Povolení bezheslového přihlašování pomocí aplikace Microsoft Authenticator
Microsoft Authenticator se dá použít k přihlášení k libovolnému účtu Microsoft Entra bez použití hesla. Microsoft Authenticator používá ověřování na základě klíčů k povolení přihlašovacích údajů uživatele, které jsou svázané se zařízením, kde zařízení používá PIN kód nebo biometrické údaje. Windows Hello pro firmy používá podobnou technologii.
Tuto ověřovací technologii lze použít na libovolné platformě zařízení, včetně mobilních zařízení. Tuto technologii lze také použít s libovolnou aplikací nebo webem, které se integrují s knihovnami ověřování Microsoftu.
Uživatelům, kteří povolili přihlášení přes telefon z Microsoft Authenticatoru, se zobrazí zpráva s dotazem, že v aplikaci klepne na číslo. Není požádáno o žádné uživatelské jméno ani heslo. K dokončení procesu přihlašování v aplikaci musí uživatel provést následující akce:
- Zadejte číslo, které uvidí na přihlašovací obrazovce, do dialogového okna Microsoft Authenticatoru.
- Zvolte Schválit.
- Zadejte svůj PIN nebo biometrický kód.
Více účtů
Přihlášení k telefonu bez hesla můžete povolit pro více účtů v Microsoft Authenticatoru na jakémkoli podporovaném zařízení s Androidem nebo iOSem. Konzultanti, studenti a další uživatelé s více účty v Microsoft Entra ID můžou přidat každý účet do Microsoft Authenticatoru a používat pro ně přihlašování pomocí telefonu bez hesla ze stejného zařízení.
Dříve správci nemuseli vyžadovat přihlášení bez hesla pro uživatele s více účty, protože vyžadují, aby při přihlašování přenášeli více zařízení. Odebráním omezení přihlašování jednoho uživatele ze zařízení můžou správci s jistotou vyzvat uživatele, aby si zaregistrovali přihlášení pomocí telefonu bez hesla a použili ho jako výchozí způsob přihlašování.
Účty Microsoft Entra můžou být ve stejném tenantovi nebo v různých tenantech. Účty hostů nejsou podporované pro více přihlášení k účtům z jednoho zařízení.
Požadavky
Pokud chcete používat přihlášení k telefonu bez hesla pomocí aplikace Microsoft Authenticator, musí být splněné následující požadavky:
- Doporučeno: Vícefaktorové ověřování Microsoft Entra s povolenými nabízenými oznámeními jako metodou ověřování. Nabízená oznámení do smartphonu nebo tabletu pomáhají aplikaci Authenticator zabránit neoprávněnému přístupu k účtům a zastavit podvodné transakce. Aplikace Authenticator automaticky generuje kódy při nastavování nabízených oznámení. Uživatel má metodu zálohování přihlášení, i když zařízení nemá připojení.
- Nejnovější verze aplikace Microsoft Authenticator nainstalovaná na zařízeních s iOSem nebo Androidem
- Zařízení musí být zaregistrované u každého tenanta, ve kterém se přihlašuje. Například následující zařízení musí být zaregistrované ve společnosti Contoso a Wingtiptoys, aby se mohly přihlásit všechny účty:
- balas@contoso.com
- balas@wingtiptoys.com a bsandhu@wingtiptoys
Pokud chcete použít ověřování bez hesla v MICROSOFT Entra ID, nejprve povolte kombinované prostředí registrace a pak povolte uživatele pro metodu bez hesla.
Povolení metod ověřování přihlašování telefonem bez hesla
Tip
Postup v tomto článku se může mírně lišit v závislosti na portálu, od který začínáte.
Microsoft Entra ID umožňuje správcům zásad ověřování zvolit, které metody ověřování je možné použít k přihlášení. V zásadách metod ověřování můžou povolit Microsoft Authenticator , aby spravovali tradiční metodu MFA i metodu ověřování bez hesla.
Po povolení aplikace Microsoft Authenticator jako metody ověřování můžou uživatelé přejít na bezpečnostní údaje a zaregistrovat microsoft Authenticator jako způsob přihlášení. V bezpečnostních údajích se zobrazí Microsoft Authenticator uvedený jako metoda. V závislosti na tom, co je povolené a zaregistrované, uvidí například oznámení Microsoft Authenticator-Passwordless nebo Microsoft Authenticator-MFA Push.
Pokud chcete povolit metodu ověřování pro přihlašování telefonem bez hesla, proveďte následující kroky:
Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce zásad ověřování.
Přejděte do zásad ověřování>ochrany.>
V části Microsoft Authenticator zvolte následující možnosti:
- Povolení – Ano nebo Ne
- Cíl – Všichni uživatelé nebo Vybrat uživatele
Každá přidaná skupina nebo uživatel je ve výchozím nastavení povolená tak, aby používala Aplikaci Microsoft Authenticator v režimu bez hesla i v režimu nabízených oznámení (režim Any). Pokud chcete režim změnit, pro každý řádek pro režim ověřování – zvolte Libovolný nebo Bez hesla. Volba Funkce Push zabraňuje použití přihlašovacích údajů pro telefon bez hesla.
Chcete-li použít novou zásadu, klikněte na tlačítko Uložit.
Poznámka:
Pokud se při pokusu o uložení zobrazí chyba, příčinou může být počet přidaných uživatelů nebo skupin. Jako alternativní řešení nahraďte uživatele a skupiny, které se pokoušíte přidat jednou skupinou, ve stejné operaci a pak znovu vyberte Uložit .
Registrace uživatele
Uživatelé se zaregistrují pro metodu ověřování bez hesla Microsoft Entra ID. Pokud uživatelé, kteří už aplikaci Microsoft Authenticator zaregistrovali pro vícefaktorové ověřování, přejděte k další části a povolte přihlášení přes telefon.
Přímá registrace přihlášení přes telefon
Uživatelé se můžou zaregistrovat pro přihlášení k telefonu bez hesla přímo v aplikaci Microsoft Authenticator, aniž by museli nejdřív zaregistrovat Aplikaci Microsoft Authenticator pomocí svého účtu, a to vše při tom, že nikdy nenabídá heslo. Postupujte následovně:
- Získání dočasného přístupového passu od správce nebo organizace
- Stáhněte a nainstalujte aplikaci Microsoft Authenticator na mobilní zařízení.
- Otevřete Aplikaci Microsoft Authenticator a klikněte na Přidat účet a pak zvolte Pracovní nebo školní účet.
- Zvolte Přihlásit se.
- Postupujte podle pokynů pro přihlášení ke svému účtu pomocí dočasného přístupového passu poskytnutého vaším správcem nebo organizací.
- Po přihlášení pokračujte podle dalších kroků a nastavte přihlášení k telefonu.
Registrace s asistencí u mých přihlášení
Poznámka:
Uživatelé budou moct aplikaci Microsoft Authenticator zaregistrovat pouze prostřednictvím kombinované registrace, pokud je režim ověřování Microsoft Authenticatoru jakýkoli nebo nabízený.
Pokud chcete zaregistrovat aplikaci Microsoft Authenticator, postupujte takto:
- Přejděte na https://aka.ms/mysecurityinfo.
- Přihlaste se a pak vyberte Přidat metodu>Authenticator aplikace>Přidat a přidejte Microsoft Authenticator.
- Podle pokynů nainstalujte a nakonfigurujte aplikaci Microsoft Authenticator na zařízení.
- Výběrem možnosti Hotovo dokončete konfiguraci aplikace Microsoft Authenticator.
Povolení přihlášení k telefonu
Jakmile se uživatelé zaregistrovali do aplikace Microsoft Authenticator, musí povolit přihlášení přes telefon:
- V aplikaci Microsoft Authenticator vyberte zaregistrovaný účet.
- Vyberte Povolit přihlášení telefonem.
- Podle pokynů v aplikaci dokončete registraci účtu pro přihlášení k telefonu bez hesla.
Organizace může své uživatele nasměrovat, aby se přihlásili pomocí svých telefonů bez použití hesla. Další pomoc s konfigurací Microsoft Authenticatoru a povolením přihlášení k telefonu najdete v tématu Přihlášení k účtům pomocí aplikace Microsoft Authenticator.
Poznámka:
Uživatelé, kteří nejsou zásadami povoleni pro používání přihlašování přes telefon, už ho nemůžou povolit v microsoft Authenticatoru.
Přihlášení pomocí přihlašovacích údajů bez hesla
Uživatel může začít používat přihlášení bez hesla po dokončení všech následujících akcí:
- Správce povolil tenanta uživatele.
- Uživatel přidal Microsoft Authenticator jako metodu přihlašování.
Při prvním spuštění procesu přihlášení k telefonu provede uživatel následující kroky:
- Na přihlašovací stránce zadá jejich jméno.
- Vybere další.
- V případě potřeby vybere možnost Další způsoby přihlášení.
- Vybere schválení žádosti v aplikaci Authenticator.
Uživateli se pak zobrazí číslo. Aplikace vyzve uživatele k ověření zadáním příslušného čísla, nikoli zadáním hesla.
Jakmile uživatel využívá přihlášení k telefonu bez hesla, bude aplikace pokračovat v průvodci uživatele touto metodou. Uživatel ale uvidí možnost zvolit jinou metodu.
Dočasný přístupový pass
Pokud správce tenanta povolil samoobslužné resetování hesla (SSPR) a uživatel nastavuje přihlašování bez hesla pomocí aplikace Authenticator poprvé pomocí dočasného hesla, měli byste postupovat následovně:
- Uživatel by měl otevřít prohlížeč na mobilním zařízení nebo na ploše a přejít na stránku s informacemi o mySecurity .
- Uživatel musí jako metodu přihlašování zaregistrovat aplikaci Authenticator. Tato akce pro propojení účtu uživatele s aplikací.
- Uživatel by se pak měl vrátit do svého mobilního zařízení a aktivovat přihlášení bez hesla prostřednictvím aplikace Authenticator.
Správa
Zásady metod ověřování se doporučují ke správě aplikace Microsoft Authenticator. Správci zásad ověřování můžou tuto zásadu upravit a povolit nebo zakázat aplikaci Microsoft Authenticator. Správci můžou do používání zahrnout nebo vyloučit konkrétní uživatele a skupiny.
Správci můžou také nakonfigurovat parametry, aby mohli lépe řídit způsob použití aplikace Microsoft Authenticator. Do žádosti o přihlášení můžou například přidat umístění nebo název aplikace, aby uživatelé měli před schválením větší kontext.
Známé problémy
Existují následující známé problémy.
Možnost pro přihlášení k telefonu bez hesla se nezobrazuje
V jednom scénáři může uživatel mít nezodpovězené ověřování bez hesla pro přihlášení k telefonu, které čeká na vyřízení. Pokud se uživatel pokusí znovu přihlásit, může se mu zobrazit jenom možnost zadat heslo.
Pokud chcete tento scénář vyřešit, postupujte takto:
- Otevřete Microsoft Authenticator.
- Odpovězte na všechny výzvy k oznámení.
Uživatel pak může dál používat přihlášení k telefonu bez hesla.
AuthenticatorAppSignInPolicy se nepodporuje
AuthenticatorAppSignInPolicy je starší zásada, která se v Microsoft Authenticatoru nepodporuje. Pokud chcete uživatelům povolit nabízená oznámení nebo přihlášení přes telefon bez hesla pomocí aplikace Authenticator, použijte zásadu Metody ověřování.
Federované účty
Pokud uživatel povolil jakékoli přihlašovací údaje bez hesla, proces přihlášení Microsoft Entra přestane používat login_hint. Proto proces už nezrychluje uživatele směrem k federované přihlašovací poloze.
Tato logika obecně brání tomu, aby se uživatel v hybridním tenantovi přesměroval na službu Ad FS (Active Directory Federated Services) pro ověření přihlášení. Uživatel si ale ponechá možnost místo toho kliknout na Použít heslo.
Místní uživatelé
Koncový uživatel může být povolený pro vícefaktorové ověřování prostřednictvím místního zprostředkovatele identity. Uživatel může stále vytvářet a využívat přihlašovací údaje pro telefon bez hesla.
Pokud se uživatel pokusí upgradovat více instalací microsoft Authenticatoru s přihlašovacími údaji bez hesla, může tato změna způsobit chybu.
Další kroky
Další informace o metodách ověřování Microsoft Entra a bez hesla najdete v následujících článcích: