Zarządzanie metodami uwierzytelniania dla identyfikatora Entra firmy Microsoft
Microsoft Entra ID umożliwia korzystanie z wielu metod uwierzytelniania do obsługi wielu różnych scenariuszy logowania. Administratorzy mogą w szczególności skonfigurować każdą metodę, aby spełnić swoje cele dotyczące środowiska użytkownika i zabezpieczeń. W tym temacie wyjaśniono, jak zarządzać metodami uwierzytelniania dla identyfikatora Entra firmy Microsoft oraz jak opcje konfiguracji wpływają na scenariusze logowania użytkownika i resetowania hasła.
Zasady metod uwierzytelniania
Zasady metody uwierzytelniania to zalecany sposób zarządzania metodami uwierzytelniania, w tym nowoczesnymi metodami, takimi jak uwierzytelnianie bez hasła. Administratorzy zasad uwierzytelniania mogą edytować te zasady, aby włączyć metody uwierzytelniania dla wszystkich użytkowników lub określonych grup.
Metody włączone w zasadach metod uwierzytelniania mogą być zwykle używane w dowolnym miejscu w usłudze Microsoft Entra ID, zarówno w scenariuszach uwierzytelniania, jak i resetowania hasła. Wyjątkiem jest to, że niektóre metody są z natury ograniczone do użycia w uwierzytelnianiu, takich jak FIDO2 i Windows Hello dla firm, a inne są ograniczone do użycia w resetowaniu haseł, takich jak pytania zabezpieczające. Aby uzyskać większą kontrolę nad tym, które metody można używać w danym scenariuszu uwierzytelniania, rozważ użycie funkcji Siły uwierzytelniania.
Większość metod ma również parametry konfiguracji, aby dokładniej kontrolować sposób użycia tej metody. Jeśli na przykład włączysz połączenia głosowe, możesz również określić, czy telefon biurowy może być używany oprócz telefonu komórkowego.
Załóżmy też, że chcesz włączyć uwierzytelnianie bez hasła za pomocą aplikacji Microsoft Authenticator. Możesz ustawić dodatkowe parametry, takie jak wyświetlanie lokalizacji logowania użytkownika lub nazwa zalogowanej aplikacji. Te opcje zapewniają więcej kontekstu dla użytkowników podczas logowania i pomagają zapobiec przypadkowym zatwierdzeniom uwierzytelniania wieloskładnikowego.
Aby zarządzać zasadami metod uwierzytelniania, zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej administrator zasad uwierzytelniania i przejdź do pozycji
Tylko środowisko rejestracji zbieżnej jest świadome zasad metod uwierzytelniania. Użytkownicy w zakresie zasad metod uwierzytelniania, ale nie środowisko rejestracji zbieżnej nie będzie widzieć poprawnych metod rejestrowania.
Starsze zasady uwierzytelniania wieloskładnikowego i samoobsługowego resetowania hasła
Dwie inne zasady, znajdujące się w ustawieniach uwierzytelniania wieloskładnikowego i ustawienia resetowania hasła, zapewniają starszy sposób zarządzania niektórymi metodami uwierzytelniania dla wszystkich użytkowników w dzierżawie. Nie można kontrolować, kto używa włączonej metody uwierzytelniania lub jak można użyć metody.
Ważne
W marcu 2023 r. ogłosiliśmy wycofanie metod zarządzania metodami uwierzytelniania w starszych zasadach uwierzytelniania wieloskładnikowego i samoobsługowego resetowania haseł(SSPR). Od 30 września 2025 r. metody uwierzytelniania nie mogą być zarządzane w tych starszych zasadach uwierzytelniania wieloskładnikowego i samoobsługowego resetowania hasła. Zalecamy klientom użycie ręcznej kontroli migracji w celu przeprowadzenia migracji do zasad metod uwierzytelniania według daty wycofania.
Aby zarządzać starszymi zasadami uwierzytelniania wieloskładnikowego, przejdź do Ochrona>uwierzytelnianie wieloskładnikowe>dodatkowe ustawienia uwierzytelniania wieloskładnikowego opartego na chmurze.
Aby zarządzać metodami uwierzytelniania na potrzeby samoobsługowego resetowania hasła (SSPR), przejdź do Protection>Password reset>Authentication methods. Opcja Telefon komórkowy w tych zasadach umożliwia wysyłanie połączeń głosowych lub wiadomości SMS na telefon komórkowy. Opcja Telefon pakietu Office umożliwia tylko połączenia głosowe.
Jak działają razem zasady
Ustawienia nie są synchronizowane między zasadami, co umożliwia administratorom niezależne zarządzanie poszczególnymi zasadami. Identyfikator Entra firmy Microsoft uwzględnia ustawienia we wszystkich zasadach, dzięki czemu użytkownik, który jest włączony dla metody uwierzytelniania w dowolnych zasadach, może zarejestrować tę metodę i użyć jej. Aby uniemożliwić użytkownikom korzystanie z metody, należy ją wyłączyć we wszystkich zasadach.
Przyjrzyjmy się przykładowi, w którym użytkownik należący do grupy Księgowość chce zarejestrować aplikację Microsoft Authenticator. Proces rejestracji najpierw sprawdza zasady Metody uwierzytelniania. Jeśli grupa Księgowość jest włączona dla aplikacji Microsoft Authenticator, użytkownik może go zarejestrować.
Jeśli tak nie jest, proces rejestracji sprawdza starsze zasady uwierzytelniania wieloskładnikowego. W tych zasadach każdy użytkownik może zarejestrować aplikację Microsoft Authenticator, jeśli jedno z tych ustawień jest włączone dla uwierzytelniania wieloskładnikowego:
- Powiadomienie za pośrednictwem aplikacji mobilnej
- Kod weryfikacyjny z aplikacji mobilnej lub tokenu sprzętowego
Jeśli użytkownik nie może zarejestrować aplikacji Microsoft Authenticator na podstawie jednej z tych zasad, proces rejestracji sprawdza starsze zasady samoobsługowego resetowania hasła. W tych zasadach użytkownik może również zarejestrować aplikację Microsoft Authenticator, jeśli użytkownik jest włączony na potrzeby samoobsługowego resetowania hasła i którekolwiek z tych ustawień są włączone:
- Powiadomienie aplikacji mobilnej
- Kod aplikacji mobilnej
W przypadku użytkowników, którzy są włączeni dla telefonu komórkowego dla samoobsługowego resetowania hasła, niezależna kontrola między zasadami może mieć wpływ na zachowanie logowania. Jeśli inne zasady mają oddzielne opcje dla wiadomości SMS i połączeń głosowych, telefon komórkowy dla samoobsługowego resetowania hasła umożliwia obie opcje. W rezultacie każdy, kto korzysta z telefonu komórkowego na potrzeby samoobsługowego resetowania hasła, może również używać połączeń głosowych na potrzeby resetowania hasła, nawet jeśli inne zasady nie zezwalają na połączenia głosowe.
Podobnie załóżmy, że włączysz wywołania głosowe dla grupy. Po jej włączeniu można stwierdzić, że nawet użytkownicy, którzy nie są członkami grupy, mogą logować się za pomocą połączenia głosowego. W takim przypadku prawdopodobnie ci użytkownicy są włączeni dla telefonu komórkowego w starszych zasadach samoobsługowego resetowania hasła lub Zadzwoń na telefon w starszych zasadach uwierzytelniania wieloskładnikowego.
Migracja między zasadami
Zasady metod uwierzytelniania zawierają przewodnik migracji, który ułatwia ujednolicenie administrowania wszystkimi metodami uwierzytelniania. Wszystkie żądane metody można włączyć w zasadach Metod uwierzytelniania, jeśli zasady dotyczą zamierzonych grup użytkowników lub wszystkich użytkowników. Przewodnik migracji metod uwierzytelniania automatyzuje kroki inspekcji bieżących ustawień zasad dla uwierzytelniania wieloskładnikowego i samoobsługowego resetowania hasła oraz konsoliduje je w zasadach metod uwierzytelniania. Dostęp do przewodnika można uzyskać z centrum administracyjnego firmy Microsoft Entra, przechodząc do obszaru Zasady>.
Możesz również ręcznie migrować ustawienia zasad. Migracja ma trzy ustawienia umożliwiające przejście we własnym tempie i uniknięcie problemów z logowaniem lub samoobsługowym resetowaniem hasła podczas przejścia.
Po zakończeniu migracji można wyłączyć metody w starszych zasadach uwierzytelniania wieloskładnikowego i samoobsługowego resetowania hasła. Możesz centralizować kontrolę nad metodami uwierzytelniania zarówno dla logowania, jak i samoobsługowego resetowania hasła w jednym miejscu, a starsze zasady uwierzytelniania wieloskładnikowego i samoobsługowego resetowania hasła zostaną wyłączone.
Uwaga
Pytania zabezpieczające można obecnie włączyć tylko przy użyciu starszych zasad samoobsługowego resetowania hasła (SSPR). Jeśli używasz pytań zabezpieczających i nie chcesz ich wyłączać, pamiętaj, aby zachować je włączone w starszych zasadach samoobsługowego resetowania hasła do momentu udostępnienia kontroli migracji. Możesz migrować pozostałe metody uwierzytelniania i nadal zarządzać pytaniami zabezpieczającymi w starszych zasadach SSPR.
Aby wyświetlić opcje migracji, otwórz zasady Metody uwierzytelniania i kliknij pozycję Zarządzaj migracją.
W tabeli poniżej opisano wszystkie opcje.
Opcja | Opis |
---|---|
Przed migracją | Zasady metod uwierzytelniania są używane tylko do uwierzytelniania. Przestrzegane są starsze ustawienia zasad. |
Migracja w toku | Zasady metod uwierzytelniania są używane do uwierzytelniania i samoobsługowego resetowania hasła. Przestrzegane są starsze ustawienia zasad. |
Migracja zakończona | Tylko zasady metod uwierzytelniania są używane do uwierzytelniania i samoobsługowego resetowania hasła. Starsze ustawienia zasad są ignorowane. |
Dzierżawy są domyślnie ustawione na wartość Przed migracją lub Migracja w toku w zależności od bieżącego stanu dzierżawy. Jeśli rozpoczniesz migrację przed migracją, możesz przejść do dowolnego ze stanów w dowolnym momencie. Jeśli rozpoczęto migrację w toku, możesz przejść między migracją w toku a programem Microsoft Complete w dowolnym momencie, ale nie będzie można przejść do przed migracją. Jeśli przejdziesz do pozycji Migracja zakończona, a następnie wybierzesz wycofanie się do wcześniejszego stanu, zapytamy, dlaczego możemy ocenić wydajność produktu.
Uwaga
Po pełnej migracji wszystkich metod uwierzytelniania następujące elementy starszych zasad samoobsługowego resetowania hasła pozostają aktywne:
- Liczba metod wymaganych do zresetowania kontroli: administratorzy mogą nadal zmieniać liczbę metod uwierzytelniania, które należy zweryfikować, zanim użytkownik będzie mógł wykonać samoobsługowe resetowanie hasła.
- Zasady administratora samoobsługowego resetowania hasła: administratorzy mogą nadal rejestrować i używać dowolnych metod wymienionych w starszych zasadach administratora samoobsługowego resetowania hasła lub metodach, które są włączone do użycia w zasadach Metod uwierzytelniania.
W przyszłości obie te funkcje zostaną zintegrowane z zasadami metod uwierzytelniania.
Znane problemy i ograniczenia
W ostatnich aktualizacjach usunęliśmy możliwość kierowania poszczególnych użytkowników. Wcześniej docelowi użytkownicy pozostaną w zasadach, ale zalecamy przeniesienie ich do grupy docelowej.
Rejestracja metody uwierzytelniania może zakończyć się niepowodzeniem, jeśli wiele grup jest uwzględnionych w zasadach metod uwierzytelniania lub kampanii rejestracji. Zalecamy skonsolidowanie wielu grup w jedną grupę dla każdej metody uwierzytelniania. Aby zachować rejestrację użytkowników podczas konsolidacji, dodaj nową grupę i usuń bieżące grupy w tej samej operacji.
Uwaga
Nie można zapisać aktualizacji zasad metod uwierzytelniania, jeśli dotyczy wielu grup, a rozmiar zasad przekracza 20 KB. Podczas gdy pracujemy nad zwiększeniem limitu wielkości polis, połącz grupy docelowe w jak największym stopniu.
Następne kroki
- Jak przeprowadzić migrację ustawień zasad uwierzytelniania wieloskładnikowego i samoobsługowego resetowania hasła do zasad metod uwierzytelniania
- Jakie metody uwierzytelniania i weryfikacji są dostępne w usłudze identyfikatora Microsoft Entra?
- Jak działa uwierzytelnianie wieloskładnikowe firmy Microsoft
- Microsoft Graph REST API