Omówienie połączonej rejestracji informacji zabezpieczających dla firmy Microsoft Entra
Przed połączeniem rejestracji użytkownicy zarejestrowali metody uwierzytelniania dla uwierzytelniania wieloskładnikowego firmy Microsoft i samoobsługowego resetowania hasła (SSPR) oddzielnie. Ludzie byli zdezorientowani, że podobne metody były używane do uwierzytelniania wieloskładnikowego i samoobsługowego resetowania hasła, ale musieli zarejestrować się w obu funkcjach. Teraz w połączeniu rejestracji użytkownicy mogą rejestrować się raz i uzyskiwać korzyści zarówno z uwierzytelniania wieloskładnikowego, jak i samoobsługowego resetowania hasła. Zalecamy to wideo dotyczące włączania i konfigurowania samoobsługowego resetowania hasła w identyfikatorze Entra firmy Microsoft.
Przed włączeniem nowego środowiska zapoznaj się z dokumentacją skoncentrowaną na administratorach i dokumentacją skoncentrowaną na użytkownikach, aby upewnić się, że rozumiesz funkcjonalność i wpływ tej funkcji. Na podstawie dokumentacji użytkownika przygotuj użytkowników do nowego środowiska i pomóż zapewnić pomyślne wdrożenie.
Rejestracja połączona została wdrożona dla wszystkich klientów na platformie Azure i na platformie Azure dla instytucji rządowych USA. Kontrolka portalu, która umożliwia przejście ze starszej wersji do połączonego środowiska rejestracji, zostanie usunięta po przeprowadzeniu migracji dzierżawy do połączonej rejestracji.
Strony Moje konto są zlokalizowane na podstawie ustawień językowych komputera, który uzyskuje dostęp do strony. Firma Microsoft przechowuje najnowszy język używany w pamięci podręcznej przeglądarki, dlatego kolejne próby uzyskania dostępu do stron będą nadal renderowane w ostatnim języku. W przypadku wyczyszczenia pamięci podręcznej strony są ponownie renderowane.
Jeśli chcesz wymusić określony język, możesz dodać ?lng=<language>
go na końcu adresu URL, gdzie <language>
to kod języka, który chcesz renderować.
Metody dostępne w połączonej rejestracji
Rejestracja połączona obsługuje metody i akcje uwierzytelniania w poniższej tabeli.
Method | Zarejestruj | Zmień | Delete |
---|---|---|---|
Microsoft Authenticator | Tak (maksymalnie 5) | Nie. | Tak |
Inna aplikacja wystawcy uwierzytelniającego | Tak (maksymalnie 5) | Nie. | Tak |
Token sprzętowy | Nie. | Nie. | Tak |
Phone | Tak (maksymalnie 2) | Tak | Tak |
Alternatywny telefon | Tak | Tak | Tak |
Telefon biurowy* | Tak | Tak | Tak |
Tak | Tak | Tak | |
Pytania zabezpieczające | Tak | Nie. | Tak |
Passwords | Nie. | Tak | Nie. |
Hasła aplikacji* | Tak | Nie. | Tak |
Klucz dostępu (FIDO2)* | Tak (maksymalnie 10) | Nie. | Tak |
Uwaga
Jeśli włączysz aplikację Microsoft Authenticator dla trybu uwierzytelniania bez hasła w zasadach Metod uwierzytelniania, użytkownicy muszą również włączyć logowanie bez hasła w aplikacji Authenticator.
Alternatywny telefon można zarejestrować tylko w trybie zarządzania w obszarzeInformacje zabezpieczające i wymaga włączenia połączeń głosowych w zasadach Metod uwierzytelniania.
Telefon office można zarejestrować tylko w trybie przerwania, jeśli właściwość telefonu służbowego użytkowników została ustawiona. Telefon office można dodać przez użytkowników w trybie zarządzania z informacji zabezpieczających bez tego wymagania.
Hasła aplikacji są dostępne tylko dla użytkowników, którzy zostali wymusieni dla uwierzytelniania wieloskładnikowego dla poszczególnych użytkowników. Hasła aplikacji nie są dostępne dla użytkowników, którzy są włączeni na potrzeby uwierzytelniania wieloskładnikowego firmy Microsoft za pomocą zasad dostępu warunkowego.
Można również aprowizować klucze dostępu (FIDO2) przy użyciu niestandardowej integracji klienta lub partnera z programem Microsoft Graph. Aby uzyskać więcej informacji, zobacz nasze interfejsy API.
Użytkownicy mogą ustawić jedną z następujących opcji jako domyślną metodę uwierzytelniania wieloskładnikowego.
- Microsoft Authenticator — powiadomienie wypychane lub bez hasła
- Token aplikacji Authenticator lub sprzętu — kod
- Rozmowa telefoniczna
- Wiadomość tekstowa
Uwaga
Wirtualne numery telefonów nie są obsługiwane w przypadku połączeń głosowych ani wiadomości SMS.
Aplikacje uwierzytelniania innych firm nie udostępniają powiadomień wypychanych. W miarę dodawania kolejnych metod uwierzytelniania do identyfikatora Entra firmy Microsoft te metody stają się dostępne w połączonej rejestracji.
Tryby rejestracji połączonej
Istnieją dwa tryby rejestracji połączonej:
- Tryb przerwania to środowisko przypominające kreatora, prezentowane użytkownikom podczas rejestrowania lub odświeżania informacji zabezpieczających podczas logowania.
- Tryb zarządzania jest częścią profilu użytkownika i umożliwia użytkownikom zarządzanie informacjami zabezpieczającymi.
W obu trybach użytkownicy, którzy wcześniej zarejestrowali metodę, która może być używana w przypadku uwierzytelniania wieloskładnikowego firmy Microsoft, muszą wykonać uwierzytelnianie wieloskładnikowe, zanim będą mogli uzyskać dostęp do informacji zabezpieczających. Użytkownicy muszą potwierdzić swoje informacje przed kontynuowaniem korzystania z poprzednio zarejestrowanych metod.
Tryb przerwania
Rejestracja połączona jest zgodna zarówno z uwierzytelnianiem wieloskładnikowym, jak i zasadami samoobsługowego resetowania hasła, jeśli obie są włączone dla dzierżawy. Te zasady określają, czy użytkownik jest przerywany na potrzeby rejestracji podczas logowania i które metody są dostępne do rejestracji. Jeśli włączono tylko zasady samoobsługowego resetowania hasła, użytkownicy będą mogli pominąć (na czas nieokreślony) przerwę w rejestracji i zakończyć ją w późniejszym czasie.
Poniżej przedstawiono przykładowe scenariusze, w których użytkownicy mogą być monitowani o zarejestrowanie lub odświeżenie informacji zabezpieczających:
- rejestracja uwierzytelniania wieloskładnikowego wymuszana za pośrednictwem Ochrona tożsamości Microsoft Entra: użytkownicy są proszeni o zarejestrowanie się podczas logowania. Rejestrują metody uwierzytelniania wieloskładnikowego i metody samoobsługowego resetowania hasła (jeśli użytkownik jest włączony na potrzeby samoobsługowego resetowania hasła).
- Rejestracja uwierzytelniania wieloskładnikowego wymuszana za pomocą uwierzytelniania wieloskładnikowego dla poszczególnych użytkowników: użytkownicy są proszeni o zarejestrowanie się podczas logowania. Rejestrują metody uwierzytelniania wieloskładnikowego i metody samoobsługowego resetowania hasła (jeśli użytkownik jest włączony na potrzeby samoobsługowego resetowania hasła).
- rejestracja uwierzytelniania wieloskładnikowego wymuszana za pomocą dostępu warunkowego lub innych zasad: użytkownicy są proszeni o zarejestrowanie się w przypadku korzystania z zasobu wymagającego uwierzytelniania wieloskładnikowego. Rejestrują metody uwierzytelniania wieloskładnikowego i metody samoobsługowego resetowania hasła (jeśli użytkownik jest włączony na potrzeby samoobsługowego resetowania hasła).
- Wymuszona rejestracja samoobsługowego resetowania hasła: użytkownicy są proszeni o zarejestrowanie się podczas logowania. Rejestrują tylko metody samoobsługowego resetowania hasła.
- Wymuszone odświeżanie samoobsługowego resetowania hasła: użytkownicy muszą przeglądać swoje informacje zabezpieczające w odstępach czasu ustawionym przez administratora. Użytkownicy są wyświetlani ich informacje i mogą potwierdzić bieżące informacje lub w razie potrzeby wprowadzić zmiany.
Gdy rejestracja jest wymuszana, użytkownicy są wyświetlani minimalną liczbę metod wymaganych do zapewnienia zgodności zarówno z uwierzytelnianiem wieloskładnikowym, jak i zasadami samoobsługowego resetowania hasła, od większości do najmniejszego bezpieczeństwa. Użytkownicy przechodzący przez rejestrację połączoną, w której zarówno uwierzytelnianie wieloskładnikowe, jak i rejestracja samoobsługowego resetowania hasła są wymuszane, a zasady samoobsługowego resetowania hasła wymagają dwóch metod najpierw do zarejestrowania metody uwierzytelniania wieloskładnikowego jako pierwszej metody i mogą wybrać inną metodę specyficzną dla uwierzytelniania wieloskładnikowego lub samoobsługowego resetowania hasła jako drugą zarejestrowaną metodę (taką jak poczta e-mail, pytania zabezpieczające itd.)
Rozważmy następujący scenariusz przykładowy:
- Użytkownik jest włączony dla samoobsługowego resetowania hasła. Zasady samoobsługowego resetowania hasła wymagają dwóch metod resetowania i włączenia aplikacji Microsoft Authenticator, poczty e-mail i telefonu.
- Gdy użytkownik zdecyduje się zarejestrować, wymagane są dwie metody:
- Użytkownik jest domyślnie wyświetlany przez aplikację Microsoft Authenticator i telefon.
- Użytkownik może wybrać rejestrację poczty e-mail zamiast aplikacji Authenticator lub telefonu.
Po skonfigurowaniu aplikacji Microsoft Authenticator użytkownik może kliknąć pozycję Chcę skonfigurować inną metodę rejestrowania innych metod uwierzytelniania. Lista dostępnych metod jest określana przez zasady metody uwierzytelniania dla dzierżawy.
W poniższym schemacie blokowym opisano, które metody są wyświetlane użytkownikowi po przerwaniu rejestracji podczas logowania:
Jeśli masz włączone uwierzytelnianie wieloskładnikowe i samoobsługowe resetowanie hasła, zalecamy wymuszanie rejestracji uwierzytelniania wieloskładnikowego.
Jeśli zasady samoobsługowego resetowania hasła wymagają od użytkowników regularnego przeglądania informacji zabezpieczających, użytkownicy są przerywani podczas logowania i pokazywani są wszystkie zarejestrowane metody. Mogą potwierdzić bieżące informacje, jeśli są aktualne, lub mogą wprowadzać zmiany, jeśli zajdzie taka potrzeba. Aby uzyskać dostęp do tej strony, użytkownicy muszą przeprowadzić uwierzytelnianie wieloskładnikowe.
Tryb zarządzania
Użytkownicy mogą przejść do pozycji Informacje zabezpieczające lub wybrać pozycję Informacje zabezpieczające w obszarze Moje konto. Z tego miejsca użytkownicy mogą dodawać metody, usuwać lub zmieniać istniejące metody, zmieniać metodę domyślną i nie tylko.
Kontrolki sesji dla rejestracji połączonej
Domyślnie rejestracja połączona wymusza wszystkich użytkowników obsługujących uwierzytelnianie wieloskładnikowe w celu silnego uwierzytelniania przed zarejestrowaniem informacji zabezpieczających lub zarządzaniem nimi. Jeśli użytkownik jest obecnie zalogowany i wcześniej zakończył uwierzytelnianie wieloskładnikowe w ramach prawidłowej sesji, domyślnie nie będzie wymagane żadne dodatkowe uwierzytelnianie wieloskładnikowe, chyba że użytkownik próbuje dodać lub zmodyfikować metodę klucza dostępu (FIDO2). Dodanie lub zmodyfikowanie metody klucza dostępu (FIDO2) wymaga od użytkowników silnego uwierzytelnienia w ciągu ostatnich 5 minut. Jeśli uwierzytelnianie wieloskładnikowe nie zostało ukończone w ciągu ostatnich 5 minut, użytkownik zostanie poproszony o zalogowanie się i ukończenie nowego uwierzytelniania wieloskładnikowego. Organizacje mogą modyfikować wymagania dotyczące uwierzytelniania, definiując zasady dostępu warunkowego na potrzeby zabezpieczania rejestracji informacji zabezpieczających.
Połączone sesje rejestracji są ważne tylko przez 15 minut. Jeśli rejestracja użytkowników lub akcje zarządzania trwają dłużej niż w tym okresie, sesja wygaśnie, a użytkownik zostanie poproszony o ponowne zalogowanie się, aby kontynuować.
Scenariusze użycia kluczy
Zmienianie hasła w usłudze MySignIns
Użytkownik przechodzi do pozycji Informacje zabezpieczające. Po zalogowaniu użytkownik może zmienić swoje hasło. Jeśli użytkownik uwierzytelnia się przy użyciu hasła i metody uwierzytelniania wieloskładnikowego, będzie mógł użyć ulepszonego środowiska użytkownika do zmiany hasła bez wprowadzania istniejącego hasła. Po zakończeniu użytkownik ma nowe hasło zaktualizowane na stronie Informacje o zabezpieczeniach. Metody uwierzytelniania, takie jak dostęp tymczasowy (TAP), nie są obsługiwane w przypadku zmiany hasła, chyba że użytkownik zna istniejące hasło.
Uwaga
Jeśli masz linki wskazujące starsze środowisko zmiany hasła, zaktualizuj je do następującego linku do przekazywania, aby przekierować użytkowników do nowego środowiska Zmiany hasła logowania: https://go.microsoft.com/fwlink/?linkid=2224198.
Ochrona rejestracji informacji zabezpieczających przy użyciu dostępu warunkowego
Aby zabezpieczyć, kiedy i jak użytkownicy rejestrują się na potrzeby uwierzytelniania wieloskładnikowego firmy Microsoft i samoobsługowego resetowania hasła, możesz użyć akcji użytkownika w zasadach dostępu warunkowego. Ta funkcja może być włączona w organizacjach, które chcą, aby użytkownicy rejestrowali się w celu uwierzytelniania wieloskładnikowego firmy Microsoft i samoobsługowego resetowania hasła z centralnej lokalizacji, takiej jak zaufana lokalizacja sieciowa podczas dołączania do działu kadr. Dowiedz się więcej na temat konfigurowania typowych zasad dostępu warunkowego na potrzeby zabezpieczania rejestracji informacji zabezpieczających.
Konfigurowanie informacji zabezpieczających podczas logowania
Administrator wymusił rejestrację.
Użytkownik nie skonfigurował wszystkich wymaganych informacji zabezpieczających i przechodzi do centrum administracyjnego firmy Microsoft Entra. Gdy użytkownik wprowadzi nazwę użytkownika i hasło, zostanie wyświetlony monit o skonfigurowanie informacji zabezpieczających. Następnie użytkownik wykonuje kroki przedstawione w kreatorze, aby skonfigurować wymagane informacje zabezpieczające. Jeśli zezwalają na to ustawienia, użytkownik może wybrać opcję konfigurowania metod innych niż pokazane domyślnie. Po zakończeniu pracy kreatora użytkownicy przeglądają skonfigurowane metody i ich domyślną metodę uwierzytelniania wieloskładnikowego. Aby ukończyć proces instalacji, użytkownik potwierdza informacje i kontynuuje centrum administracyjne firmy Microsoft Entra.
Konfigurowanie informacji zabezpieczających z poziomu mojego konta
Administrator nie wymusił rejestracji.
Użytkownik, który jeszcze nie skonfigurował wszystkich wymaganych informacji zabezpieczających, przechodzi do .https://myaccount.microsoft.com Użytkownik wybiera pozycję Informacje zabezpieczające w okienku po lewej stronie. W tym miejscu użytkownik decyduje się dodać metodę, wybiera dowolną z dostępnych metod i wykonuje kroki konfigurowania tej metody. Po zakończeniu użytkownik zobaczy metodę skonfigurowaną na stronie Informacje o zabezpieczeniach.
Konfigurowanie innych metod po częściowej rejestracji
Jeśli użytkownik ma częściowo satysfakcjonującą rejestrację uwierzytelniania wieloskładnikowego lub samoobsługowego resetowania hasła z powodu istniejących rejestracji metod uwierzytelniania wykonywanych przez użytkownika lub administratora, użytkownicy będą proszeni tylko o zarejestrowanie dodatkowych informacji dozwolonych przez ustawienia zasad Metod uwierzytelniania, gdy jest wymagana rejestracja. Jeśli użytkownik może wybrać i zarejestrować więcej niż jedną inną metodę uwierzytelniania, zostanie wyświetlona opcja w środowisku rejestracji zatytułowanym Chcę skonfigurować inną metodę i zezwolić użytkownikowi na skonfigurowanie żądanej metody uwierzytelniania.
Usuwanie informacji zabezpieczających z mojego konta
Użytkownik, który wcześniej skonfigurował co najmniej jedną metodę, przechodzi do pozycji Informacje zabezpieczające. Użytkownik decyduje się usunąć jedną z wcześniej zarejestrowanych metod. Po zakończeniu użytkownik nie widzi już tej metody na stronie Informacje o zabezpieczeniach.
Zmienianie metody domyślnej z obszaru Moje konto
Użytkownik, który wcześniej skonfigurował co najmniej jedną metodę, która może być używana do uwierzytelniania wieloskładnikowego, przechodzi do pozycji Informacje zabezpieczające. Użytkownik zmienia bieżącą metodę domyślną na inną metodę domyślną. Po zakończeniu użytkownik zobaczy nową metodę domyślną na stronie Informacje o zabezpieczeniach.
Pozycja Przełącz katalog
Tożsamość zewnętrzna, taka jak użytkownik B2B, może wymagać przełączenia katalogu w celu zmiany informacji o rejestracji zabezpieczeń dla dzierżawy innej firmy. Ponadto użytkownicy, którzy uzyskują dostęp do dzierżawy zasobów, mogą być zdezorientowani, gdy zmieniają ustawienia w dzierżawie głównej, ale nie widzą zmian odzwierciedlonych w dzierżawie zasobów.
Na przykład użytkownik ustawia powiadomienie wypychane aplikacji Microsoft Authenticator jako uwierzytelnianie podstawowe w celu zalogowania się do dzierżawy domowej, a także ma wiadomość SMS/tekst jako inną opcję. Ten użytkownik jest również skonfigurowany z opcją SMS/Text w dzierżawie zasobów. Jeśli ten użytkownik usunie wiadomość SMS/tekst jako jedną z opcji uwierzytelniania w swojej dzierżawie macierzystej, pomyli się, gdy dostęp do dzierżawy zasobów poprosi ich o odpowiedź na wiadomość SMS/sms/sms.
Aby przełączyć katalog w centrum administracyjnym firmy Microsoft Entra, kliknij nazwę konta użytkownika w prawym górnym rogu i kliknij pozycję Przełącz katalog.
Możesz też określić dzierżawę według adresu URL, aby uzyskać dostęp do informacji zabezpieczających.
https://mysignins.microsoft.com/security-info?tenant=<Tenant Name>
https://mysignins.microsoft.com/security-info/?tenantId=<Tenant ID>
Uwaga
Klienci próbujący zarejestrować informacje zabezpieczające lub zarządzać nimi za pośrednictwem połączonej rejestracji lub strony Moje logowania powinni używać nowoczesnej przeglądarki, takiej jak Microsoft Edge.
Program IE11 nie jest oficjalnie obsługiwany do tworzenia widoku internetowego ani przeglądarki w aplikacjach, ponieważ nie będzie działać zgodnie z oczekiwaniami we wszystkich scenariuszach.
Aplikacje, które nie zostały zaktualizowane i nadal korzystają z biblioteki uwierzytelniania usługi Azure AD (ADAL), która korzysta ze starszych widoków internetowych, mogą wracać do starszych wersji programu Internet Explorer. W tych scenariuszach użytkownicy będą doświadczać pustej strony po przekierowaniu do strony Moje logowania. Aby rozwiązać ten problem, przejdź do nowoczesnej przeglądarki.
Następne kroki
Aby rozpocząć, zobacz samouczki umożliwiające samoobsługowe resetowanie haseł i włączanie uwierzytelniania wieloskładnikowego firmy Microsoft.
Dowiedz się, jak włączyć rejestrację połączoną w dzierżawie lub wymusić na użytkownikach ponowne rejestrowanie metod uwierzytelniania.
Możesz również przejrzeć dostępne metody uwierzytelniania wieloskładnikowego firmy Microsoft i samoobsługowego resetowania hasła.