心所驗證 (例如「+1 4251234567」)。
- 請確保您的租戶中未在其他地方使用此電話號碼。
- 請檢查帳戶上未設定任何語音號碼。 如果已設定語音號碼,請刪除並重新輸入電話號碼。
下一步
- 如需支援使用 SMS 型登入的應用程式清單,請參閱 SMS 型驗證的應用程式支援。
- 若要了解在沒有密碼的情況下登入 Microsoft Entra ID 的其他方式 (例如 Microsoft Authenticator 應用程式或 FIDO2 安全性金鑰),請參閱 Microsoft Entra ID 的無密碼驗證選項。
- 您也可以使用 Microsoft Graph REST API 來啟用或停用 SMS 型登入。