Udostępnij za pośrednictwem


Zarządzanie metodami uwierzytelniania dla identyfikatora Entra firmy Microsoft

Microsoft Entra ID umożliwia korzystanie z wielu metod uwierzytelniania do obsługi wielu różnych scenariuszy logowania. Administratorzy mogą w szczególności skonfigurować każdą metodę, aby spełnić swoje cele dotyczące środowiska użytkownika i zabezpieczeń. W tym temacie wyjaśniono, jak zarządzać metodami uwierzytelniania dla identyfikatora Entra firmy Microsoft oraz jak opcje konfiguracji wpływają na scenariusze logowania użytkownika i resetowania hasła.

Zasady metod uwierzytelniania

Zasady metody uwierzytelniania to zalecany sposób zarządzania metodami uwierzytelniania, w tym nowoczesnymi metodami, takimi jak uwierzytelnianie bez hasła. Administratorzy zasad uwierzytelniania mogą edytować te zasady, aby włączyć metody uwierzytelniania dla wszystkich użytkowników lub określonych grup.

Metody włączone w zasadach metod uwierzytelniania mogą być zwykle używane w dowolnym miejscu w usłudze Microsoft Entra ID, zarówno w scenariuszach uwierzytelniania, jak i resetowania hasła. Wyjątkiem jest to, że niektóre metody są z natury ograniczone do użycia w uwierzytelnianiu, takich jak FIDO2 i Windows Hello dla firm, a inne są ograniczone do użycia w resetowaniu haseł, takich jak pytania zabezpieczające. Aby uzyskać większą kontrolę nad tym, które metody można używać w danym scenariuszu uwierzytelniania, rozważ użycie funkcji Siły uwierzytelniania.

Większość metod ma również parametry konfiguracji, aby dokładniej kontrolować sposób użycia tej metody. Jeśli na przykład włączysz połączenia głosowe, możesz również określić, czy telefon biurowy może być używany oprócz telefonu komórkowego.

Załóżmy też, że chcesz włączyć uwierzytelnianie bez hasła za pomocą aplikacji Microsoft Authenticator. Możesz ustawić dodatkowe parametry, takie jak wyświetlanie lokalizacji logowania użytkownika lub nazwa zalogowanej aplikacji. Te opcje zapewniają więcej kontekstu dla użytkowników podczas logowania i pomagają zapobiec przypadkowym zatwierdzeniom uwierzytelniania wieloskładnikowego.

Aby zarządzać zasadami metod uwierzytelniania, zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej administrator zasad uwierzytelniania i przejdź do Ochrona>Metody uwierzytelniania>Zasady.

Zrzut ekranu przedstawiający zasady metod uwierzytelniania.

Tylko środowisko rejestracji zbieżnej jest świadome zasad metod uwierzytelniania. Użytkownicy objęci zasadami metod uwierzytelniania, ale nie środowiskiem zbieżnej rejestracji, nie zobaczą odpowiednich metod rejestracji.

Starsze zasady uwierzytelniania wieloskładnikowego i samoobsługowego resetowania hasła

Dwie inne zasady, znajdujące się w ustawieniach uwierzytelniania wieloskładnikowego i ustawienia resetowania hasła, zapewniają starszy sposób zarządzania niektórymi metodami uwierzytelniania dla wszystkich użytkowników w dzierżawie. Nie można kontrolować, kto używa włączonej metody uwierzytelniania lub jak można użyć metody.

Ważne

W marcu 2023 r. ogłosiliśmy wycofanie metod zarządzania metodami uwierzytelniania w starszych zasadach uwierzytelniania wieloskładnikowego i samoobsługowego resetowania haseł(SSPR). Od 30 września 2025 r. nie będzie można zarządzać metodami uwierzytelniania w tych starszych politykach MFA i SSPR. Zalecamy klientom użycie ręcznej kontroli migracji w celu przeprowadzenia migracji do polityki metod uwierzytelniania przed datą wycofania.

Aby zarządzać starszymi zasadami uwierzytelniania wieloskładnikowego, przejdź do Protection>Metody uwierzytelniania>Zasady>Uwierzytelniania wieloskładnikowego>Dodatkowe ustawienia uwierzytelniania wieloskładnikowego opartego na chmurze.

Zrzut ekranu przedstawiający ustawienia usługi MFA.

Aby zarządzać metodami uwierzytelniania na potrzeby samoobsługowego resetowania hasła (SSPR), przejdź do Protection>Password reset>Authentication methods. Opcja Telefon komórkowy w tych zasadach umożliwia wysyłanie połączeń głosowych lub wiadomości SMS na telefon komórkowy. Opcja Telefon pakietu Office umożliwia tylko połączenia głosowe.

Zrzut ekranu przedstawiający ustawienia resetowania hasła.

Jak działają razem zasady

Ustawienia nie są synchronizowane między zasadami, co umożliwia administratorom niezależne zarządzanie poszczególnymi zasadami. Identyfikator Entra firmy Microsoft uwzględnia ustawienia we wszystkich zasadach, dzięki czemu użytkownik, który jest włączony dla metody uwierzytelniania w dowolnych zasadach, może zarejestrować tę metodę i użyć jej. Aby uniemożliwić użytkownikom korzystanie z metody, należy ją wyłączyć we wszystkich zasadach.

Przyjrzyjmy się przykładowi, w którym użytkownik należący do grupy Księgowość chce zarejestrować aplikację Microsoft Authenticator. Proces rejestracji najpierw sprawdza zasady Metody uwierzytelniania. Jeśli grupa działu Księgowości jest włączona dla aplikacji Microsoft Authenticator, użytkownik może ją zarejestrować.

Jeśli tak nie jest, proces rejestracji sprawdza starsze zasady uwierzytelniania wieloskładnikowego. W tych zasadach każdy użytkownik może zarejestrować aplikację Microsoft Authenticator, jeśli jedno z tych ustawień jest włączone dla uwierzytelniania wieloskładnikowego:

  • Powiadomienie za pośrednictwem aplikacji mobilnej
  • Kod weryfikacyjny z aplikacji mobilnej lub tokenu sprzętowego

Jeśli użytkownik nie może zarejestrować aplikacji Microsoft Authenticator zgodnie z którąś z tych zasad, proces rejestracji sprawdza politykę starszej wersji samodzielnego resetowania hasła. W danej polityce użytkownik może również zarejestrować aplikację Microsoft Authenticator, jeśli użytkownik jest uprawniony do samoobsługowego resetowania hasła i któreś z tych ustawień są włączone:

  • Powiadomienie aplikacji mobilnej
  • Kod aplikacji mobilnej

W przypadku użytkowników, dla których włączono opcję telefonu komórkowego dla samoobsługowego resetowania hasła, niezależne zarządzanie zasadami może wpłynąć na zachowanie przy logowaniu. W przypadku, gdy inne zasady mają oddzielne opcje dla wiadomości SMS i połączeń głosowych, telefon komórkowy dla samoobsługowego resetowania hasła (SSPR) umożliwia korzystanie z obu opcji. W rezultacie każdy, kto korzysta z telefonu komórkowego na potrzeby samoobsługowego resetowania hasła, może również używać połączeń głosowych na potrzeby resetowania hasła, nawet jeśli inne zasady nie zezwalają na połączenia głosowe.

Podobnie załóżmy, że włączysz wywołania głosowe dla grupy. Po jej włączeniu można stwierdzić, że nawet użytkownicy, którzy nie są członkami grupy, mogą logować się za pomocą połączenia głosowego. W takim przypadku prawdopodobnie ci użytkownicy są włączeni dla telefonu komórkowego w starszych zasadach samoobsługowego resetowania hasła lub Zadzwoń na telefon w starszych zasadach uwierzytelniania wieloskładnikowego.

Migracja między zasadami

Zasady metod uwierzytelniania zawierają przewodnik migracji, który ułatwia ujednolicenie administrowania wszystkimi metodami uwierzytelniania. Wszystkie żądane metody można włączyć w zasadach Metod uwierzytelniania, jeśli zasady dotyczą zamierzonych grup użytkowników lub wszystkich użytkowników. Przewodnik migracji metod uwierzytelniania automatyzuje kroki inspekcji bieżących ustawień zasad dla uwierzytelniania wieloskładnikowego i samoobsługowego resetowania hasła oraz konsoliduje je w zasadach metod uwierzytelniania. Dostęp do przewodnika można uzyskać z centrum administracyjnego Microsoft Entra, przechodząc do Ochrona>Metody uwierzytelniania>Zasady.

Zrzut ekranu przedstawiający blok zasad Metody uwierzytelniania z wyróżnionym punktem wejścia kreatora.

Możesz również ręcznie migrować ustawienia zasad. Migracja ma trzy ustawienia umożliwiające przejście we własnym tempie i uniknięcie problemów z logowaniem lub samoobsługowym resetowaniem hasła podczas przejścia.

Po zakończeniu migracji można wyłączyć metody w zasadach starszego uwierzytelniania wieloskładnikowego (MFA) oraz samoobsługowego resetowania hasła (SSPR). Możesz centralizować kontrolę nad metodami uwierzytelniania zarówno dla logowania, jak i samoobsługowego resetowania hasła w jednym miejscu, a starsze zasady uwierzytelniania wieloskładnikowego i samoobsługowego resetowania hasła zostaną wyłączone.

Uwaga

Pytania zabezpieczające można obecnie włączyć tylko przy użyciu starszych zasad samoobsługowego resetowania hasła (SSPR). Jeśli używasz pytań zabezpieczających i nie chcesz ich wyłączać, pamiętaj, aby zachować je włączone w dotychczasowych zasadach samoobsługowego resetowania hasła do momentu udostępnienia kontroli migracji. Możesz migrować pozostałe metody uwierzytelniania i nadal zarządzać pytaniami zabezpieczającymi w starszych zasadach SSPR.

Aby wyświetlić opcje migracji, otwórz zasady Metody uwierzytelniania i kliknij pozycję Zarządzaj migracją.

Zrzut ekranu przedstawiający opcje migracji.

W tabeli poniżej opisano wszystkie opcje.

Opcja Opis
Przed migracją Zasady metod uwierzytelniania są używane tylko do uwierzytelniania.
Dotychczasowe ustawienia zasad są przestrzegane.
Migracja w toku Zasady metod uwierzytelniania są używane do uwierzytelniania i samoobsługowego resetowania hasła.
Starsze ustawienia zasad są przestrzegane.
Migracja zakończona Tylko polityka metod uwierzytelniania jest używana do uwierzytelniania i samoobsługowego resetowania hasła.
Starsze ustawienia zasad są ignorowane.

Najemcy są domyślnie ustawieni na Przed migracją lub Migracja w toku, w zależności od bieżącego stanu najemcy. Jeśli zaczniesz w fazie przedmigracyjnej, możesz przejść do dowolnego ze stanów w dowolnym momencie. Jeśli rozpoczynasz w Migracji w toku, możesz przejść między Migracją w toku a programem Microsoft Complete w dowolnym momencie, ale nie możesz przejść do etapu przed migracją. Jeśli przejdziesz do pozycji Migracja zakończona, a następnie wybierzesz wycofanie się do wcześniejszego stanu, zapytamy, dlaczego możemy ocenić wydajność produktu.

Zrzut ekranu przedstawiający przyczyny wycofania.

Uwaga

Po pełnej migracji wszystkich metod uwierzytelniania następujące elementy starszych zasad samoobsługowego resetowania hasła pozostają aktywne:

  • Liczba metod wymaganych do zresetowania ustawienia kontroli: administratorzy mogą nadal zmieniać liczbę metod uwierzytelniania, które należy zweryfikować, zanim użytkownik będzie mógł wykonać samoobsługowe resetowanie hasła (SSPR).
  • Zasady administratora SSPR: administratorzy mogą nadal rejestrować i używać dowolnych metod wymienionych w starszych zasadach administratora SSPR lub metod, do których użycia są uprawnieni w zasadach Metod uwierzytelniania.

W przyszłości obie te funkcje zostaną zintegrowane z zasadami metod uwierzytelniania.

Znane problemy i ograniczenia

  • W ostatnich aktualizacjach usunęliśmy możliwość kierowania się na konkretnych użytkowników. Użytkownicy, którzy wcześniej byli celem, pozostaną w ramach polityki, ale zalecamy przeniesienie ich do grupy docelowej.

  • Rejestracja metody uwierzytelniania może zakończyć się niepowodzeniem, jeśli wiele grup jest uwzględnionych w zasadach metod uwierzytelniania lub kampanii rejestracji. Zalecamy skonsolidowanie wielu grup w jedną grupę dla każdej metody uwierzytelniania. Aby zachować rejestrację użytkowników podczas konsolidacji, dodaj nową grupę i usuń bieżące grupy w tej samej operacji.

    Uwaga

    Nie można zapisać aktualizacji zasad metod uwierzytelniania, jeśli dotyczy wielu grup, a rozmiar zasad przekracza 20 KB. Podczas gdy pracujemy nad zwiększeniem limitu wielkości polis, połącz grupy docelowe w jak największym stopniu.

Następne kroki