Metody uwierzytelniania w usłudze Microsoft Entra ID — aplikacja Microsoft Authenticator
Aplikacja Microsoft Authenticator zapewnia kolejny poziom zabezpieczeń konta służbowego firmy Microsoft lub konta Microsoft. Jest dostępna dla systemów Android i iOS. Dzięki aplikacji Microsoft Authenticator użytkownicy mogą uwierzytelniać się w sposób bez hasła podczas logowania. Mogą również używać go jako opcji weryfikacji podczas samoobsługowego resetowania hasła (SSPR) lub zdarzeń uwierzytelniania wieloskładnikowego (MFA).
Aplikacja Microsoft Authenticator obsługuje klucz dostępu, logowanie bez hasła i uwierzytelnianie wieloskładnikowe przy użyciu powiadomień i kodów weryfikacyjnych.
- Użytkownicy mogą zalogować się przy użyciu klucza dostępu w aplikacji Authenticator i ukończyć uwierzytelnianie odporne na wyłudzanie informacji przy użyciu biometrycznego logowania lub numeru PIN urządzenia.
- Użytkownicy mogą skonfigurować powiadomienia authenticator i zalogować się przy użyciu aplikacji Authenticator zamiast nazwy użytkownika i hasła.
- Użytkownicy mogą odbierać żądanie uwierzytelniania wieloskładnikowego na urządzeniu przenośnym i zatwierdzać lub odrzucać próbę logowania z telefonu.
- Mogą również używać kodu weryfikacyjnego OATH w aplikacji Authenticator i wprowadzać go w interfejsie logowania.
Aby uzyskać więcej informacji, zobacz Włączanie logowania bez hasła przy użyciu aplikacji Microsoft Authenticator.
Uwaga
Użytkownicy nie mają możliwości zarejestrowania aplikacji mobilnej po włączeniu samoobsługowego resetowania hasła. Zamiast tego użytkownicy mogą zarejestrować swoją aplikację mobilną na stronie https://aka.ms/mfasetup lub w ramach połączonej rejestracji informacji zabezpieczających pod adresem https://aka.ms/setupsecurityinfo. Aplikacja Authenticator może nie być obsługiwana w wersjach beta systemów iOS i Android. Ponadto od 20 października 2023 r. aplikacja Authenticator w systemie Android nie obsługuje już starszych wersji Portal firmy systemu Android. Użytkownicy systemu Android z Portal firmy wersjami poniżej 2111 (5.0.5333.0) nie mogą ponownie rejestrować ani rejestrować nowych wystąpień aplikacji Authenticator, dopóki nie zaktualizują aplikacji Portal firmy do nowszej wersji.
Logowanie z kluczem dostępu
Authenticator to bezpłatne rozwiązanie z kluczem dostępu, które umożliwia użytkownikom wykonywanie bez hasła uwierzytelniania odpornego na wyłudzanie informacji z własnych telefonów. Niektóre kluczowe korzyści wynikające z używania kluczy dostępu w aplikacji Authenticator:
- Kluczami dostępu można łatwo wdrażać na dużą skalę. Następnie na telefonie użytkownika są dostępne klucz dostępu dla scenariuszy zarządzania urządzeniami przenośnymi (MDM) i by przynieść własne urządzenie (BYOD).
- Hasła w aplikacji Authenticator nie są już kosztowne i podróżują z użytkownikiem wszędzie tam, gdzie idą.
- Klucz dostępu w aplikacji Authenticator jest powiązany z urządzeniem, co gwarantuje, że klucz dostępu nie pozostawia urządzenia, na którym został utworzony.
- Użytkownicy są na bieżąco z najnowszymi innowacjami z kluczami dostępu opartymi na otwartych standardach WebAuthn.
- Przedsiębiorstwa mogą nakładać inne możliwości na przepływy uwierzytelniania, takie jak zgodność ze standardami federal information processing standards (FIPS) 140.
Klucz dostępu powiązany z urządzeniem
Klucz dostępu w aplikacji Authenticator jest powiązany z urządzeniem, aby upewnić się, że nigdy nie opuszczają urządzenia, na których zostały utworzone. Na urządzeniu z systemem iOS aplikacja Authenticator używa bezpiecznej enklawy do utworzenia klucza dostępu. W systemie Android utworzymy klucz dostępu w bezpiecznym elemecie na urządzeniach, które go obsługują, lub wróćmy do zaufanego środowiska wykonawczego (TEE).
Jak działa zaświadczenie o kluczu dostępu z aplikacją Authenticator
Po włączeniu zaświadczania w zasadach klucza dostępu (FIDO2) identyfikator Entra firmy Microsoft próbuje zweryfikować zasadność modelu klucza zabezpieczeń lub dostawcy kluczy dostępu, w którym jest tworzony klucz dostępu. Gdy użytkownik zarejestruje klucz dostępu w aplikacji Authenticator, zaświadczenie sprawdza, czy legalna aplikacja Microsoft Authenticator utworzyła klucz dostępu przy użyciu usług Firmy Apple i Google. Poniżej przedstawiono szczegółowe informacje na temat sposobu działania zaświadczania dla każdej platformy:
iOS: zaświadczanie authenticatora używa usługi zaświadczania aplikacji systemu iOS w celu zapewnienia zasadności aplikacji Authenticator przed zarejestrowaniem klucza dostępu.
Android:
- W przypadku zaświadczania integralności odtwarzania zaświadczanie Authenticator używa interfejsu API integralności odtwarzania w celu zapewnienia zasadności aplikacji Authenticator przed zarejestrowaniem klucza dostępu.
- W przypadku zaświadczania klucza zaświadczanie authenticator używa zaświadczania klucza przez system Android w celu sprawdzenia, czy zarejestrowany klucz dostępu jest wspierany przez sprzęt.
Uwaga
W przypadku systemów iOS i Android zaświadczenie Authenticator opiera się na usługach firmy Apple i Google w celu zweryfikowania autentyczności aplikacji Authenticator. Duże użycie usługi może spowodować niepowodzenie rejestracji klucza dostępu, a użytkownicy mogą próbować ponownie. Jeśli usługi Apple i Google nie działają, zaświadczanie Authenticator blokuje rejestrację, która wymaga zaświadczania do czasu przywrócenia usług. Aby monitorować stan usługi integralności sklepu Google Play, zobacz Pulpit nawigacyjny stanu sklepu Google Play. Aby monitorować stan usługi zaświadczania aplikacji systemu iOS, zobacz Stan systemu.
Aby uzyskać więcej informacji na temat konfigurowania zaświadczania, zobacz How to enable passkeys in Microsoft Authenticator for Microsoft Entra ID (Jak włączyć klucz dostępu w usłudze Microsoft Authenticator for Microsoft Entra ID).
Logowanie bez hasła za pośrednictwem powiadomień
Zamiast wyświetlać monit o podanie hasła po wprowadzeniu nazwy użytkownika, użytkownicy, którzy włączają logowanie za pomocą telefonu z aplikacji Authenticator, widzą komunikat umożliwiający wprowadzenie numeru w swojej aplikacji. Po wybraniu poprawnej liczby proces logowania zostanie ukończony.
Ta metoda uwierzytelniania zapewnia wysoki poziom zabezpieczeń i eliminuje potrzebę podania hasła podczas logowania.
Aby rozpocząć logowanie bez hasła, zobacz Włączanie logowania bez hasła przy użyciu aplikacji Microsoft Authenticator.
Uwierzytelnianie wieloskładnikowe za pośrednictwem powiadomień za pośrednictwem aplikacji mobilnej
Aplikacja Authenticator może pomóc zapobiec nieautoryzowanemu dostępowi do kont i zatrzymać fałszywe transakcje, wypychając powiadomienie na smartfon lub tablet. Użytkownicy wyświetlają powiadomienie, a jeśli jest to uzasadnione, wybierz pozycję Weryfikuj. W przeciwnym razie mogą wybrać pozycję Odmów.
Uwaga
Począwszy od sierpnia 2023 r., nietypowe logowania nie generują powiadomień, podobnie jak w jaki sposób logowania z nieznanych lokalizacji nie generują powiadomień. Aby zatwierdzić nietypowe logowanie, użytkownicy mogą otwierać aplikację Microsoft Authenticator lub Authenticator Lite w odpowiedniej aplikacji towarzyszącej, takiej jak Outlook. Następnie mogą ściągnąć, aby odświeżyć lub nacisnąć pozycję Odśwież, a następnie zatwierdzić żądanie.
W Chinach metoda Powiadomienia za pośrednictwem aplikacji mobilnej na urządzeniach z systemem Android nie działa, ponieważ usługi Google Play (w tym powiadomienia wypychane) są blokowane w regionie. Jednak powiadomienia systemu iOS działają. W przypadku urządzeń z systemem Android alternatywne metody uwierzytelniania powinny być dostępne dla tych użytkowników.
Kod weryfikacyjny z aplikacji mobilnej
Aplikacja Authenticator może służyć jako token oprogramowania do generowania kodu weryfikacyjnego OATH. Po wprowadzeniu nazwy użytkownika i hasła wprowadź kod dostarczony przez aplikację Authenticator do interfejsu logowania. Kod weryfikacyjny stanowi drugą formę uwierzytelniania.
Uwaga
Kody weryfikacyjne OATH generowane przez wystawcę Authenticator nie są obsługiwane w przypadku uwierzytelniania opartego na certyfikatach.
Użytkownicy mogą mieć kombinację maksymalnie pięciu tokenów sprzętowych OATH lub aplikacji uwierzytelnianych, takich jak aplikacja Authenticator, skonfigurowana do użycia w dowolnym momencie.
Zgodność ze standardem FIPS 140 dla uwierzytelniania entra firmy Microsoft
Zgodnie z wytycznymi opisanymi w specjalnej publikacji NIST 800-63B, wystawcy uwierzytelnień używanych przez amerykańskie agencje rządowe muszą korzystać z kryptografii zweryfikowanej przez standard FIPS 140. Te wytyczne pomagają amerykańskim agencjom rządowym spełnić wymagania zarządu wykonawczego (EO) 14028. Ponadto niniejsze wytyczne pomagają innym regulowanym branżom, takim jak organizacje opieki zdrowotnej współpracujące z elektronicznymi receptami dla substancji kontrolowanych (EPCS), spełniają swoje wymagania regulacyjne.
FIPS 140 to amerykański standard rządowy, który definiuje minimalne wymagania dotyczące zabezpieczeń modułów kryptograficznych w produktach i systemach technologii informatycznych. Program weryfikacji modułu kryptograficznego (CMVP) utrzymuje testowanie względem standardu FIPS 140.
Microsoft Authenticator dla systemu iOS
Począwszy od wersji 6.6.8, aplikacja Microsoft Authenticator dla systemu iOS używa natywnego modułu Apple CoreCrypto na potrzeby kryptografii zweryfikowanych przez standard FIPS na urządzeniach zgodnych ze standardem FIPS 140 firmy Apple. Wszystkie uwierzytelniania firmy Microsoft entra przy użyciu odpornych na wyłudzanie informacji kluczy dostępu, wypychania uwierzytelniania wieloskładnikowego (MFA), logowania bez hasła (PSI) i jednorazowych kodów dostępu (TOTP) używają kryptografii FIPS.
Aby uzyskać więcej informacji na temat zweryfikowanych modułów kryptograficznych FIPS 140 używanych i zgodnych urządzeń z systemem iOS, zobacz Certyfikaty zabezpieczeń systemu iOS firmy Apple.
Microsoft Authenticator dla systemu Android
Począwszy od wersji 6.2409.6094 w aplikacji Microsoft Authenticator dla systemu Android, wszystkie uwierzytelniania w identyfikatorze Entra firmy Microsoft, w tym kluczami dostępu, są uznawane za zgodne ze standardem FIPS. Aplikacja Authenticator używa modułu kryptograficznego wolfSSL Inc., aby osiągnąć zgodność ze standardem FIPS 140, zgodność z poziomem zabezpieczeń 1 na urządzeniach z systemem Android. Aby uzyskać więcej informacji na temat certyfikacji, zobacz Program weryfikacji modułów kryptograficznych.
Określanie typu rejestracji aplikacji Microsoft Authenticator w obszarze Informacje zabezpieczające
Użytkownicy mogą uzyskiwać dostęp do informacji zabezpieczających (zobacz adresy URL w następnej sekcji) lub wybierając pozycję Informacje zabezpieczające z konta MyAccount, aby zarządzać i dodawać więcej rejestracji aplikacji Microsoft Authenticator. Określone ikony służą do rozróżniania, czy rejestracja w aplikacji Microsoft Authenticator jest bez hasła logowania za pomocą telefonu, czy uwierzytelniania wieloskładnikowego.
| Typ rejestracji wystawcy uwierzytelniającego | Ikona |
|---|---|
| Microsoft Authenticator: logowanie za pomocą telefonu bez hasła |  |
| Microsoft Authenticator: (powiadomienie/kod) |  |
Linki SecurityInfo
| Chmura | Adres URL informacji zabezpieczających |
|---|---|
| Platforma Azure komercyjna (w tym Government Community Cloud (GCC)) | https://aka.ms/MySecurityInfo |
| Platforma Azure dla instytucji rządowych USA (w tym GCC High i DoD) | https://aka.ms/MySecurityInfo-us |
Aktualizacje modułu Authenticator
Firma Microsoft stale aktualizuje wystawcę Authenticator, aby zachować wysoki poziom zabezpieczeń. Aby upewnić się, że użytkownicy uzyskują najlepsze możliwe środowisko, zalecamy ciągłe aktualizowanie aplikacji Authenticator. W przypadku krytycznych aktualizacji zabezpieczeń wersje aplikacji, które nie są aktualne, mogą nie działać i mogą uniemożliwić użytkownikom ukończenie uwierzytelniania. Jeśli użytkownik korzysta z wersji aplikacji, która nie jest obsługiwana, zostanie wyświetlony monit o uaktualnienie do najnowszej wersji przed kontynuowaniem logowania.
Firma Microsoft okresowo wycofuje starsze wersje aplikacji Authenticator, aby zachować wysoki poziom zabezpieczeń dla organizacji. Jeśli urządzenie użytkownika nie obsługuje nowoczesnych wersji aplikacji Microsoft Authenticator, nie może się podpisać przy użyciu aplikacji. Zalecamy, aby ci użytkownicy logali się przy użyciu kodu weryfikacyjnego OATH w aplikacji Microsoft Authenticator, aby ukończyć uwierzytelnianie wieloskładnikowe.
Następne kroki
Aby rozpocząć pracę z kluczami dostępu, zobacz Jak włączyć klucz dostępu w aplikacji Microsoft Authenticator for Microsoft Entra ID.
Aby uzyskać więcej informacji na temat logowania bez hasła, zobacz Włączanie logowania bez hasła przy użyciu aplikacji Microsoft Authenticator.
Dowiedz się więcej na temat konfigurowania metod uwierzytelniania przy użyciu interfejsu API REST programu Microsoft Graph.