Sdílet prostřednictvím

Povolení přihlašování bez hesla pomocí Authenticatoru

  • Článek

Authenticator se používá k přihlášení k libovolnému účtu Microsoft Entra bez použití hesla. Authenticator používá ověřování na základě klíčů k povolení přihlašovacích údajů uživatele, které jsou svázané se zařízením, kde zařízení používá PIN kód nebo biometrické údaje. Windows Hello pro firmy používá podobnou technologii.

Ověřovací technologie je možné použít na libovolné platformě zařízení, včetně mobilních zařízení. Authenticator může běžet na iOSu nebo Androidu.

snímek obrazovky znázorňující příklad přihlášení v prohlížeči s žádostí uživatele o schválení přihlášení

Při přihlášení přes telefon z Authenticatoru se zobrazí zpráva, která uživatele vyzve k klepnutí na číslo v aplikaci. Nepožádá se o uživatelské jméno ani heslo. Pokud chcete dokončit proces přihlášení v aplikaci, postupujte takto:

  1. V dialogovém okně Authenticator zadejte číslo zobrazené na přihlašovací obrazovce.
  2. Vyberte Schválit.
  3. Zadejte svůj PIN nebo biometrický kód.

Více účtů

Přihlášení k telefonu bez hesla můžete povolit pro více účtů v Authenticatoru na libovolném podporovaném zařízení s Androidem nebo iOSem. Konzultanti, studenti a další uživatelé s více účty v Microsoft Entra ID můžou přidat každý účet do Authenticatoru a používat pro ně přihlašování pomocí telefonu bez hesla ze stejného zařízení.

Účty Microsoft Entra můžou být ve stejném tenantovi nebo v různých tenantech. Účty hostů nejsou podporované pro více přihlášení k účtům z jednoho zařízení.

Požadavky

Pokud chcete používat přihlašování telefonem bez hesla pomocí authenticatoru, musíte splnit následující požadavky:

  • Doporučeno: Vícefaktorové ověřování Microsoft Entra (MFA) s nabízenými oznámeními povolenými jako metoda ověřování. Nabízená oznámení do uživatelského smartphonu nebo tabletu pomáhají aplikaci Authenticator zabránit neoprávněnému přístupu k účtům a zastavit podvodné transakce. Aplikace Authenticator automaticky generuje kódy při nastavování nabízených oznámení. Uživatel má metodu zálohování přihlášení, i když zařízení nemá připojení.

  • Zařízení musí být zaregistrované u každého tenanta, ve kterém se přihlašuje. Například následující zařízení musí být zaregistrované ve společnosti Contoso a Wingtip Toys, aby se mohly přihlásit všechny účty:

    • balas@contoso.com
    • balas@wingtiptoys.com a bsandhu@wingtiptoys

Pokud chcete v MICROSOFT Entra ID použít ověřování bez hesla, nejprve povolte kombinované prostředí registrace a pak povolte uživatele pro metodu bez hesla.

Povolení metod ověřování přihlašování telefonem bez hesla

Microsoft Entra ID umožňuje správcům zásad ověřování zvolit, které metody ověřování je možné použít k přihlášení. V zásadách pro metody ověřování můžete povolit Microsoft Authenticator pro správu jak tradiční metody MFA, tak metody ověřování bez hesla.

Po povolení Microsoft Authenticator jako metody ověřování mohou uživatelé přejít na Bezpečnostní údaje a zaregistrovat ten Authenticator jako způsob přihlášení. Aplikace Microsoft Authenticator je uvedena jako metodabezpečnostních údajů . Například Bezheslový Microsoft Authenticator nebo Microsoft Authenticator-MFA Push se zobrazí v závislosti na tom, co je povolené a zaregistrované.

Pokud chcete povolit metodu ověřování pro přihlašování telefonem bez hesla, postupujte takto:

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce zásad ověřování.
  2. Přejděte do zásad ověřování>ochrany.>

Každá skupina je ve výchozím nastavení povolená tak, aby používala jakýkoli režim. jakýkoli režim umožňuje členům skupiny přihlásit se buď pomocí nabízeného oznámení, nebo přihlášení pomocí telefonu bez hesla.

Poznámka:

Pokud se při pokusu o uložení zobrazí chyba, může to být kvůli počtu přidávaných uživatelů nebo skupin. Alternativním řešením je nahradit uživatele a skupiny, které se pokoušíte přidat jednou skupinou ve stejné operaci. Potom znovu vyberte Uložit.

Registrace uživatele

Uživatelé se registrují k metodě ověřování bez hesla služby Microsoft Entra ID. Uživatelé, kteří už zaregistrovali aplikaci Authenticator pro vícefaktorové ověřování, můžou přeskočit na další část a povolitpro přihlášení přes telefon .

Přímá registrace přihlášení přes telefon

Uživatelé se můžou zaregistrovat přímo v aplikaci Authenticator pro přihlášení bez hesla, aniž by museli nejdřív zaregistrovat Authenticator pomocí svého účtu, a to vše, aniž by nabížili heslo. Postupujte následovně:

  1. Získejte dočasný přístupový průkaz od správce nebo organizace.
  2. Stáhněte a nainstalujte aplikaci Authenticator na mobilní zařízení.
  3. Otevřete aplikaci Authenticator a vyberte Přidat účet, a poté vyberte Pracovní nebo školní účet.
  4. Vyberte Přihlásit.
  5. Podle pokynů se přihlaste pomocí účtu pomocí dočasného přístupového passu poskytnutého vaším správcem nebo organizací.
  6. Po přihlášení pokračujte podle dalších kroků a nastavte si přihlášení přes telefon.

Vedená registrace u My Sign-Ins

Poznámka:

Uživatelé mohou zaregistrovat Authenticator prostřednictvím kombinované registrace pouze v případě, že je režim ověřování pro Authenticator nastaven na Jakýkoli nebo Push.

Pokud chcete zaregistrovat aplikaci Authenticator, postupujte takto:

  1. Přejděte na Bezpečnostní informace.
  2. Přihlaste se a pak vyberte Přidat metodu>Authenticator aplikace>Přidat, abyste přidali Authenticator.
  3. Podle pokynů nainstalujte a nakonfigurujte aplikaci Authenticator na zařízení.
  4. Vyberte Hotovo, abyste dokončili konfiguraci autentizátoru.

Povolení přihlášení k telefonu

Když se uživatelé zaregistrují do aplikace Authenticator, musí povolit přihlášení přes telefon:

  1. V aplikaci Microsoft Authenticator vyberte zaregistrovaný účet.
  2. Vyberte Povolit přihlášení telefonem.
  3. Podle pokynů v aplikaci dokončete registraci účtu pro přihlášení k telefonu bez hesla.

Organizace může své uživatele nasměrovat, aby se přihlásili pomocí svých telefonů bez použití hesla. Další pomoc s konfigurací Authenticatoru a povolením přihlášení pomocí telefonu najdete v tématu Přihlášení k účtům pomocí aplikace Authenticator.

Poznámka:

Pokud zásady omezují uživatele v používání přihlašování pomocí telefonu, uživatel ho nemůže povolit v rámci authenticatoru.

Přihlášení pomocí přihlašovacích údajů bez hesla

Uživatel může začít používat přihlášení bez hesla po dokončení všech následujících akcí:

  • Správce povolil tenanta uživatele.
  • Uživatel přidal authenticator jako metodu přihlašování.

Pokud chcete poprvé spustit proces přihlášení k telefonu, postupujte takto:

  1. Zadejte své jméno do panelu pro přihlášení.
  2. Vyberte Další.
  3. V případě potřeby vyberte Další způsoby přihlášení.
  4. Vyberte Schválit žádost v aplikaci Authenticator.

Zobrazí se číslo. Aplikace vyzve uživatele k ověření zadáním příslušného čísla místo zadání hesla.

Jakmile uživatel použije přihlášení pomocí telefonu bez hesla, bude aplikace pokračovat v průvodci uživatele touto metodou. Uživatel také uvidí možnost zvolit jinou metodu.

snímek obrazovky, který ukazuje příklad přihlášení v prohlížeči pomocí aplikace Authenticator.

Dočasný přístupový pass

Pokud správce tenanta povolil samoobslužné resetování hesla, aby uživatelé mohli poprvé nastavit bezheslové přihlašování pomocí aplikace Authenticator s použitím dočasného přístupového hesla, postupujte takto:

  1. Otevřete prohlížeč na mobilním zařízení nebo stolním počítači a přejděte na Bezpečnostní údaje.
  2. Zaregistrujte aplikaci Authenticator jako metodu přihlášení. Tato akce propojuje váš účet s aplikací.
  3. Vraťte se do svého mobilního zařízení a aktivujte přihlášení bez hesla prostřednictvím aplikace Authenticator.

Správa

Jako nejlepší způsob správy authenticatoru doporučujeme zásady metod ověřování. správci zásad ověřování můžou tuto zásadu upravit a povolit nebo zakázat authenticator. Správci můžou do používání zahrnout nebo vyloučit konkrétní uživatele a skupiny.

Správci můžou také nakonfigurovat parametry, aby mohli lépe řídit, jak se používá Authenticator. Do žádosti o přihlášení můžou například přidat umístění nebo název aplikace, aby uživatelé měli před schválením větší kontext.

Známé problémy

Existují následující známé problémy.

Možnost přihlášení k telefonu bez hesla se nezobrazuje

V jednom scénáři může mít uživatel nezodpovězené ověření přihlášení přes telefon bez hesla, které čeká na vyřízení. Pokud se uživatel pokusí znovu přihlásit, zobrazí se uživateli jenom možnost zadat heslo.

Pokud chcete tento scénář vyřešit, postupujte takto:

  1. Otevřete Authenticator.
  2. Odpovězte na všechny výzvy k oznámení.

Pak pokračujte v používání přihlašování telefonem bez hesla.

AuthenticatorAppSignInPolicy se nepodporuje

Služba Authenticator nepodporuje starší zásadu AuthenticatorAppSignInPolicy. Pokud chcete uživatelům povolit push oznámení nebo přihlášení bez hesla pomocí aplikace Authenticator, použijte zásady pro metody ověřování .

Federované účty

Jakmile uživatel povolí jakékoli přihlašovací údaje bez hesla, proces přihlašování Microsoft Entra přestane používat login\_hint. Tento proces už neurychluje uživatele směrem k federovanému přihlašovacímu místu.

Tato logika obecně brání tomu, aby se uživatel v hybridním tenantovi přesměroval na službu Active Directory Federation Services kvůli ověření přihlášení. Možnost vybrat Použít heslo místo toho je stále dostupná.

Místní uživatelé

Správci můžou uživatelům povolit vícefaktorové ověřování prostřednictvím místního zprostředkovatele identity. Uživatelé můžou dál vytvářet a používat přihlašovací údaje pro telefon bez hesla.

Pokud se uživatel pokusí upgradovat více instalací (5+) authenticatoru s přihlašovacími údaji pro telefon bez hesla, může tato změna způsobit chybu.

Související obsah

Další informace o metodách ověřování Microsoft Entra a bez hesla najdete v následujících článcích: