Udostępnij za pośrednictwem

Włączanie logowania bez hasła przy użyciu aplikacji Authenticator

  • Artykuł

Aplikacja Authenticator służy do logowania się do dowolnego konta Microsoft Entra bez użycia hasła. Aplikacja Authenticator używa uwierzytelniania opartego na kluczach, aby umożliwić poświadczenie użytkownika powiązane z urządzeniem, które korzysta z numeru PIN lub danych biometrycznych. Windows Hello dla firm używa podobnej technologii.

Technologia uwierzytelniania może być używana na dowolnej platformie urządzeń, w tym na urządzeniach przenośnych. Aplikacja Authenticator może działać w systemie iOS lub Android.

Zrzut ekranu przedstawiający przykład logowania przeglądarki z prośbą użytkownika o zatwierdzenie logowania.

Logowanie za pomocą telefonu z aplikacji Authenticator wyświetla komunikat z prośbą użytkownika o naciśnięcie numeru w aplikacji. Nie wymaga podania nazwy użytkownika ani hasła. Aby ukończyć proces logowania w aplikacji, wykonaj następujące kroki:

  1. W oknie dialogowym Authenticator wprowadź numer wyświetlany na ekranie logowania.
  2. Wybierz pozycję Zatwierdź.
  3. Podaj numer PIN lub biometryczny.

Wiele kont

Możesz włączyć logowanie bez hasła dla wielu kont w aplikacji Authenticator na dowolnym obsługiwanym urządzeniu z systemem Android lub iOS. Doradcy, uczniowie i inni użytkownicy z wieloma kontami w usłudze Microsoft Entra ID mogą dodawać każde konto do aplikacji Authenticator i używać logowania bez hasła na telefon dla wszystkich z tych samych urządzeń.

Konta Microsoft Entra mogą znajdować się w tej samej dzierżawie lub w różnych dzierżawach. Konta gościa nie są obsługiwane w przypadku wielu logów kont z jednego urządzenia.

Wymagania wstępne

Aby korzystać z logowania bez hasła za pomocą aplikacji Authenticator, musisz spełnić następujące wymagania wstępne:

  • Zalecane: Microsoft Entra uwierzytelnianie wieloskładnikowe (MFA), z powiadomieniami push dozwolonymi jako metoda weryfikacji. Powiadomienia wypychane do smartfona lub tabletu użytkownika pomagają aplikacji Authenticator zapobiec nieautoryzowanemu dostępowi do kont i zatrzymać fałszywe transakcje. Aplikacja Authenticator automatycznie generuje kody podczas konfigurowania powiadomień wypychanych. Użytkownik ma metodę logowania do kopii zapasowej, nawet jeśli urządzenie nie ma łączności.

  • Najnowszą wersję aplikacji Authenticator należy zainstalować na urządzeniach z systemem iOS lub Android.

  • Urządzenie musi być zarejestrowane w każdej dzierżawie, w której jest używane do logowania. Na przykład następujące urządzenie musi być zarejestrowane w firmie Contoso i aplikacji Wingtip Toys, aby umożliwić logowanie wszystkich kont:

    • balas@contoso.com
    • balas@wingtiptoys.com i bsandhu@wingtiptoys

Aby użyć uwierzytelniania bez hasła w usłudze Microsoft Entra ID, najpierw włącz połączone środowisko rejestracji, a następnie włącz użytkownikom metodę bez hasła.

Włączanie metod uwierzytelniania logowania bez hasła na telefon

Napiwek

Kroki opisane w tym artykule mogą się nieznacznie różnić w zależności od portalu, od którego zaczynasz.

Identyfikator Entra firmy Microsoft umożliwia administratorom zasad uwierzytelniania wybór metod uwierzytelniania, których można użyć do logowania. Można włączyć Microsoft Authenticator w zasadach metod uwierzytelniania, aby zarządzać zarówno metodą MFA z powiadomieniami push, jak i metodą uwierzytelniania bez hasła.

Po włączeniu Microsoft Authenticator jako metody uwierzytelniania użytkownicy mogą przejść do Informacje o zabezpieczeniach, aby zarejestrować aplikację Authenticator jako sposób logowania. Microsoft Authenticator jest wymieniony jako metoda na Informacje o zabezpieczeniach. Na przykład pojawia się Microsoft Authenticator-Passwordless lub Microsoft Authenticator-MFA Push, w zależności od tego, co jest włączone i zarejestrowane.

Aby włączyć metodę uwierzytelniania dla logowania za pomocą telefonu bez hasła, wykonaj następujące kroki:

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator zasad uwierzytelniania.
  2. Przejdź do strony Zasady metod> uwierzytelniania ochrony.>

Każda grupa jest domyślnie włączona do używania trybu Any. Każdy tryb pozwala członkom grupy logować się za pomocą powiadomienia push lub logowania bez użycia hasła.

Uwaga

Jeśli podczas próby zapisania wystąpi błąd, może to być spowodowane liczbą dodanych użytkowników lub grup. Aby obejść ten problem, zastąp użytkowników i grupy, które próbujesz dodać, jedną grupą w tej samej operacji. Następnie ponownie wybierz pozycję Zapisz.

Rejestracja użytkownika

Użytkownicy rejestrują się na potrzeby metody uwierzytelniania bez hasła identyfikatora Entra firmy Microsoft. Użytkownicy, którzy już zarejestrowali aplikację Authenticator dla MFA, mogą przejść do następnej sekcji i włączyć logowanie telefonem.

Bezpośrednia rejestracja logowania za pomocą telefonu

Użytkownicy mogą rejestrować się do logowania bez hasła bezpośrednio w aplikacji Authenticator, bez potrzeby wcześniejszego rejestrowania samej aplikacji przy użyciu konta, nie wymagając nigdy użycia hasła. Oto, jak to zrobić:

  1. Uzyskaj Tymczasowy Pas Dostępu od administratora lub organizacji.
  2. Pobierz i zainstaluj aplikację Authenticator na urządzeniu przenośnym.
  3. Otwórz aplikację Authenticator i wybierz Dodaj konto, a następnie wybierz Konto służbowe.
  4. Wybierz Zaloguj się.
  5. Postępuj zgodnie z instrukcjami, aby zalogować się przy użyciu Tymczasowej Przepustki Dostępu przekazywanej przez administratora lub organizację.
  6. Po zalogowaniu postępuj zgodnie z dodatkowymi krokami, aby skonfigurować logowanie na telefonie.

Rejestracja z przewodnikiem przy użyciu My Sign-Ins

Uwaga

Użytkownicy mogą rejestrować Authenticator za pośrednictwem połączonej rejestracji tylko wtedy, gdy tryb uwierzytelniania Authenticator jest ustawiony na wartość Any lub Push.

Aby zarejestrować aplikację Authenticator, wykonaj następujące kroki:

  1. Przejdź do Informacje zabezpieczające.
  2. Zaloguj się, a następnie wybierz pozycję Dodaj metodę>Aplikacja Authenticator>Dodaj, aby dodać aplikację Authenticator.
  3. Postępuj zgodnie z instrukcjami, aby zainstalować i skonfigurować aplikację Authenticator na urządzeniu.
  4. Wybierz przycisk Gotowe, aby zakończyć konfigurację Authenticatora.

Włączanie logowania za pomocą telefonu

Po zarejestrowaniu się użytkowników w aplikacji Authenticator muszą włączyć logowanie za pomocą telefonu:

  1. W aplikacji Microsoft Authenticator wybierz zarejestrowane konto.
  2. Wybierz pozycję Włącz logowanie za pomocą telefonu.
  3. Postępuj zgodnie z instrukcjami w aplikacji, aby zakończyć rejestrowanie konta na potrzeby logowania za pomocą telefonu bez hasła.

Organizacja może kierować swoich użytkowników do logowania się przy użyciu telefonów bez użycia hasła. Aby uzyskać dalszą pomoc dotyczącą konfigurowania aplikacji Authenticator i włączania logowania za pomocą telefonu, zobacz Logowanie się do kont przy użyciu aplikacji Authenticator.

Uwaga

Jeśli zasady ograniczają użytkownikowi możliwość korzystania z logowania za pomocą telefonu, użytkownik nie może go włączyć w aplikacji Authenticator.

Logowanie przy użyciu poświadczeń bez hasła

Użytkownik może rozpocząć korzystanie z logowania bez hasła po zakończeniu wszystkich następujących akcji:

  • Administrator włączył dzierżawcę użytkownika.
  • Użytkownik dodał authenticator jako metodę logowania.

Aby rozpocząć proces logowania za pomocą telefonu po raz pierwszy, wykonaj następujące kroki:

  1. Wprowadź swoje imię w okienku logowania.
  2. Wybierz pozycję Dalej.
  3. W razie potrzeby wybierz pozycję Inne sposoby logowania.
  4. Wybierz pozycję Zatwierdź żądanie w mojej aplikacji Authenticator.

Zostanie wyświetlona liczba. Aplikacja monituje użytkownika o uwierzytelnienie, wprowadzając odpowiedni numer zamiast wprowadzając hasło.

Gdy użytkownik będzie używać logowania za pomocą telefonu bez hasła, aplikacja będzie nadal kierować użytkownika za pomocą tej metody. Użytkownik widzi również opcję wyboru innej metody.

Zrzut ekranu przedstawiający przykład logowania przeglądarki przy użyciu aplikacji Authenticator.

Dostęp tymczasowy — dostęp próbny

Jeśli administrator dzierżawcy włączył samoobsługowe resetowanie hasła dla użytkowników w celu skonfigurowania logowania bez hasła w aplikacji Authenticator po raz pierwszy przy użyciu Tymczasowego Dostępu, wykonaj następujące kroki:

  1. Otwórz przeglądarkę na urządzeniu przenośnym lub komputerze stacjonarnym i przejdź do Informacje zabezpieczające.
  2. Zarejestruj aplikację Authenticator jako metodę logowania. Ta akcja powoduje połączenie konta z aplikacją.
  3. Wróć do urządzenia przenośnego i aktywuj logowanie bez hasła za pośrednictwem aplikacji Authenticator.

Zarządzanie

Zalecamy zasady metod uwierzytelniania jako najlepszy sposób zarządzania aplikacją Authenticator. administratorzy zasad uwierzytelniania mogą edytować te zasady, aby włączyć lub wyłączyć wystawcę Authenticator. Administratorzy mogą dołączać lub wykluczać określonych użytkowników i grupy z użycia.

Administratorzy mogą również skonfigurować parametry, aby lepiej kontrolować sposób użycia aplikacji Authenticator. Mogą na przykład dodać lokalizację lub nazwę aplikacji do żądania logowania, aby użytkownicy mieli większy kontekst przed zatwierdzeniem.

Znane problemy

Istnieją następujące znane problemy.

Nie widzisz opcji logowania bez hasła na telefonie

W jednym scenariuszu użytkownik może mieć nieodpowiedzianą weryfikację logowania telefonicznego bez użycia hasła, która oczekuje. Jeśli użytkownik spróbuje ponownie się zalogować, zobaczy tylko opcję wprowadzenia hasła.

Aby rozwiązać ten scenariusz, wykonaj następujące kroki:

  1. Otwórz aplikację Authenticator.
  2. Odpowiadanie na wszelkie monity o powiadomienie.

Następnie kontynuuj korzystanie z logowania za pomocą telefonu bez hasła.

Aplikacja AuthenticatorAppSignInPolicy nie jest obsługiwana

Starsze zasady AuthenticatorAppSignInPolicy nie są obsługiwane w aplikacji Authenticator. Aby umożliwić użytkownikom otrzymywanie powiadomień push lub logowanie telefoniczne bez hasła za pomocą aplikacji Authenticator, użyj zasad metod uwierzytelniania .

Konta federacyjne

Gdy użytkownik włączy jakiekolwiek poświadczenia bezhasłowe, proces logowania w Microsoft Entra przestanie korzystać z login\_hint. Proces nie kieruje już użytkownika szybciej w kierunku lokalizacji logowania federacyjnego.

Ta logika zwykle uniemożliwia użytkownikowi w dzierżawie hybrydowej kierowanie do usług Active Directory Federation Services na potrzeby weryfikacji logowania. Opcja wybrania opcji Użyj hasła zamiast jest nadal dostępna.

Użytkownicy lokalni

Administratorzy mogą umożliwić użytkownikom uwierzytelnianie wieloskładnikowe za pośrednictwem lokalnego dostawcy tożsamości. Użytkownicy mogą nadal tworzyć i używać pojedynczych poświadczeń logowania telefonicznego bez hasła.

Jeśli użytkownik spróbuje uaktualnić wiele instalacji (5+) aplikacji Authenticator przy użyciu poświadczeń logowania bez hasła, ta zmiana może spowodować wystąpienie błędu.

Powiązana zawartość

Aby dowiedzieć się więcej o metodach uwierzytelniania i bez hasła firmy Microsoft, zobacz następujące artykuły: