Udostępnij za pośrednictwem

Konfigurowanie ustawień uwierzytelniania wieloskładnikowego firmy Microsoft

  • Artykuł

Aby dostosować środowisko użytkownika końcowego dla uwierzytelniania wieloskładnikowego firmy Microsoft (MFA), możesz skonfigurować opcje ustawień, takich jak progi blokady konta lub alerty i powiadomienia o oszustwie.

Uwaga

Raport o podejrzanych działaniach zastępuje funkcje starszej wersji blokuj/odblokowywania użytkowników, alertów o oszustwie i powiadomień. 1 marca 2025 r. starsze funkcje zostaną usunięte.

W poniższej tabeli opisano ustawienia Microsoft Entra MFA, a w podsekcjach każde ustawienie jest opisane bardziej szczegółowo.

Funkcja opis
Blokada konta (tylko serwer MFA) Tymczasowo zablokuj konta w przypadku zbyt wielu odrzuconych prób uwierzytelnienia z rzędu przy użyciu usługi Microsoft Entra MFA. Ta funkcja ma zastosowanie tylko do użytkowników, którzy używają serwera MFA do wprowadzania numeru PIN w celu uwierzytelnienia.
Zgłaszanie podejrzanych działań Skonfiguruj ustawienia, które umożliwiają użytkownikom zgłaszanie fałszywych żądań weryfikacji. Zgłaszanie podejrzanych działań zastępuje następujące funkcje: Blokuj/odblokuj użytkowników, Alert o oszustwie i Powiadomienia.
Alert o oszustwie Ta funkcja zostanie usunięta 1 marca 2025 r. Użyj pozycji Zgłoś podejrzane działania , aby umożliwić użytkownikom zgłaszanie fałszywych żądań weryfikacji.
Blokowanie/odblokowywanie użytkowników Ta funkcja zostanie usunięta 1 marca 2025 r. Użyj pozycji Zgłoś podejrzane działania , aby umożliwić użytkownikom zgłaszanie fałszywych żądań weryfikacji. Te alerty są zintegrowane z Microsoft Entra ID Protection. Możesz użyć zasad opartych na ryzyku lub utworzyć własne przepływy pracy przy użyciu zdarzeń wykrywania ryzyka, aby tymczasowo ograniczyć dostęp użytkowników i skorygować ryzyko.
Powiadomienia Ta funkcja zostanie usunięta 1 marca 2025 r. Użyj pozycji Zgłoś podejrzane działania , aby umożliwić użytkownikom zgłaszanie fałszywych żądań weryfikacji. Możesz użyć powiadomień o ryzyku lub utworzyć własne przepływy pracy przy użyciu zdarzeń wykrywania ryzyka w celu włączenia powiadomień e-mail dotyczących zdarzeń o oszustwach zgłoszonych przez użytkownika.
Tokeny OATH Używane w chmurowych środowiskach microsoft Entra MFA do zarządzania tokenami OATH dla użytkowników.
Ustawienia połączeń telefonicznych Skonfiguruj ustawienia związane z połączeniami telefonicznymi i pozdrowieniami dla środowisk w chmurze i środowiskach lokalnych.
Dostawcy usługi Spowoduje to wyświetlenie wszystkich istniejących dostawców uwierzytelniania skojarzonych z kontem. Dodawanie nowych dostawców jest wyłączone od 1 września 2018 r.

Blokada konta (tylko serwer MFA)

Uwaga

Blokada konta dotyczy tylko użytkowników logujących się przy użyciu lokalnego serwera MFA.

Aby zapobiec wielokrotnym próbom uwierzytelniania wieloskładnikowego w ramach ataku, ustawienia blokady konta umożliwiają określenie liczby nieudanych prób, zanim konto zostanie zablokowane przez pewien czas. Ustawienia blokady konta są stosowane tylko wtedy, gdy kod PIN zostanie wprowadzony dla monitu uwierzytelniania wieloskładnikowego przy użyciu lokalnego serwera MFA.

Dostępne są następujące ustawienia:

  • Liczba odmów uwierzytelniania wieloskładnikowego wyzwalających blokadę konta
  • Minuty do momentu zresetowania licznika blokady konta
  • Minuty do automatycznego odblokowania konta

Aby skonfigurować ustawienia blokady konta, wykonaj następujące kroki:

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator zasad uwierzytelniania.

  2. Przejdź do sekcji Ochrona>Uwierzytelnianie wieloskładnikowe>Blokada konta. Może być konieczne kliknięcie pozycji Pokaż więcej , aby wyświetlić uwierzytelnianie wieloskładnikowe.

  3. Wprowadź wartości środowiska, a następnie wybierz pozycję Zapisz.

    Zrzut ekranu przedstawiający ustawienia blokady konta.

Zgłaszanie podejrzanych działań

Zgłaszanie podejrzanych działań zastępuje te starsze funkcje: Blokuj/odblokuj użytkowników, Alert o oszustwie i Powiadomienia.

Po otrzymaniu nieznanego i podejrzanego monitu uwierzytelniania wieloskładnikowego użytkownicy mogą zgłosić próbę oszustwa przy użyciu aplikacji Microsoft Authenticator lub za pośrednictwem telefonu. Te alerty są zintegrowane z Microsoft Entra ID Protection w celu uzyskania bardziej kompleksowego pokrycia i możliwości.

Użytkownicy, którzy zgłaszają monit uwierzytelniania wieloskładnikowego jako podejrzany, są oznaczani jako Wysokie Ryzyko Użytkownika. Administratorzy mogą używać zasad opartych na ryzyku, aby ograniczyć dostęp tych użytkowników lub włączyć samoobsługowe resetowanie haseł (SSPR) dla użytkowników w celu samodzielnego rozwiązywania problemów.

Jeśli wcześniej była używana funkcja automatycznego blokowania alertu o oszustwie i nie masz licencji Microsoft Entra ID P2 na zasady oparte na ryzyku, możesz użyć zdarzeń wykrywania ryzyka do ręcznego identyfikowania i wyłączania użytkowników, których to dotyczy, lub skonfigurowania automatyzacji przy użyciu niestandardowych przepływów pracy w programie Microsoft Graph. Aby uzyskać więcej informacji na temat badania i korygowania ryzyka związanego z użytkownikiem, zobacz:

Aby włączyć zgłaszanie podejrzanych działań z ustawień zasad metod uwierzytelniania:

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator zasad uwierzytelniania.
  2. Przejdź do Ochrona>Metody uwierzytelniania>Ustawienia.
  3. Ustaw opcję Zgłoś podejrzane działanie na wartość Włączone. Funkcja pozostaje wyłączona, jeśli wybierzesz opcję Zarządzana przez firmę Microsoft. Aby uzyskać więcej informacji na temat wartości zarządzanych przez firmę Microsoft, zobacz Ochrona metod uwierzytelniania w usłudze Microsoft Entra ID. Zrzut ekranu przedstawiający sposób włączenia funkcji Zgłoś podejrzaną aktywność.
  4. Wybierz pozycję Wszyscy użytkownicy lub określona grupa.
  5. Jeśli wgrywasz również niestandardowe powitania dla swojego najemcy, wybierz kod raportowania. Kod raportowania to numer, który użytkownicy wprowadzają na telefon w celu zgłaszania podejrzanych działań. Kod raportowania ma zastosowanie tylko wtedy, gdy niestandardowe powitania są również przekazywane przez administratora zasad uwierzytelniania. W przeciwnym razie domyślny kod to 0, niezależnie od wartości określonej w zasadach.
  6. Kliknij przycisk Zapisz.

Uwaga

Jeśli włączysz opcję Zgłoś podejrzane działania i określisz niestandardową wartość raportowania głosowego, gdy dzierżawa nadal ma włączone ostrzeżenie o oszustwie równolegle z niestandardowym numerem raportowania głosowego, wartość Raport podejrzanego działania będzie wykorzystana zamiast ostrzeżenia o oszustwie.

Zarządzanie ryzykiem dla dzierżawców przy użyciu licencji Microsoft Entra ID P1

Gdy użytkownik zgłasza monit uwierzytelniania wieloskładnikowego jako podejrzany, zdarzenie jest wyświetlane w dziennikach logowania (jako logowanie odrzucone przez użytkownika), w dziennikach inspekcji i w raporcie Wykrywanie ryzyka.

Raport Centrum administracyjne Szczegóły
Raport dotyczący wykrywania ryzyka Ochrona>Ochrona tożsamości>Wykrywanie ryzyka Typ wykrywania: Zgłoszona przez użytkownika podejrzana aktywność
Poziom ryzyka: Wysoki
Zgłoszono przez użytkownika końcowego
dzienniki logowania Tożsamość>Monitorowanie i zdrowie>Dzienniki logowania>Szczegóły uwierzytelniania Szczegóły wyniku będą wyświetlane jako odmowa uwierzytelniania wieloskładnikowego, wprowadzony kod oszustwa
Dzienniki inspekcji Tożsamość>Monitorowanie i kondycja>Dzienniki inspekcji Raport o oszustwie zostanie wyświetlony pod typem aktywności Zgłoszone oszustwo

Uwaga

Użytkownik nie jest zgłaszany jako wysoki poziom ryzyka, jeśli przeprowadza uwierzytelnianie bez hasła.

Możesz również wykonywać zapytania dotyczące wykrywania ryzyka i użytkowników oflagowanych jako ryzykownych przy użyciu programu Microsoft Graph.

interfejs API Szczegół
typ zasobu wykrywania ryzyka typZdarzeniaRyzyka: userReportedSuspiciousActivity
Lista ryzykownych użytkowników riskLevel = wysoki

W przypadku ręcznego korygowania administratorzy lub pomoc techniczna mogą poprosić użytkowników o zresetowanie hasła przy użyciu samoobsługowego resetowania hasła (SSPR) lub zrobić to w ich imieniu. Aby zautomatyzować procesy naprawcze, użyj Microsoft Graph API lub programu PowerShell, aby utworzyć skrypt, który zmienia hasło użytkownika, wymusza samoobsługowe resetowanie hasła (SSPR), unieważnia sesje logowania lub tymczasowo wyłącza konto użytkownika.

Łagodzenie ryzyka dla użytkowników z licencją Microsoft Entra ID P2

Najemcy z licencją Microsoft Entra ID P2 mogą używać zasad dostępu warunkowego opartych na ryzyku do automatycznego łagodzenia ryzyka użytkownika, a także opcji oferowanych przez licencję Microsoft Entra ID P2.

Skonfiguruj zasady, które dotyczą ryzyka związanego z użytkownikiem w obszarze Warunki>Ryzyko użytkownika. Poszukaj użytkowników, dla których ryzyko = wysokie, aby zablokować im logowanie lub wymagać od nich zresetowania hasła.

Zrzut ekranu przedstawiający sposób włączania zasad dostępu warunkowego opartego na ryzyku.

Aby uzyskać więcej informacji, zobacz Zasady dostępu warunkowego opartego na ryzyku logowania.

Zgłaszanie podejrzanego działania i alertu o oszustwie

Zgłoś podejrzane działania i starsza implementacja Alertu o Oszustwie mogą działać równolegle. Możesz zachować funkcjonalność Alertu oszustwa dla dzierżawy, jednocześnie zaczynając korzystać z Zgłoś podejrzaną aktywność z wybraną grupą testową.

Jeśli Alert o oszustwie jest włączony z automatycznym blokowaniem, a Raport podejrzane działanie jest włączony, użytkownik zostanie dodany do listy zablokowanych i ustawiony jako wysokie ryzyko i objęty zakresem dla innych skonfigurowanych zasad. Ci użytkownicy będą musieli zostać usunięci z listy zablokowanych i skorygować ryzyko, aby umożliwić im logowanie się przy użyciu uwierzytelniania wieloskładnikowego.

Alert dotyczący wykrycia oszustwa

Zgłaszanie podejrzanych działań zastępuje alert oszustwa ze względu na integrację z Ochrona tożsamości Microsoft Entra na potrzeby korygowania opartego na ryzyku, lepszych możliwości raportowania i administracji z najniższymi uprawnieniami. Funkcja alertu o oszustwie zostanie usunięta 1 marca 2025 r.

Funkcja alertu o oszustwie umożliwia użytkownikom zgłaszanie fałszywych prób uzyskania dostępu do zasobów. Po otrzymaniu nieznanego i podejrzanego monitu uwierzytelniania wieloskładnikowego użytkownicy mogą zgłosić próbę oszustwa przy użyciu aplikacji Microsoft Authenticator lub za pośrednictwem telefonu. Dostępne są następujące opcje konfiguracji alertu o oszustwie:

  • Automatycznie blokuj użytkowników, którzy zgłaszają oszustwa. Jeśli użytkownik zgłasza oszustwa, próby uwierzytelniania wieloskładnikowego firmy Microsoft dla konta użytkownika są blokowane przez 90 dni lub do momentu odblokowania konta przez administratora. Administrator może przejrzeć logowania przy użyciu raportu logowania i podjąć odpowiednie działania, aby zapobiec przyszłym oszustwom. Administrator może następnie odblokować konto użytkownika.

  • Kod do zgłaszania oszustw podczas początkowego powitania. Gdy użytkownicy otrzymają połączenie telefoniczne w celu przeprowadzenia uwierzytelniania wieloskładnikowego, zwykle naciskają # , aby potwierdzić logowanie. Aby zgłosić oszustwa, użytkownik wprowadza kod przed naciśnięciem #. Ten kod jest domyślnie 0 , ale można go dostosować. Jeśli automatyczne blokowanie jest włączone, po naciśnięciu 0# przez użytkownika w celu zgłoszenia oszustwa, należy nacisnąć 1, aby potwierdzić blokowanie konta.

    Uwaga

    Domyślne powitania głosowe od firmy Microsoft poinstruują użytkowników, aby nacisnąli 0# w celu przesłania alertu o oszustwie. Jeśli chcesz użyć kodu innego niż 0, zarejestruj i przekaż własne niestandardowe powitania głosowe z odpowiednimi instrukcjami dla użytkowników.

Aby włączyć i skonfigurować alerty dotyczące oszustw, wykonaj następujące kroki:

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator zasad uwierzytelniania.
  2. Przejdź do Ochrona>Uwierzytelnianie wieloskładnikowe>Alert o oszustwach.
  3. Ustaw opcję Zezwalaj użytkownikom na przesyłanie alertów o oszustwie do pozycji Włączone.
  4. Skonfiguruj ustawienie Automatycznie blokuj użytkowników, którzy zgłaszają oszustwa lub Kod do zgłaszania oszustw podczas początkowego powitania zgodnie z potrzebami.
  5. Wybierz pozycję Zapisz.

Blokowanie i odblokowywanie użytkowników

Zgłaszanie podejrzanych działań zastępuje alert dotyczący oszustwa ze względu na integrację z Ochroną tożsamości Microsoft Entra ID do celów korygowania opartego na ryzyku, ulepszonego raportowania oraz zarządzania opartego na najmniejszych wymaganych uprawnieniach. Funkcja Blokuj/odblokowywania użytkowników zostanie usunięta 1 marca 2025 r.

Jeśli urządzenie użytkownika zostanie utracone lub skradzione, możesz zablokować próby uwierzytelniania wieloskładnikowego firmy Microsoft dla skojarzonego konta. Wszelkie próby Microsoft Entra MFA dla zablokowanych użytkowników są automatycznie odrzucane. Użytkownik nie musi przechodzić uwierzytelniania wieloskładnikowego przez 90 dni od momentu jego zablokowania.

Blokowanie użytkownika

Aby zablokować użytkownika, wykonaj następujące kroki.

  1. Przejdź do pozycji Ochrona>Uwierzytelnianie wieloskładnikowe>Blokuj/odblokuj użytkowników.
  2. Wybierz pozycję Dodaj , aby zablokować użytkownika.
  3. Wprowadź nazwę użytkownika zablokowanego użytkownika w formacie username@domain.com, a następnie podaj komentarz w polu Przyczyna .
  4. Wybierz przycisk OK , aby zablokować użytkownika.

Odblokowywanie użytkownika

Aby odblokować użytkownika, wykonaj następujące kroki:

  1. Przejdź do pozycji Ochrona>Uwierzytelnianie wieloskładnikowe>Blokuj/odblokuj użytkowników.
  2. W kolumnie Akcja obok użytkownika wybierz pozycję Odblokuj.
  3. Wprowadź komentarz w polu Przyczyna odblokowania .
  4. Wybierz przycisk OK , aby odblokować użytkownika.

Powiadomienia

Zgłoś podejrzane działania zastępuje powiadomienia dzięki integracji z Microsoft Entra ID Protection na potrzeby korygowania opartego na ryzyku, lepszych możliwości raportowania i administracji w modelu najmniejszych uprawnień. Funkcja Powiadomienia zostanie usunięta 1 marca 2025 r.

Możesz skonfigurować identyfikator entra firmy Microsoft, aby wysyłać powiadomienia e-mail, gdy użytkownicy zgłaszają alerty o oszustwach. Te powiadomienia są zwykle wysyłane do administratorów tożsamości, ponieważ poświadczenia konta użytkownika są prawdopodobnie naruszone. W poniższym przykładzie pokazano, jak wygląda wiadomość e-mail z powiadomieniem o oszustwie:

Zrzut ekranu przedstawiający wiadomość e-mail z powiadomieniem o oszustwie.

Aby skonfigurować powiadomienia o alertach o oszustwie:

  1. Przejdź do Ochrona>Uwierzytelnianie wieloskładnikowe>Powiadomienia.
  2. Wprowadź adres e-mail, na który ma być wysyłane powiadomienie.
  3. Aby usunąć istniejący adres e-mail, wybierz pozycję ... obok adresu e-mail, a następnie wybierz pozycję Usuń.
  4. Wybierz pozycję Zapisz.

Tokeny OATH

Identyfikator Entra firmy Microsoft obsługuje używanie tokenów SHA-1 protokołu OATH TOTP, które odświeżają kody co 30 lub 60 sekund. Możesz kupić te tokeny od wybranego dostawcy.

Tokeny sprzętowe OATH TOTP zwykle są dostarczane z kluczem tajnym lub ziarnem wstępnie zaprogramowanym w tokenie. Musisz wprowadzić te klucze do identyfikatora Entra firmy Microsoft zgodnie z opisem w poniższych krokach. Klucze tajne są ograniczone do 128 znaków, co może nie być zgodne ze wszystkimi tokenami. Klucz tajny może zawierać tylko znaki a-z lub A-Z i cyfry 1–7. Musi być zakodowany w bazie Base32.

Programowalne tokeny sprzętowe OATH TOTP, które można ponownie zainstalować, można również skonfigurować z Microsoft Entra ID w procesie konfiguracji tokenu programowego.

Tokeny sprzętowe OATH są obsługiwane w ramach publicznej wersji zapoznawczej. Aby uzyskać więcej informacji na temat wersji zapoznawczych, zobacz temat Dodatkowe warunki użytkowania dotyczące wersji zapoznawczych platformy Microsoft Azure.

Zrzut ekranu pokazujący sekcję z tokenami OATH.

Po uzyskaniu tokenów należy przekazać je w formacie pliku wartości rozdzielanych przecinkami (CSV). Dołącz nazwę UPN, numer seryjny, klucz tajny, interwał czasu, producent i model, jak pokazano w tym przykładzie:

upn,serial number,secret key,time interval,manufacturer,model
Helga@contoso.com,1234567,1234567abcdef1234567abcdef,60,Contoso,HardwareKey

Uwaga

Pamiętaj, aby uwzględnić wiersz nagłówka w pliku CSV.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako administrator globalny.
  2. Przejdź do Ochrona>uwierzytelnianie wieloskładnikowe>tokeny OATH i przekaż plik CSV.

W zależności od rozmiaru pliku CSV przetwarzanie może potrwać kilka minut. Wybierz pozycję Odśwież , aby uzyskać stan. Jeśli w pliku występują jakiekolwiek błędy, możesz pobrać plik CSV, który je wyświetla. Nazwy pól w pobranym pliku CSV różnią się od nazw pól w przekazanej wersji.

Po usunięciu wszelkich błędów administrator może aktywować każdy klucz, wybierając pozycję Aktywuj dla tokenu i wprowadzając protokół OTP wyświetlany w tokenie.

Użytkownicy mogą mieć kombinację maksymalnie pięciu tokenów sprzętowych OATH lub aplikacji uwierzytelnianych, takich jak aplikacja Microsoft Authenticator, skonfigurowana do użycia w dowolnym momencie.

Ważne

Pamiętaj, aby przypisać tylko każdy token do pojedynczego użytkownika. W przyszłości obsługa przypisania pojedynczego tokenu do wielu użytkowników przestanie zapobiegać zagrożeniom bezpieczeństwa.

Ustawienia połączenia telefonicznego

Jeśli użytkownicy odbierają połączenia telefoniczne z monitami uwierzytelniania wieloskładnikowego, możesz skonfigurować ich doświadczenie, takie jak identyfikator rozmówcy lub powitanie głosowe, które będzie dla nich słyszalne.

W Stanach Zjednoczonych, jeśli nie skonfigurowano identyfikatora dzwoniącego dla uwierzytelniania wieloskładnikowego, połączenia głosowe firmy Microsoft pochodzą z następujących numerów. Użytkownicy z filtrami spamu powinni wykluczyć te liczby.

Numer domyślny: +1 (855) 330-8653

W poniższej tabeli wymieniono więcej liczb dla różnych krajów/regionów.

Kraj/region Liczba(y)
Austria +43 6703062076
Bangladesz +880 9604606026
Chiny +44 1235619418, +44 1235619536, +44 1235619537, +44 1235619538, +44 1235619539, +44 1235619535, +44 7897087681, +44 7897087690, +44 7897087692, +66 977832930
Chorwacja +385 15507766
Ekwador +593 964256042
Estonia +372 6712726
Francja +33 744081468
Ghana +233 308250245
Grecja +30 2119902739
Gwatemala +502 23055056
Specjalny Region Administracyjny Hongkongu +852 25716964
Indie +91 3371568300, +91 1205089400, +91 4471566601, +91 2271897557, +91 1203524400, +91 3335105700, +91 2235544120, +91 4435279600
Jordania +962 797639442
Kenia +254 709605276
Holandia +31 202490048
Nigeria +234 7080627886
Pakistan +92 4232618686, +44 7897087681, +44 7897087690, +44 7897087692, +66 977832930
Polska +48 699740036
Arabia Saudyjska +966 115122726
Republika Południowej Afryki +27 872405062
Hiszpania +34 913305144
Sri Lanka +94 117750440
Szwecja +46 701924176
Tajwan +886 277515260, +886 255686508
Turcja +90 8505404893
Ukraina +380 443332393
Zjednoczone Emiraty Arabskie +971 44015046
Wietnam +84 2039990161

Uwaga

Gdy połączenia uwierzytelniania wieloskładnikowego firmy Microsoft są realizowane za pośrednictwem publicznej sieci telefonicznej, czasami połączenia są kierowane przez operatora, który nie obsługuje identyfikacji rozmówcy. W związku z tym identyfikator obiektu wywołującego nie jest gwarantowany, mimo że uwierzytelnianie wieloskładnikowe firmy Microsoft zawsze go wysyła. Dotyczy to zarówno połączeń telefonicznych, jak i wiadomości SMS dostarczanych przez uwierzytelnianie wieloskładnikowe firmy Microsoft. Jeśli musisz sprawdzić, czy wiadomość SMS pochodzi z uwierzytelniania wieloskładnikowego firmy Microsoft, zobacz Jakie krótkie kody są używane do wysyłania komunikatów?.

Aby skonfigurować własny numer identyfikatora wywołującego, wykonaj następujące kroki:

  1. Przejdź do Ochrona>wieloskładnikowe uwierzytelnianie>ustawienia połączeń telefonicznych.
  2. Ustaw numer identyfikatora rozmówców usługi MFA na numer, który ma być widoczny dla użytkowników na swoich telefonach. Dozwolone są tylko numery pochodzące z USA.
  3. Wybierz pozycję Zapisz.

Uwaga

Gdy połączenia uwierzytelniania wieloskładnikowego firmy Microsoft są realizowane za pośrednictwem publicznej sieci telefonicznej, czasami połączenia są kierowane przez operatora, który nie obsługuje identyfikacji rozmówcy. W związku z tym identyfikator obiektu wywołującego nie jest gwarantowany, mimo że uwierzytelnianie wieloskładnikowe firmy Microsoft zawsze go wysyła. Dotyczy to zarówno połączeń telefonicznych, jak i wiadomości SMS dostarczanych przez uwierzytelnianie wieloskładnikowe firmy Microsoft. Jeśli musisz sprawdzić, czy wiadomość SMS pochodzi z uwierzytelniania wieloskładnikowego firmy Microsoft, zobacz Jakie krótkie kody są używane do wysyłania komunikatów?.

Niestandardowe wiadomości głosowe

Możesz użyć własnych nagrań lub powitań na potrzeby uwierzytelniania wieloskładnikowego firmy Microsoft. Te komunikaty mogą być używane oprócz domyślnych nagrań Microsoft lub je zastępować.

Przed rozpoczęciem należy pamiętać o następujących ograniczeniach:

  • Obsługiwane formaty plików to .wav i .mp3.
  • Limit rozmiaru pliku wynosi 1 MB.
  • Komunikaty uwierzytelniania powinny być krótsze niż 20 sekund. Komunikaty, które są dłuższe niż 20 sekund, mogą spowodować niepowodzenie weryfikacji. Jeśli użytkownik nie odpowie przed zakończeniem komunikatu, upłynął limit czasu weryfikacji.

Zachowanie niestandardowego języka komunikatów

Gdy niestandardowy komunikat głosowy jest odtwarzany dla użytkownika, język wiadomości zależy od następujących czynników:

  • Język użytkownika.
    • Język wykryty przez przeglądarkę użytkownika.
    • Inne scenariusze uwierzytelniania mogą zachowywać się inaczej.
  • Język wszystkich dostępnych komunikatów niestandardowych.
    • Ten język jest wybierany przez administratora po dodaniu niestandardowego komunikatu.

Jeśli na przykład istnieje tylko jeden komunikat niestandardowy i jest w języku niemieckim:

  • Użytkownik, który uwierzytelnia się w języku niemieckim, usłyszy niestandardowy komunikat w języku niemieckim.
  • Użytkownik, który uwierzytelnia się w języku angielskim, usłyszy standardową wiadomość w języku angielskim.

Niestandardowe ustawienia domyślne wiadomości głosowej

Do utworzenia własnych niestandardowych komunikatów można użyć następujących przykładowych skryptów. Te frazy są wartościami domyślnymi, jeśli nie skonfigurujesz własnych niestandardowych komunikatów.

Nazwa wiadomości Skrypt
Uwierzytelnianie powiodło się Logowanie zostało pomyślnie zweryfikowane. Do widzenia.
Komunikat o rozszerzeniu Dziękujemy za korzystanie z systemu weryfikacji logowania firmy Microsoft. Naciśnij funta, aby kontynuować.
Potwierdzenie oszustwa Przesłano alert o oszustwie. Aby odblokować konto, skontaktuj się z działem pomocy technicznej IT twojej firmy.
Ostrzeżenie o oszustwie (standardowe) Dziękujemy za korzystanie z systemu weryfikacji logowania firmy Microsoft. Naciśnij funta, aby zakończyć weryfikację. Jeśli ta weryfikacja nie została zainicjowana, ktoś może próbować uzyskać dostęp do twojego konta. Proszę nacisnąć zero funta, aby przesłać alert oszustwa. Spowoduje to powiadomienie zespołu IT twojej firmy i zablokowanie dalszych prób weryfikacji.
Zgłoszone oszustwa Przesłano alert o oszustwie. Aby odblokować konto, skontaktuj się z działem pomocy technicznej IT twojej firmy.
Aktywacja Dziękujemy za użycie systemu weryfikacji logowania firmy Microsoft. Naciśnij funta, aby zakończyć weryfikację.
Odmowa uwierzytelniania — ponowna próba Odmowa weryfikacji.
Ponów próbę (standardowa) Dziękujemy za użycie systemu weryfikacji logowania firmy Microsoft. Naciśnij funta, aby zakończyć weryfikację.
Pozdrowienie (standardowe) Dziękujemy za użycie systemu weryfikacji logowania firmy Microsoft. Naciśnij funta, aby zakończyć weryfikację.
Powitanie (PIN) Dziękujemy za korzystanie z systemu weryfikacji logowania firmy Microsoft. Wprowadź numer PIN, a następnie klucz funta, aby zakończyć weryfikację.
Ostrzeżenie o oszustwie (PIN) Dziękujemy za korzystanie z systemu weryfikacji logowania firmy Microsoft. Wprowadź numer PIN, a następnie klucz funta, aby zakończyć weryfikację. Jeśli ta weryfikacja nie została zainicjowana, ktoś może próbować uzyskać dostęp do twojego konta. Proszę nacisnąć zero funta, aby przesłać alert oszustwa. Spowoduje to powiadomienie zespołu IT twojej firmy i zablokowanie dalszych prób weryfikacji.
Spróbuj ponownie (PIN) Dziękujemy za korzystanie z systemu weryfikacji logowania firmy Microsoft. Wprowadź numer PIN, a następnie klucz funta, aby zakończyć weryfikację.
Podpowiedź dotycząca rozszerzenia po cyfrach Jeśli już w tym rozszerzeniu, naciśnij funta, aby kontynuować.
Odmowa uwierzytelniania Niestety, obecnie nie można cię zalogować. Spróbuj ponownie później.
Powitanie aktywacji (standardowe) Dziękujemy za użycie systemu weryfikacji logowania firmy Microsoft. Naciśnij funta, aby zakończyć weryfikację.
Ponów próbę aktywacji (standardowa) Dziękujemy za użycie systemu weryfikacji logowania firmy Microsoft. Naciśnij funta, aby zakończyć weryfikację.
Komunikat aktywacyjny (numer PIN) Dziękujemy za korzystanie z systemu weryfikacji logowania firmy Microsoft. Wprowadź numer PIN, a następnie klucz funta, aby zakończyć weryfikację.
Monit rozszerzenia przed cyframi Dziękujemy za korzystanie z systemu weryfikacji logowania firmy Microsoft. Przenieś to wywołanie do rozszerzenia< rozszerzenia>.

Konfigurowanie niestandardowego komunikatu

Aby użyć własnych niestandardowych komunikatów, wykonaj następujące kroki:

  1. Przejdź do Ochrona>Uwierzytelnianie wieloskładnikowe>Ustawienia połączeń telefonicznych.
  2. Wybierz pozycję Dodaj powitanie.
  3. Wybierz typ powitania, na przykład Powitanie (standardowe) lub Uwierzytelnianie powiodło się.
  4. Wybierz Język. Zobacz poprzednią sekcję dotyczącą zachowania niestandardowego języka komunikatów.
  5. Wyszukaj i wybierz plik dźwiękowy .mp3 lub .wav do przekazania.
  6. Wybierz pozycję Dodaj , a następnie pozycję Zapisz.

Ustawienia usługi MFA

Ustawienia haseł aplikacji, zaufanych adresów IP, opcji weryfikacji i zapamiętania uwierzytelniania wieloskładnikowego na zaufanych urządzeniach są dostępne w ustawieniach usługi. Jest to starszy portal.

Dostęp do ustawień usługi można uzyskać w centrum administracyjnym Microsoft Entra, przechodząc do Ochrona>Uwierzytelnianie wieloskładnikowe>Wprowadzenie>Konfiguracja>Dodatkowe ustawienia MFA w chmurze. Zostanie otwarte okno lub karta z dodatkowymi opcjami ustawień usługi.

Zaufane adresy IP

Warunki lokalizacji to zalecany sposób konfigurowania uwierzytelniania wieloskładnikowego przy użyciu dostępu warunkowego z powodu obsługi protokołu IPv6 i innych ulepszeń. Aby uzyskać więcej informacji na temat warunków lokalizacji, zobacz Używanie warunku lokalizacji w zasadach dostępu warunkowego. Aby uzyskać instrukcje definiowania lokalizacji i tworzenia zasad dostępu warunkowego, zobacz Dostęp warunkowy: Blokowanie dostępu według lokalizacji.

Funkcja zaufanych adresów IP w usłudze Microsoft Entra do uwierzytelniania wieloskładnikowego również omija monity MFA dla użytkowników logujących się z określonego zakresu adresów IP. Można ustawić zaufane zakresy adresów IP dla środowisk lokalnych. Kiedy użytkownicy znajdują się w jednej z tych lokalizacji, nie wyświetla się monit o uwierzytelnienie wieloskładnikowe Microsoft Entra. Funkcja zaufanych adresów IP wymaga wersji Microsoft Entra ID P1.

Uwaga

Zaufane adresy IP mogą zawierać prywatne zakresy adresów IP tylko wtedy, gdy używasz serwera MFA. W przypadku uwierzytelniania wieloskładnikowego firmy Microsoft opartego na chmurze można używać tylko zakresów publicznych adresów IP.

Zakresy IPv6 są obsługiwane w nazwanych lokalizacjach.

Jeśli twoja organizacja używa rozszerzenia serwera NPS do udostępniania uwierzytelniania wieloskładnikowego aplikacjom lokalnym, źródłowy adres IP będzie zawsze wyświetlany jako serwer NPS, przez który próba uwierzytelniania przepływa.

Typ dzierżawy firmy Microsoft Entra Opcje funkcji zaufanego adresu IP
Zarządzana Określony zakres adresów IP: Administratorzy określają zakres adresów IP, które mogą pomijać uwierzytelnianie wieloskładnikowe dla użytkowników logujących się z intranetu firmy. Można skonfigurować maksymalnie 50 zaufanych zakresów adresów IP.
Federacyjni Wszyscy użytkownicy federacyjni: wszyscy użytkownicy federacyjni, którzy logują się z wewnątrz organizacji, mogą pomijać uwierzytelnianie wieloskładnikowe. Użytkownicy pomijają weryfikacje przy użyciu oświadczenia wystawionego przez usługi Active Directory Federation Services (AD FS).
Określony zakres adresów IP: Administratorzy określają zakres adresów IP, które mogą pomijać uwierzytelnianie wieloskładnikowe dla użytkowników logujących się z intranetu firmy.

Obejście zaufanego adresu IP działa tylko z poziomu intranetu firmy. Jeśli wybierzesz opcję Wszyscy użytkownicy federacyjni, a użytkownik zaloguje się spoza firmowego intranetu, użytkownik musi uwierzytelnić się przy użyciu uwierzytelniania wieloskładnikowego. Proces jest taki sam, nawet jeśli użytkownik przedstawia żądanie AD FS.

Uwaga

Jeśli zasady uwierzytelniania wieloskładnikowego dla użytkownika i dostępu warunkowego są skonfigurowane w dzierżawie, należy dodać zaufane adresy IP do zasad dostępu warunkowego i zaktualizować ustawienia usługi MFA.

Środowisko użytkownika w sieci firmowej

Gdy funkcja zaufanych adresów IP jest wyłączona, uwierzytelnianie wieloskładnikowe jest wymagane dla przepływów przeglądarki. Hasła aplikacji są wymagane dla starszych zaawansowanych aplikacji klienckich.

Gdy są używane zaufane adresy IP, uwierzytelnianie wieloskładnikowe nie jest wymagane w przypadku przepływów przeglądarki. Hasła aplikacji nie są wymagane dla starszych zaawansowanych aplikacji klienckich, jeśli użytkownik nie utworzył hasła aplikacji. Po użyciu hasła aplikacji wymagane jest hasło.

Środowisko użytkownika poza siecią firmową

Niezależnie od tego, czy zaufane adresy IP są zdefiniowane, uwierzytelnianie wieloskładnikowe jest wymagane dla przepływów przeglądarki. Hasła aplikacji są wymagane dla starszych zaawansowanych aplikacji klienckich.

Włączanie nazwanych lokalizacji przy użyciu dostępu warunkowego

Reguły dostępu warunkowego umożliwiają definiowanie nazwanych lokalizacji, wykonując następujące kroki:

  1. Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej Administrator dostępu warunkowego.
  2. Przejdź do Ochrona>Dostęp warunkowy>Nazwane lokalizacje.
  3. Wybierz pozycję Nowa lokalizacja.
  4. Wprowadź nazwę lokalizacji.
  5. Wybierz pozycję Oznacz jako zaufaną lokalizację.
  6. Wprowadź zakres adresów IP dla środowiska w notacji CIDR. Na przykład 40.77.182.32/27.
  7. Wybierz pozycję Utwórz.

Włączenie funkcji zaufanych adresów IP przy użyciu dostępu warunkowego

Aby włączyć zaufane adresy IP przy użyciu zasad dostępu warunkowego, wykonaj następujące kroki:

  1. Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej Administrator dostępu warunkowego.

  2. Przejdź do Ochrona>Kontrola dostępu warunkowego>Nazwane lokalizacje.

  3. Wybierz Konfiguruj zaufane adresy IP uwierzytelniania wieloskładnikowego.

  4. Na stronie Ustawienia usługi w obszarze Zaufane adresy IP wybierz jedną z następujących opcji:

    • W przypadku żądań od użytkowników federacyjnych pochodzących z intranetu: aby wybrać tę opcję, zaznacz pole wyboru. Wszyscy użytkownicy federacyjni, którzy logują się z sieci firmowej, pomijają uwierzytelnianie wieloskładnikowe przy użyciu tokena wydanego przez AD FS. Upewnij się, że AD FS ma regułę dodawania oświadczenia intranetowego do odpowiedniego ruchu. Jeśli reguła nie istnieje, utwórz następującą regułę w usługach AD FS:

      c:[Type== "https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork"] => issue(claim = c);

      Uwaga

      Opcja Pomiń uwierzytelnianie wieloskładnikowe dla żądań od użytkowników federacyjnych w intranecie wpłynie na ocenę dostępu warunkowego dla lokalizacji. Każde żądanie z oświadczeniem insidecorporatenetwork będzie traktowane jako pochodzące z zaufanej lokalizacji, jeśli ta opcja jest wybrana.

    • W przypadku żądań z określonego zakresu publicznych adresów IP: aby wybrać tę opcję, wprowadź adresy IP w polu tekstowym w notacji CIDR.

      • W przypadku adresów IP, które znajdują się w zakresie od xxx.xxx.xxx.1 do xxx.xxx.xxx.254, użyj notacji, takiej jak xxx.xxx.xxx.0/24.
      • W przypadku pojedynczego adresu IP użyj notacji, takiej jak xxx.xxx.xxx.xxx/32.
      • Wprowadź maksymalnie 50 zakresów adresów IP. Użytkownicy logujący się z tych adresów IP pomijają uwierzytelnianie wieloskładnikowe.

  5. Wybierz pozycję Zapisz.

Włączenie funkcji zaufanych adresów IP przy użyciu ustawień usługi

Jeśli nie chcesz używać zasad dostępu warunkowego w celu włączenia zaufanych adresów IP, możesz skonfigurować ustawienia usługi dla uwierzytelniania wieloskładnikowego firmy Microsoft, wykonując następujące kroki:

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator zasad uwierzytelniania.

  2. Przejdź do Ochrona>uwierzytelnianie wieloskładnikowe>Dodatkowe ustawienia MFA opartego na chmurze.

  3. Na stronie Ustawienia usługi w obszarze Zaufane adresy IP wybierz jedną lub obie z następujących opcji:

    • W przypadku żądań od użytkowników federacyjnych w intranecie: aby wybrać tę opcję, zaznacz pole wyboru. Wszyscy użytkownicy federacyjni, którzy logują się z sieci firmowej, pomijają uwierzytelnianie wieloskładnikowe, korzystając z żądania wydanego przez AD FS. Upewnij się, że usługa AD FS ma regułę umożliwiającą dodawanie twierdzenia intranetowego do odpowiedniego ruchu. Jeśli reguła nie istnieje, utwórz następującą regułę w usługach AD FS:

      c:[Type== "https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork"] => issue(claim = c);

    • W przypadku żądań z określonego zakresu podsieci adresów IP: aby wybrać tę opcję, wprowadź adresy IP w polu tekstowym w notacji CIDR.

      • W przypadku adresów IP, które znajdują się w zakresie od xxx.xxx.xxx.1 do xxx.xxx.xxx.254, użyj notacji, takiej jak xxx.xxx.xxx.0/24.
      • W przypadku pojedynczego adresu IP użyj notacji, takiej jak xxx.xxx.xxx.xxx/32.
      • Wprowadź maksymalnie 50 zakresów adresów IP. Użytkownicy logujący się z tych adresów IP pomijają uwierzytelnianie wieloskładnikowe.

  4. Wybierz pozycję Zapisz.

Metody weryfikacji

Możesz wybrać metody weryfikacji dostępne dla użytkowników w portalu ustawień usługi. Gdy użytkownicy rejestrują swoje konta na potrzeby uwierzytelniania wieloskładnikowego firmy Microsoft, wybierają preferowaną metodę weryfikacji z opcji, które zostały włączone. Wskazówki dotyczące procesu rejestracji użytkownika podano w temacie Konfigurowanie konta na potrzeby uwierzytelniania wieloskładnikowego.

Ważne

W marcu 2023 r. ogłosiliśmy wycofanie metod zarządzania metodami uwierzytelniania w starszych zasadach uwierzytelniania wieloskładnikowego i samoobsługowego resetowania haseł(SSPR). Od 30 września 2025 r. metody uwierzytelniania nie mogą być konfigurowane w ramach tych starszych zasad MFA i SSPR. Zalecamy klientom użycie manualnej kontroli migracji w celu przeprowadzenia migracji do zasad metod uwierzytelniania przed terminem wycofania. Aby uzyskać pomoc dotyczącą kontroli migracji, zobacz Jak przenieść ustawienia zasad MFA i samoobsługowego resetowania hasła (SSPR) do zasad metod uwierzytelniania dla Microsoft Entra ID.

Dostępne są następujące metody weryfikacji:

Metoda opis
Połączenie na telefon Wykonuje automatyczne połączenie głosowe. Użytkownik odpowiada na połączenie i naciska numer # na telefonie, aby się uwierzytelnić. Numer telefonu nie jest synchronizowany z lokalna usługa Active Directory.
Wiadomość SMS na telefon Wysyła wiadomość SMS zawierającą kod weryfikacyjny. Użytkownik zostanie poproszony o wprowadzenie kodu weryfikacyjnego do interfejsu logowania. Ten proces jest nazywany jednokierunkową wiadomością SMS. Dwukierunkowy SMS oznacza, że użytkownik musi odesłać określony kod. Usługa dwukierunkowych wiadomości SMS jest przestarzała i nie jest obsługiwana po 14 listopada 2018 r. Administratorzy powinni włączyć inną metodę dla użytkowników, którzy wcześniej używali dwukierunkowej wiadomości SMS.
Powiadomienie przez aplikację mobilną Wysyła powiadomienie push do telefonu użytkownika lub zarejestrowanego urządzenia. Użytkownik wyświetli powiadomienie i wybierze pozycję Weryfikuj , aby ukończyć weryfikację. Aplikacja Microsoft Authenticator jest dostępna dla systemów Windows Phone, Android i iOS.
Kod weryfikacyjny z aplikacji mobilnej lub tokenu sprzętowego Aplikacja Microsoft Authenticator generuje nowy kod weryfikacyjny OATH co 30 sekund. Użytkownik wprowadza kod weryfikacyjny do interfejsu logowania. Aplikacja Microsoft Authenticator jest dostępna dla systemów Windows Phone, Android i iOS.

Aby uzyskać więcej informacji, zobacz Jakie metody uwierzytelniania i weryfikacji są dostępne w usłudze Microsoft Entra ID?.

Włączanie i wyłączanie metod weryfikacji

Aby włączyć lub wyłączyć metody weryfikacji, wykonaj następujące kroki:

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator zasad uwierzytelniania.
  2. Przejdź do Identity>Users>Wszyscy użytkownicy.
  3. Wybierz opcję Uwierzytelnianie wieloskładnikowe na użytkownika.
  4. W obszarze Uwierzytelnianie wieloskładnikowe w górnej części strony wybierz pozycję Ustawienia usługi.
  5. Na stronie Ustawienia usługi w obszarze Opcje weryfikacji zaznacz lub wyczyść odpowiednie pola wyboru.
  6. Wybierz pozycję Zapisz.

Pamiętaj uwierzytelnianie wieloskładnikowe

Funkcja zapamiętania uwierzytelniania wieloskładnikowego umożliwia użytkownikom obejście kolejnych weryfikacji przez określoną liczbę dni po pomyślnym zalogowaniu się do urządzenia przy użyciu uwierzytelniania wieloskładnikowego. Aby zwiększyć użyteczność i zminimalizować liczbę przypadków, w których użytkownik musi wykonać uwierzytelnianie wieloskładnikowe na danym urządzeniu, wybierz czas trwania 90 dni lub mniej.

Ważne

W przypadku naruszenia zabezpieczeń konta lub urządzenia pamiętaj, że uwierzytelnianie wieloskładnikowe dla zaufanych urządzeń może mieć wpływ na bezpieczeństwo. Jeśli konto firmowe zostanie naruszone lub zaufane urządzenie zostanie utracone lub skradzione, należy odwołać sesje uwierzytelniania wieloskładnikowego.

Akcja odwołania anuluje status zaufania wszystkich urządzeń, a użytkownik musi ponownie przeprowadzić uwierzytelnianie wieloskładnikowe. Możesz również poinstruować użytkowników, aby przywrócili oryginalny stan uwierzytelniania wieloskładnikowego na własnych urządzeniach, jak opisano w temacie Zarządzanie ustawieniami uwierzytelniania wieloskładnikowego.

Jak działa funkcja

Funkcja zapamiętania uwierzytelniania wieloskładnikowego ustawia trwały plik cookie w przeglądarce, gdy użytkownik wybierze opcję Nie pytaj ponownie o X dni podczas logowania. Użytkownik nie jest ponownie monitowany o uwierzytelnianie wieloskładnikowe z tej przeglądarki, dopóki plik cookie nie wygaśnie. Jeśli użytkownik otworzy inną przeglądarkę na tym samym urządzeniu lub wyczyści pliki cookie, zostanie ponownie wyświetlony monit o zweryfikowanie.

Opcja Nie pytaj ponownie o X dni nie jest wyświetlana w aplikacjach innych niż przeglądarka, niezależnie od tego, czy aplikacja obsługuje nowoczesne uwierzytelnianie. Te aplikacje używają tokenów odświeżania, które zapewniają nowe tokeny dostępu co godzinę. Po zweryfikowaniu tokenu odświeżania identyfikator Entra firmy Microsoft sprawdza, czy ostatnie uwierzytelnianie wieloskładnikowe miało miejsce w ciągu określonej liczby dni.

Funkcja zmniejsza liczbę uwierzytelnień w aplikacjach internetowych, które normalnie pojawiają się za każdym razem. Funkcja może zwiększyć liczbę uwierzytelnień dla nowoczesnych klientów uwierzytelniania, których zwykle monituje się co 180 dni, jeśli skonfigurowano krótszy czas trwania. Może również zwiększyć liczbę uwierzytelnień w połączeniu z zasadami dostępu warunkowego.

Ważne

Funkcja zapamiętania uwierzytelniania wieloskładnikowego nie jest zgodna z funkcją keep me signed in usług AD FS, gdy użytkownicy wykonują uwierzytelnianie wieloskładnikowe dla usług AD FS za pośrednictwem serwera MFA lub rozwiązania do uwierzytelniania wieloskładnikowego innej firmy.

Jeśli użytkownicy wybiorą opcję pozostaw mnie zalogowanym w AD FS i również oznaczą swoje urządzenie jako zaufane do uwierzytelniania wieloskładnikowego, użytkownik nie jest automatycznie weryfikowany po wygaśnięciu liczby dni zapamiętania uwierzytelniania wieloskładnikowego. Microsoft Entra ID żąda nowego uwierzytelniania wieloskładnikowego, ale AD FS zwraca token z oryginalnym żądaniem MFA i datą, zamiast ponownie przeprowadzać uwierzytelnianie wieloskładnikowe. Ta reakcja powoduje ustawienie pętli weryfikacji między identyfikatorem Entra firmy Microsoft i usługami AD FS.

Funkcja zapamiętywania uwierzytelniania wieloskładnikowego nie jest zgodna z użytkownikami B2B i nie będzie dostępna dla użytkowników B2B podczas logowania się do zaproszonych klientów.

Funkcja zapamiętywania uwierzytelniania wieloskładnikowego nie jest zgodna z kontrolą dostępu warunkowego dotyczącą częstotliwości logowania. Aby uzyskać więcej informacji, zobacz Konfigurowanie zarządzania sesjami uwierzytelniania przy użyciu dostępu warunkowego.

Włącz zapamiętywanie uwierzytelniania wieloskładnikowego

Aby włączyć i skonfigurować opcję zezwalania użytkownikom na zapamiętanie stanu uwierzytelniania wieloskładnikowego i monitów o obejście, wykonaj następujące kroki:

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator zasad uwierzytelniania.
  2. Przejdź do Identity>Users>Wszyscy użytkownicy.
  3. Wybierz opcję Uwierzytelnianie wieloskładnikowe na użytkownika.
  4. W obszarze Uwierzytelnianie wieloskładnikowe w górnej części strony wybierz pozycję Ustawienia usługi.
  5. Na stronie ustawień usługi w obszarze Zapamiętaj uwierzytelnianie wieloskładnikowe wybierz pozycję Zezwalaj użytkownikom na zapamiętanie uwierzytelniania wieloskładnikowego na urządzeniach, którym ufają.
  6. Ustaw liczbę dni zezwalania zaufanym urządzeniom na pomijanie uwierzytelniania wieloskładnikowego. Aby uzyskać optymalne wrażenia użytkownika, zaleca się przedłużenie okresu do 90 lub więcej dni.
  7. Wybierz pozycję Zapisz.

Oznaczanie urządzenia jako zaufanego

Po włączeniu funkcji zapamiętywania uwierzytelniania wieloskładnikowego, użytkownicy mogą oznaczyć urządzenie jako zaufane podczas logowania się, wybierając Nie pytaj ponownie.

Następne kroki

Aby dowiedzieć się więcej, zobacz Jakie metody uwierzytelniania i weryfikacji są dostępne w identyfikatorze Entra firmy Microsoft?