Udostępnij za pośrednictwem

Omówienie połączonej rejestracji danych zabezpieczeń Microsoft Entra

  • Artykuł

Przed połączeniem rejestracji użytkownicy rejestrowali metody uwierzytelniania dla wieloskładnikowego uwierzytelniania Microsoft Entra oraz do samoobsługowego resetowania hasła (SSPR) oddzielnie. Ludzie byli zdezorientowani, że podobne metody były używane do uwierzytelniania wieloskładnikowego i samoobsługowego resetowania hasła, ale musieli zarejestrować się do obu funkcji. Teraz dzięki wspólnej rejestracji użytkownicy mogą zarejestrować się raz i uzyskiwać korzyści zarówno z uwierzytelniania wieloskładnikowego, jak i samoobsługowego resetowania hasła. Zalecamy obejrzenie tego wideo dotyczącego włączania i konfigurowania samoobsługowego resetowania hasła (SSPR) w Microsoft Entra ID.

Moje konto z wyświetlonymi zarejestrowanymi informacjami zabezpieczającymi dla użytkownika

Przed włączeniem nowego środowiska zapoznaj się z dokumentacją skoncentrowaną na administratorach i dokumentacją skoncentrowaną na użytkownikach, aby upewnić się, że rozumiesz funkcjonalność i wpływ tej funkcji. Na podstawie dokumentacji użytkownika przygotuj użytkowników do nowego środowiska i pomóż zapewnić pomyślne wdrożenie.

Rejestracja połączona jest wdrażana dla wszystkich klientów na platformie Azure i na platformie Azure dla instytucji rządowych USA. Kontrolka portalu, która umożliwia przejście ze starszej wersji do połączonego środowiska rejestracji, zostanie usunięta po przeprowadzeniu migracji dzierżawy do połączonej rejestracji.

Strony Moje konto są zlokalizowane na podstawie ustawień językowych komputera, który uzyskuje dostęp do strony. Firma Microsoft przechowuje najnowszy język używany w pamięci podręcznej przeglądarki, dlatego kolejne próby uzyskania dostępu do stron będą nadal renderowane w ostatnim języku. W przypadku wyczyszczenia pamięci podręcznej strony są ponownie renderowane.

Jeśli chcesz wymusić określony język, możesz dodać ?lng=<language> go na końcu adresu URL, gdzie <language> to kod języka, który chcesz renderować.

Skonfiguruj SSPR lub inne metody weryfikacji bezpieczeństwa

Metody dostępne w połączonej rejestracji

Rejestracja połączona obsługuje metody i akcje uwierzytelniania w poniższej tabeli.

Metoda Zarejestruj Zmień Usuń
Microsoft Authenticator Tak (maksymalnie 5) Nie. Tak
Inna aplikacja uwierzytelniająca Tak (maksymalnie 5) Nie. Tak
Token sprzętowy Nie. Nie. Tak
Telefon Tak (maksymalnie 2) Tak Tak
Alternatywny telefon Tak Tak Tak
Telefon biurowy* Tak Tak Tak
E-mail Tak Tak Tak
Pytania zabezpieczające Tak Nie. Tak
Passwords Nie. Tak Nie.
Hasła aplikacji* Tak Nie. Tak
Klucz dostępu (FIDO2)* Tak (maksymalnie 10) Nie. Tak

Uwaga

Jeśli włączysz aplikację Microsoft Authenticator dla trybu uwierzytelniania bez hasła w zasadach Metod uwierzytelniania, użytkownicy muszą również włączyć logowanie bez hasła w aplikacji Authenticator.

Alternatywny telefon można zarejestrować tylko w trybie zarządzania na Informacje Ochronne i wymaga włączenia połączeń głosowych w polityce metod uwierzytelniania.

Telefon biurowy można zarejestrować tylko w trybie przerwania , jeśli właściwość telefonu służbowego użytkownika jest ustawiona. Telefon biurowy można dodać przez użytkowników w trybie zarządzania z informacji o zabezpieczeniach bez tego wymagania.

Hasła aplikacji są dostępne tylko dla użytkowników, dla których wymusza się uwierzytelnianie wieloskładnikowe na użytkownika. Hasła aplikacji nie są dostępne dla użytkowników, którzy są objęci uwierzytelnianiem wieloskładnikowym firmy Microsoft za pomocą zasad dostępu warunkowego.

Można również aprowizować klucze dostępu (FIDO2) przy użyciu niestandardowej integracji klienta lub partnera z programem Microsoft Graph. Aby uzyskać więcej informacji, zobacz nasze API.

Użytkownicy mogą ustawić jedną z następujących opcji jako domyślną metodę uwierzytelniania wieloskładnikowego.

  • Microsoft Authenticator — powiadomienie push lub uwierzytelnianie bez użycia hasła
  • Token aplikacji Authenticator lub sprzętu — kod
  • Rozmowa telefoniczna
  • Wiadomość tekstowa

Uwaga

Wirtualne numery telefonów nie są obsługiwane w przypadku połączeń głosowych ani wiadomości SMS.

Aplikacje uwierzytelniające innych firm nie udostępniają powiadomień push. W miarę dodawania kolejnych metod uwierzytelniania do identyfikatora Entra firmy Microsoft te metody stają się dostępne w połączonej rejestracji.

Tryby rejestracji połączonej

Istnieją dwa tryby rejestracji połączonej:

  • Tryb przerwania to środowisko przypominające kreatora, które przedstawiane jest użytkownikom podczas rejestrowania lub odświeżania ich danych zabezpieczających podczas logowania.
  • Tryb zarządzania jest częścią profilu użytkownika i umożliwia użytkownikom zarządzanie informacjami zabezpieczającymi.

W obu trybach użytkownicy, którzy wcześniej zarejestrowali metodę, która może być używana w przypadku uwierzytelniania wieloskładnikowego firmy Microsoft, muszą wykonać uwierzytelnianie wieloskładnikowe, zanim będą mogli uzyskać dostęp do informacji zabezpieczających. Użytkownicy muszą potwierdzić swoje informacje przed kontynuowaniem korzystania z poprzednio zarejestrowanych metod.

Tryb przerwania

Rejestracja połączona jest zgodna zarówno z uwierzytelnianiem wieloskładnikowym, jak i zasadami samodzielnego resetowania hasła, jeśli obie są włączone dla dzierżawcy. Te zasady określają, czy następuje przerywanie użytkownika w celu rejestracji podczas logowania oraz które metody są dostępne do rejestracji. Jeśli włączono tylko zasady samoobsługowego resetowania hasła, użytkownicy będą mogli pominąć (na czas nieokreślony) przerwę w rejestracji i zakończyć ją w późniejszym czasie.

Poniżej przedstawiono przykładowe scenariusze, w których użytkownicy mogą być monitowani o zarejestrowanie lub odświeżenie informacji zabezpieczających:

  • rejestracja uwierzytelniania wieloskładnikowego wymuszana za pośrednictwem ochrony tożsamości Microsoft Entra: użytkownicy są proszeni o rejestrację w trakcie logowania. Rejestrują metody uwierzytelniania wieloskładnikowego i metody samoobsługowego resetowania hasła (jeśli użytkownik ma włączone samoobsługowe resetowanie hasła).
  • Rejestracja uwierzytelniania wieloskładnikowego wymuszana za pomocą uwierzytelniania wieloskładnikowego dla poszczególnych użytkowników: użytkownicy są proszeni o zarejestrowanie się podczas logowania. Rejestrują metody uwierzytelniania wieloskładnikowego i metody samoobsługowego resetowania hasła (jeśli użytkownik ma włączone samoobsługowe resetowanie hasła).
  • rejestracja uwierzytelniania wieloskładnikowego wymuszana za pomocą dostępu warunkowego lub innych zasad: użytkownicy są proszeni o zarejestrowanie się w przypadku korzystania z zasobu wymagającego uwierzytelniania wieloskładnikowego. Rejestrują metody uwierzytelniania wieloskładnikowego i metody samoobsługowego resetowania hasła (jeśli użytkownik ma włączone samoobsługowe resetowanie hasła).
  • Wymuszona rejestracja SSPR: użytkownicy są proszeni o rejestrowanie podczas logowania. Rejestrują tylko metody SSPR.
  • Wymuszone odświeżanie SSPR: użytkownicy muszą przeglądać swoje informacje zabezpieczające w odstępach czasu ustalonych przez administratora. Użytkownikom są im wyświetlane ich informacje i mogą potwierdzić bieżące informacje lub w razie potrzeby wprowadzić zmiany.

Gdy rejestracja jest wymuszana, użytkownicy są wyświetlani minimalną liczbę metod wymaganych do zapewnienia zgodności zarówno z uwierzytelnianiem wieloskładnikowym, jak i zasadami samoobsługowego resetowania hasła, od większości do najmniejszego bezpieczeństwa. Użytkownicy przechodzący przez rejestrację połączoną, w której zarówno uwierzytelnianie wieloskładnikowe (MFA), jak i rejestracja samoobsługowego resetowania hasła (SSPR) są wymuszane, a zasady SSPR wymagają dwóch metod, najpierw muszą zarejestrować metodę MFA jako pierwszą metodę i mogą wybrać inną metodę MFA lub specyficzną dla SSPR jako drugą zarejestrowaną metodę (jak e-mail, pytania bezpieczeństwa itp.)

Rozważmy następujący scenariusz przykładowy:

  • Użytkownik ma dostęp do samoobsługowego resetowania hasła. Zasady samoobsługowego resetowania hasła wymagają dwóch metod resetowania i są aktywne dla aplikacji Microsoft Authenticator, poczty e-mail oraz telefonu.
  • Gdy użytkownik zdecyduje się zarejestrować, wymagane są dwie metody:
    • Domyślnie użytkownikowi pokazywana jest aplikacja Microsoft Authenticator oraz telefon.
    • Użytkownik może wybrać rejestrację poczty e-mail zamiast aplikacji Authenticator lub telefonu.

Podczas konfigurowania aplikacji Microsoft Authenticator użytkownik może wybrać chcę skonfigurować inną metodę w celu zarejestrowania innych metod uwierzytelniania. Lista dostępnych metod jest określana przez politykę metod uwierzytelniania dla dzierżawcy. 

Zrzut ekranu przedstawiający sposób wybierania innej metody podczas konfigurowania aplikacji Microsoft Authenticator.

W poniższym schemacie blokowym opisano, które metody są wyświetlane użytkownikowi po przerwaniu rejestracji podczas logowania:

Schemat blokowy połączonych informacji zabezpieczających

Jeśli masz włączone zarówno uwierzytelnianie wieloskładnikowe, jak i samoobsługowe resetowanie hasła (SSPR), zalecamy wymuszenie rejestracji uwierzytelniania wieloskładnikowego.

Jeśli zasady samoobsługowego resetowania hasła wymagają od użytkowników regularnego przeglądania informacji zabezpieczających, użytkownicy są przerywani podczas logowania i pokazywani są wszystkie zarejestrowane metody. Mogą potwierdzić bieżące informacje, jeśli są aktualne, lub mogą wprowadzać zmiany, jeśli zajdzie taka potrzeba. Aby uzyskać dostęp do tej strony, użytkownicy muszą przeprowadzić uwierzytelnianie wieloskładnikowe.

Tryb zarządzania

Użytkownicy mogą przejść do pozycji Informacje zabezpieczające lub wybrać pozycję Informacje zabezpieczające w obszarze Moje konto. Z tego miejsca użytkownicy mogą dodawać metody, usuwać lub zmieniać istniejące metody, zmieniać metodę domyślną i nie tylko.

Kontrolki sesji dla rejestracji połączonej

Domyślnie rejestracja połączona wymusza na wszystkich użytkownikach mających możliwość uwierzytelniania multifaktorycznego, aby przechodzili silne uwierzytelnienie przed zarejestrowaniem lub zarządzaniem swoimi informacjami o zabezpieczeniach. Jeśli użytkownik jest obecnie zalogowany i wcześniej ukończył uwierzytelnianie wieloskładnikowe w ramach prawidłowej sesji, domyślnie nie jest wymagane żadne dodatkowe uwierzytelnianie wieloskładnikowe, chyba że użytkownik próbuje dodać lub zmodyfikować metodę klucza dostępu (metoda FIDO2). Dodanie lub zmodyfikowanie metody klucza dostępu (FIDO2) wymaga od użytkowników silnego uwierzytelnienia w ciągu ostatnich 5 minut. Jeśli uwierzytelnianie wieloskładnikowe nie zostało ukończone w ciągu ostatnich 5 minut, użytkownik zostanie poproszony o zalogowanie się i ukończenie nowego uwierzytelniania wieloskładnikowego. Organizacje mogą modyfikować wymagania dotyczące uwierzytelniania, definiując zasady dostępu warunkowego na potrzeby zabezpieczania rejestracji informacji zabezpieczających.

Połączone sesje rejestracji są ważne tylko przez 15 minut. Jeśli akcje rejestracji lub zarządzania użytkownika trwają dłużej niż w tym okresie, sesja wygaśnie, a użytkownik zostanie poproszony o ponowne zalogowanie się, aby kontynuować.

Kluczowe scenariusze użycia

Zmienianie hasła w usłudze MySignIns

Użytkownik nawiguję do Informacje o zabezpieczeniach. Po zalogowaniu użytkownik może zmienić swoje hasło. Jeśli użytkownik uwierzytelnia się przy użyciu hasła i metody uwierzytelniania wieloskładnikowego, może użyć ulepszonego środowiska użytkownika, aby zmienić hasło bez wprowadzania istniejącego hasła. Po zakończeniu użytkownik ma nowe hasło zaktualizowane na stronie Informacje o zabezpieczeniach. Metody uwierzytelniania, takie jak dostęp tymczasowy (TAP), nie są obsługiwane w przypadku zmiany hasła, chyba że użytkownik zna istniejące hasło.

Uwaga

Jeśli masz linki wskazujące starsze środowisko zmiany hasła, zaktualizuj je do następującego linku przekierowującego, aby skierować użytkowników do nowego środowiska Zmiany Hasła w Moich Logowaniach: https://go.microsoft.com/fwlink/?linkid=2224198.

Ochrona rejestracji informacji zabezpieczających przy użyciu dostępu warunkowego

Aby zabezpieczyć, kiedy i jak użytkownicy rejestrują się na potrzeby uwierzytelniania wieloskładnikowego firmy Microsoft i samoobsługowego resetowania hasła, możesz użyć akcji użytkownika w zasadach dostępu warunkowego. Ta funkcja może być włączona w organizacjach, które chcą, aby użytkownicy rejestrowali się do uwierzytelniania wieloskładnikowego Microsoft Entra i samodzielnego resetowania haseł z centralnej lokalizacji, takiej jak zaufana lokalizacja sieciowa, podczas wprowadzania do działu kadr. Dowiedz się więcej na temat konfigurowania typowych zasad dostępu warunkowego na potrzeby zabezpieczania rejestracji informacji zabezpieczających.

Konfigurowanie informacji zabezpieczających podczas logowania

Administrator wymusił rejestrację.

Użytkownik nie skonfigurował wszystkich wymaganych informacji zabezpieczających i przechodzi do centrum administracyjnego firmy Microsoft Entra. Gdy użytkownik wprowadzi nazwę użytkownika i hasło, zostanie wyświetlony monit o skonfigurowanie informacji zabezpieczających. Następnie użytkownik przechodzi przez kroki przedstawione w kreatorze, aby skonfigurować wymagane dane dotyczące bezpieczeństwa. Jeśli zezwalają na to ustawienia, użytkownik może wybrać opcję konfigurowania metod innych niż pokazane domyślnie. Po zakończeniu korzystania z kreatora, użytkownicy przeglądają skonfigurowane metody i ich domyślną metodę uwierzytelniania wieloskładnikowego. Aby ukończyć proces konfiguracji, użytkownik potwierdza podane informacje i przechodzi do centrum administracyjnego Microsoft Entra.

Konfigurowanie informacji zabezpieczających z poziomu mojego konta

Administrator nie wymusił rejestracji.

Użytkownik, który jeszcze nie skonfigurował wszystkich wymaganych informacji zabezpieczających, przechodzi do .https://myaccount.microsoft.com Użytkownik wybiera pozycję Informacje zabezpieczające w okienku po lewej stronie. W tym miejscu użytkownik decyduje się dodać metodę, wybiera dowolną z dostępnych metod i wykonuje kroki konfigurowania tej metody. Po zakończeniu użytkownik zobaczy metodę skonfigurowaną na stronie Informacje o zabezpieczeniach.

Konfigurowanie innych metod po częściowej rejestracji

Jeśli użytkownik częściowo spełnił wymogi rejestracji w procesie uwierzytelniania wieloskładnikowego (MFA) lub samoobsługowego resetowania hasła (SSPR) dzięki istniejącym metodom uwierzytelniania zarejestrowanym przez użytkownika lub administratora, użytkownik jest proszony jedynie o zarejestrowanie dodatkowych informacji dozwolonych przez ustawienia zasad metod uwierzytelniania, gdy rejestracja jest wymagana. Jeśli użytkownik może wybrać i zarejestrować więcej niż jedną inną metodę uwierzytelniania, zostanie wyświetlona opcja w środowisku rejestracji zatytułowanym chcę skonfigurować inną metodę i umożliwia użytkownikowi skonfigurowanie żądanej metody uwierzytelniania.

Zrzut ekranu przedstawiający sposób konfigurowania innej metody.

Usuwanie informacji zabezpieczających z mojego konta

Użytkownik, który wcześniej skonfigurował co najmniej jedną metodę, przechodzi do pozycji Informacje zabezpieczające. Użytkownik decyduje się usunąć jedną z wcześniej zarejestrowanych metod. Po zakończeniu użytkownik nie widzi już tej metody na stronie Informacje o zabezpieczeniach.

Zmienianie metody domyślnej z obszaru Moje konto

Użytkownik, który wcześniej skonfigurował co najmniej jedną metodę, która może być używana do uwierzytelniania wieloskładnikowego, przechodzi do pozycji Informacje zabezpieczające. Użytkownik zmienia bieżącą metodę domyślną na inną metodę domyślną. Po zakończeniu użytkownik zobaczy nową metodę domyślną na stronie Informacje o zabezpieczeniach.

Przełącz katalog

Tożsamość zewnętrzna, taka jak użytkownik B2B, może wymagać przełączenia katalogu w celu aktualizacji danych rejestracji zabezpieczeń dla dzierżawcy będącego stroną trzecią. Ponadto użytkownicy, którzy uzyskują dostęp do dzierżawy zasobów, mogą być zdezorientowani, gdy zmieniają ustawienia w dzierżawie głównej, ale nie znajdują odzwierciedlenia tych zmian w dzierżawie zasobów.

Na przykład użytkownik ustawia powiadomienie push aplikacji Microsoft Authenticator jako główną metodę uwierzytelniania w celu zalogowania się do macierzystego dzierżawcy, a także ma opcję uwierzytelniania za pomocą SMS jako alternatywę. Ten użytkownik jest również skonfigurowany z opcją SMS/tekst w ramach dzierżawy zasobów. Jeśli ten użytkownik usunie SMS jako jedną z opcji uwierzytelniania w swojej dzierżawie macierzystej, są zdezorientowani, gdy dzierżawa zasobów prosi ich o odpowiedź na wiadomość SMS.

Aby przełączyć katalog w centrum administracyjnym firmy Microsoft Entra, wybierz nazwę konta użytkownika w prawym górnym rogu i wybierz pozycję Przełącz katalog.

Użytkownicy zewnętrzni mogą przełączać katalog.

Możesz też określić klienta według adresu URL, aby uzyskać dostęp do informacji dotyczących zabezpieczeń.

https://mysignins.microsoft.com/security-info?tenant=<Tenant Name>

https://mysignins.microsoft.com/security-info/?tenantId=<Tenant ID>

Uwaga

Klienci próbujący zarejestrować informacje zabezpieczające lub zarządzać nimi za pośrednictwem połączonej rejestracji lub strony Moje logowania powinni używać nowoczesnej przeglądarki, takiej jak Microsoft Edge.

Program IE11 nie jest oficjalnie obsługiwany do tworzenia widoku internetowego ani przeglądarki w aplikacjach, ponieważ nie działa zgodnie z oczekiwaniami we wszystkich scenariuszach.

Aplikacje, które nie są aktualizowane i nadal korzystają z biblioteki uwierzytelniania usługi Azure AD (ADAL), która korzysta ze starszych widoków internetowych, mogą wracać do starszych wersji programu Internet Explorer. W tych scenariuszach użytkownicy doświadczają pustej strony po przekierowaniu do strony Moje logowania. Aby rozwiązać ten problem, przejdź do nowoczesnej przeglądarki.

Następne kroki

Aby rozpocząć, zobacz samouczki dotyczące włączania samoobsługowego resetowania haseł oraz włączania wieloskładnikowego uwierzytelniania firmy Microsoft.

Dowiedz się, jak włączyć rejestrację połączoną w swojej dzierżawie lub wymusić na użytkownikach ponowną rejestrację metod uwierzytelniania.

Możesz również przejrzeć dostępne metody dotyczące uwierzytelniania wieloskładnikowego Microsoft Entra i samoobsługowego resetowania hasła (SSPR).