Udostępnij za pośrednictwem


Włączanie bezhasłowego logowania za pomocą aplikacji Microsoft Authenticator

Aplikacja Microsoft Authenticator może służyć do logowania się do dowolnego konta Microsoft Entra bez użycia hasła. Aplikacja Microsoft Authenticator używa uwierzytelniania opartego na kluczach, aby umożliwić poświadczenie użytkownika powiązane z urządzeniem, na którym urządzenie używa numeru PIN lub biometrycznego. Windows Hello dla firm używa podobnej technologii.

Ta technologia uwierzytelniania może być używana na dowolnej platformie urządzeń, w tym na urządzeniach przenośnych. Ta technologia może być również używana z dowolną aplikacją lub witryną internetową zintegrowaną z bibliotekami uwierzytelniania firmy Microsoft.

Zrzut ekranu przedstawiający przykład logowania przeglądarki z prośbą o zatwierdzenie logowania przez użytkownika.

Osoby, które włączyły logowanie za pomocą telefonu z aplikacji Microsoft Authenticator, zobaczą komunikat z prośbą o naciśnięcie numeru w aplikacji. Nie zostanie wyświetlony monit o podanie nazwy użytkownika ani hasła. Aby ukończyć proces logowania w aplikacji, użytkownik musi wykonać następujące czynności:

  1. Wprowadź liczbę, którą widzą na ekranie logowania w oknie dialogowym Microsoft Authenticator.
  2. Wybierz pozycję Zatwierdź.
  3. Podaj numer PIN lub biometryczny.

Wiele kont

Możesz włączyć logowanie bez hasła dla wielu kont w aplikacji Microsoft Authenticator na dowolnym obsługiwanym urządzeniu z systemem Android lub iOS. Doradcy, uczniowie i inni z wieloma kontami w usłudze Microsoft Entra ID mogą dodawać każde konto do aplikacji Microsoft Authenticator i używać logowania bez hasła na telefon dla wszystkich z tego samego urządzenia.

Wcześniej administratorzy mogą nie wymagać logowania bez hasła dla użytkowników z wieloma kontami, ponieważ wymaga od nich posiadania większej liczby urządzeń na potrzeby logowania. Dzięki usunięciu ograniczenia logowania jednego użytkownika z urządzenia administratorzy mogą bezpieczniej zachęcić użytkowników do rejestrowania logowania bez hasła i używania go jako domyślnej metody logowania.

Konta Microsoft Entra mogą znajdować się w tej samej dzierżawie lub w różnych dzierżawach. Konta gościa nie są obsługiwane w przypadku wielu logów kont z jednego urządzenia.

Wymagania wstępne

Aby korzystać z logowania bez hasła za pomocą aplikacji Microsoft Authenticator, należy spełnić następujące wymagania wstępne:

  • Zalecane: Firma Microsoft Entra multifactor authentication z powiadomieniami wypychanymi dozwolonymi jako metoda weryfikacji. Wysyłanie powiadomień wypychanych do smartfona lub tabletu pomaga aplikacji Authenticator zapobiec nieautoryzowanemu dostępowi do kont i zatrzymać fałszywe transakcje. Aplikacja Authenticator automatycznie generuje kody podczas konfigurowania powiadomień wypychanych. Użytkownik ma metodę logowania do kopii zapasowej, nawet jeśli urządzenie nie ma łączności.
  • Najnowsza wersja aplikacji Microsoft Authenticator zainstalowana na urządzeniach z systemem iOS lub Android.
  • Urządzenie musi być zarejestrowane w każdej dzierżawie, w której jest używane do logowania. Na przykład następujące urządzenie musi być zarejestrowane w firmie Contoso i aplikacji Wingtiptoys, aby umożliwić logowanie wszystkich kont:
    • balas@contoso.com
    • balas@wingtiptoys.com i bsandhu@wingtiptoys

Aby użyć uwierzytelniania bez hasła w usłudze Microsoft Entra ID, najpierw włącz połączone środowisko rejestracji, a następnie włącz użytkownikom metodę bez hasła.

Włączanie metod uwierzytelniania logowania bez hasła na telefon

Napiwek

Kroki opisane w tym artykule mogą się nieznacznie różnić w zależności od portalu, od którego zaczynasz.

Identyfikator Entra firmy Microsoft umożliwia administratorom zasad uwierzytelniania wybór metod uwierzytelniania, których można użyć do logowania. Mogą oni włączyć aplikację Microsoft Authenticator w zasadach metod uwierzytelniania, aby zarządzać zarówno tradycyjną metodą wypychania uwierzytelniania wieloskładnikowego, jak i metodą uwierzytelniania bez hasła.

Po włączeniu aplikacji Microsoft Authenticator jako metody uwierzytelniania użytkownicy mogą przejść do informacji zabezpieczających, aby zarejestrować aplikację Microsoft Authenticator jako sposób logowania. Aplikacja Microsoft Authenticator zostanie wyświetlona jako metoda w informacjach zabezpieczających. Na przykład będą widzieć wypychanie Microsoft Authenticator-Passwordless lub Microsoft Authenticator-MFA w zależności od tego, co jest włączone i zarejestrowane.

Aby włączyć metodę uwierzytelniania dla logowania za pomocą telefonu bez hasła, wykonaj następujące kroki:

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator zasad uwierzytelniania.

  2. Przejdź do strony Zasady metod> uwierzytelniania ochrony.>

  3. W obszarze Microsoft Authenticator wybierz następujące opcje:

    1. Włącz — tak lub nie
    2. Cel — wszyscy użytkownicy lub Wybieranie użytkowników
  4. Każda dodana grupa lub użytkownik jest domyślnie włączona do korzystania z aplikacji Microsoft Authenticator w trybach bez hasła i powiadomień wypychanych ("Dowolny"). Aby zmienić tryb, dla każdego wiersza dla trybu uwierzytelniania wybierz pozycję Dowolne lub Bez hasła. Wybranie opcji Wypychanie uniemożliwia użycie poświadczeń logowania za pomocą telefonu bez hasła.

  5. Aby zastosować nowe zasady, kliknij przycisk Zapisz.

    Uwaga

    Jeśli podczas próby zapisania wystąpi błąd, przyczyną może być liczba dodanych użytkowników lub grup. Aby obejść ten problem, zastąp użytkowników i grupy, które próbujesz dodać pojedynczą grupą, w tej samej operacji, a następnie ponownie wybierz pozycję Zapisz .

Rejestracja użytkownika

Użytkownicy rejestrują się w celu uzyskania bez hasła metody uwierzytelniania identyfikatora Entra firmy Microsoft. W przypadku użytkowników, którzy zarejestrowali już aplikację Microsoft Authenticator na potrzeby uwierzytelniania wieloskładnikowego, przejdź do następnej sekcji, włącz logowanie za pomocą telefonu.

Bezpośrednia rejestracja logowania za pomocą telefonu

Użytkownicy mogą rejestrować się w celu logowania bez hasła bezpośrednio w aplikacji Microsoft Authenticator bez konieczności wcześniejszego rejestrowania aplikacji Microsoft Authenticator przy użyciu konta, a jednocześnie nigdy nie naliczania hasła. Oto, jak to zrobić:

  1. Uzyskaj dostęp tymczasowy od administratora lub organizacji.
  2. Pobierz i zainstaluj aplikację Microsoft Authenticator na urządzeniu przenośnym.
  3. Otwórz aplikację Microsoft Authenticator i kliknij pozycję Dodaj konto , a następnie wybierz pozycję Konto służbowe.
  4. Wybierz pozycję Zaloguj.
  5. Postępuj zgodnie z instrukcjami, aby zalogować się przy użyciu tymczasowego dostępu przekazywanego przez administratora lub organizację.
  6. Po zalogowaniu postępuj zgodnie z dodatkowymi krokami, aby skonfigurować logowanie telefoniczne.

Rejestracja z przewodnikiem przy użyciu moich logów

Uwaga

Użytkownicy będą mogli rejestrować aplikację Microsoft Authenticator tylko za pośrednictwem rejestracji połączonej, jeśli tryb uwierzytelniania Microsoft Authenticator to Dowolne lub Wypychane.

Aby zarejestrować aplikację Microsoft Authenticator, wykonaj następujące kroki:

  1. Przejdź do https://aka.ms/mysecurityinfo.
  2. Zaloguj się, a następnie wybierz pozycję Dodaj metodę>Authenticator app Dodaj, aby dodać aplikację >Microsoft Authenticator.
  3. Postępuj zgodnie z instrukcjami, aby zainstalować i skonfigurować aplikację Microsoft Authenticator na urządzeniu.
  4. Wybierz pozycję Gotowe , aby ukończyć konfigurację aplikacji Microsoft Authenticator.

Włączanie logowania za pomocą telefonu

Gdy użytkownicy zarejestrowali się w aplikacji Microsoft Authenticator, muszą włączyć logowanie za pomocą telefonu:

  1. W aplikacji Microsoft Authenticator wybierz zarejestrowane konto.
  2. Wybierz pozycję Włącz logowanie za pomocą telefonu.
  3. Postępuj zgodnie z instrukcjami w aplikacji, aby zakończyć rejestrowanie konta na potrzeby logowania za pomocą telefonu bez hasła.

Organizacja może kierować swoich użytkowników do logowania się przy użyciu telefonów bez użycia hasła. Aby uzyskać dalszą pomoc dotyczącą konfigurowania aplikacji Microsoft Authenticator i włączania logowania za pomocą telefonu, zobacz Logowanie się do kont przy użyciu aplikacji Microsoft Authenticator.

Uwaga

Użytkownicy, którzy nie mogą korzystać z zasad logowania za pomocą telefonu, nie będą już mogli go włączyć w aplikacji Microsoft Authenticator.

Logowanie przy użyciu poświadczeń bez hasła

Użytkownik może rozpocząć korzystanie z logowania bez hasła po zakończeniu wszystkich następujących akcji:

  • Administrator włączył dzierżawę użytkownika.
  • Użytkownik dodał narzędzie Microsoft Authenticator jako metodę logowania.

Przy pierwszym uruchomieniu procesu logowania za pomocą telefonu użytkownik wykonuje następujące kroki:

  1. Wprowadza nazwę na stronie logowania.
  2. Wybiera pozycję Dalej.
  3. W razie potrzeby wybierze pozycję Inne sposoby logowania.
  4. Wybiera pozycję Zatwierdź żądanie w aplikacji Authenticator.

Użytkownik jest następnie wyświetlany z liczbą. Aplikacja monituje użytkownika o uwierzytelnienie, wpisując odpowiedni numer, a nie wprowadzając hasło.

Gdy użytkownik korzysta z logowania za pomocą telefonu bez hasła, aplikacja będzie nadal kierować użytkownika za pomocą tej metody. Użytkownik zobaczy jednak opcję wyboru innej metody.

Zrzut ekranu przedstawiający przykład logowania przeglądarki przy użyciu aplikacji Microsoft Authenticator.

Dostęp tymczasowy — dostęp próbny

Jeśli administrator dzierżawy włączył samoobsługowe resetowanie haseł (SSPR), a użytkownik konfiguruje logowanie bez hasła w aplikacji Authenticator po raz pierwszy przy użyciu hasła tymczasowego dostępu, należy wykonać następujące kroki:

  1. Użytkownik powinien otworzyć przeglądarkę na urządzeniu przenośnym lub komputerze stacjonarnym i przejść do strony mySecurity info.
  2. Użytkownik musi zarejestrować aplikację Authenticator jako metodę logowania. Ta akcja powoduje połączenie konta użytkownika z aplikacją.
  3. Następnie użytkownik powinien wrócić do swojego urządzenia przenośnego i aktywować logowanie bez hasła za pośrednictwem aplikacji Authenticator.

Zarządzanie

Zasady metody uwierzytelniania to zalecany sposób zarządzania aplikacją Microsoft Authenticator. Administratorzy zasad uwierzytelniania mogą edytować te zasady, aby włączyć lub wyłączyć program Microsoft Authenticator. Administratorzy mogą dołączać lub wykluczać określonych użytkowników i grupy z użycia.

Administratorzy mogą również skonfigurować parametry, aby lepiej kontrolować sposób użycia aplikacji Microsoft Authenticator. Mogą na przykład dodać lokalizację lub nazwę aplikacji do żądania logowania, aby użytkownicy mieli większy kontekst przed zatwierdzeniem.

Znane problemy

Istnieją następujące znane problemy.

Nie widać opcji logowania bez hasła na telefonie

W jednym scenariuszu użytkownik może mieć bez odpowiedzi weryfikację logowania bez hasła, która oczekuje. Jeśli użytkownik spróbuje ponownie się zalogować, może zobaczyć tylko opcję wprowadzenia hasła.

Aby rozwiązać ten scenariusz, wykonaj następujące kroki:

  1. Otwórz aplikację Microsoft Authenticator.
  2. Odpowiadanie na wszelkie monity o powiadomienie.

Następnie użytkownik może nadal używać logowania bez hasła na telefonie.

Aplikacja AuthenticatorAppSignInPolicy nie jest obsługiwana

Aplikacja AuthenticatorAppSignInPolicy to starsze zasady, które nie są obsługiwane przez aplikację Microsoft Authenticator. Aby umożliwić użytkownikom wysyłanie powiadomień wypychanych lub logowanie bez hasła za pomocą aplikacji Authenticator, użyj zasad Metody uwierzytelniania.

Konta federacyjne

Gdy użytkownik włączył wszelkie poświadczenia bez hasła, proces logowania entra firmy Microsoft przestaje korzystać z login_hint. W związku z tym proces nie przyspiesza już użytkownika w kierunku lokalizacji logowania federacyjnego.

Ta logika zwykle uniemożliwia użytkownikowi w dzierżawie hybrydowej kierowanie do usług Active Directory Federated Services (AD FS) na potrzeby weryfikacji logowania. Jednak użytkownik zachowuje opcję kliknięcia pozycji Użyj hasła.

Użytkownicy lokalni

Użytkownik końcowy może być włączony na potrzeby uwierzytelniania wieloskładnikowego za pośrednictwem lokalnego dostawcy tożsamości. Użytkownik może nadal tworzyć i korzystać z jednego bez hasła poświadczeń logowania za pomocą telefonu.

Jeśli użytkownik spróbuje uaktualnić wiele instalacji (5+) aplikacji Microsoft Authenticator przy użyciu poświadczeń logowania bez hasła, ta zmiana może spowodować wystąpienie błędu.

Następne kroki

Aby dowiedzieć się więcej o metodach uwierzytelniania i bez hasła firmy Microsoft, zobacz następujące artykuły: