Konfigurowanie i włączanie użytkowników na potrzeby uwierzytelniania opartego na wiadomościACH SMS przy użyciu identyfikatora Entra firmy Microsoft

Aby uprościć i zabezpieczyć logowanie do aplikacji i usług, identyfikator Entra firmy Microsoft udostępnia wiele opcji uwierzytelniania. Uwierzytelnianie oparte na wiadomościACH SMS umożliwia użytkownikom logowanie się bez podawania, a nawet znajomości ich nazwy użytkownika i hasła. Po utworzeniu konta przez administratora tożsamości mogą oni wprowadzić swój numer telefonu w wierszu polecenia logowania. Otrzymują kod uwierzytelniania SMS, który może podać w celu ukończenia logowania. Ta metoda uwierzytelniania upraszcza dostęp do aplikacji i usług, zwłaszcza dla pracowników pierwszej linii.

W tym artykule pokazano, jak włączyć uwierzytelnianie oparte na wiadomościACH SMS dla wybranych użytkowników lub grup w usłudze Microsoft Entra ID. Aby uzyskać listę aplikacji, które obsługują logowanie oparte na wiadomościACH SMS, zobacz Obsługa aplikacji na potrzeby uwierzytelniania opartego na wiadomościACH SMS.

Zanim rozpoczniesz

Do ukończenia tego artykułu potrzebne są następujące zasoby i uprawnienia:

• Aktywna subskrypcja platformy Azure.
  • Jeśli nie masz subskrypcji platformy Azure, utwórz konto.
• Dziedzina Microsoft Entra powiązana z Twoją subskrypcją.
  • W razie potrzeby utwórz dzierżawę Microsoft Entra lub skojarz subskrypcję Azure ze swoim kontem.
• Aby włączyć uwierzytelnianie oparte na wiadomościach SMS, musisz mieć co najmniej rolę Administratora zasad uwierzytelniania w dzierżawie Microsoft Entra.
• Każdy użytkownik, który ma włączone zasady metody uwierzytelniania SMS, musi być licencjonowany, nawet jeśli z niej nie korzysta. Każdy włączony użytkownik musi mieć jedną z następujących licencji microsoft Entra ID, EMS, Microsoft 365:
  • Microsoft 365 F1 lub F3
  • Microsoft Entra ID P1 lub P2
  • Enterprise Mobility + Security (EMS) E3 lub E5 lub Microsoft 365 E3 lub E5
  • Office 365 F3

Znane problemy

Poniżej przedstawiono niektóre znane problemy:

• Uwierzytelnianie oparte na wiadomościACH SMS nie jest obecnie zgodne z uwierzytelnianiem wieloskładnikowym firmy Microsoft.
• Z wyjątkiem Teams, uwierzytelnianie oparte na SMS-ach nie jest zgodne z natywnymi aplikacjami pakietu Office.
• Uwierzytelnianie oparte na wiadomościACH SMS nie jest obsługiwane w przypadku kont B2B.
• Użytkownicy federacyjni nie będą się uwierzytelniać w tenancie macierzystym. Uwierzytelniają się tylko w chmurze.
• Jeśli domyślną metodą logowania użytkownika jest tekst lub połączenie z numerem telefonu, kod SMS lub połączenie głosowe jest wysyłane automatycznie podczas uwierzytelniania wieloskładnikowego. Od czerwca 2021 r. niektóre aplikacje będą najpierw prosić użytkowników o wybranie opcji Tekst lub Wywołanie . Ta opcja uniemożliwia wysyłanie zbyt wielu kodów zabezpieczeń dla różnych aplikacji. Jeśli domyślną metodą logowania jest aplikacja Microsoft Authenticator (zdecydowanie zalecamy), powiadomienie aplikacji jest wysyłane automatycznie.
• Synchronizacja między dzierżawami nie obsługuje użytkowników z włączonym logowaniem za pomocą SMS.

Włączanie metody uwierzytelniania opartej na wiadomościACH SMS

Istnieją trzy główne kroki umożliwiające włączenie i użycie uwierzytelniania opartego na wiadomościach SMS w organizacji:

• Włącz politykę metody uwierzytelniania.
• Wybierz użytkowników lub grupy, które mogą używać metody uwierzytelniania opartej na wiadomościACH SMS.
• Przypisz numer telefonu dla każdego konta użytkownika.
  • Ten numer telefonu można przypisać w centrum administracyjnym firmy Microsoft Entra (pokazanym w tym artykule) oraz w obszarze Mój personel lub Moje konto.

Najpierw włączmy uwierzytelnianie oparte na wiadomościach SMS dla dzierżawy usługi Microsoft Entra.

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator zasad uwierzytelniania.

2. Przejdź do Ochrona>Metody uwierzytelniania>Zasady.

3. Z listy dostępnych metod uwierzytelniania wybierz pozycję SMS.

   

4. Wybierz pozycję Włącz i wybierz pozycję Użytkownicy docelowi. Możesz włączyć uwierzytelnianie oparte na wiadomościACH SMS dla wszystkich użytkowników lub Wybierz użytkowników i grupy.

   Uwaga

   Aby skonfigurować uwierzytelnianie oparte na wiadomościach SMS dla pierwszego składnika (czyli zezwalać użytkownikom na logowanie się przy użyciu tej metody), zaznacz pole wyboru Użyj do logowania. Pozostawienie tego niezaznaczonego powoduje udostępnienie uwierzytelniania opartego na wiadomościACH SMS tylko na potrzeby uwierzytelniania wieloskładnikowego i samoobsługowego resetowania hasła.

   

Przypisywanie metody uwierzytelniania do użytkowników i grup

Po włączeniu uwierzytelniania opartego na wiadomościACH SMS w dzierżawie firmy Microsoft Entra wybierz teraz niektórych użytkowników lub grup, którzy będą mogli korzystać z tej metody uwierzytelniania.

1. W oknie Zasady uwierzytelniania sms ustaw pozycję Cel na Wybierz użytkowników.
2. Wybierz pozycję Dodaj użytkowników lub grupy, a następnie wybierz testowego użytkownika lub grupy, takiego jak Użytkownik firmy Contoso lub Użytkownicy programu SMS firmy Contoso.
3. Po wybraniu użytkowników lub grup wybierz pozycję Wybierz, a następnie zapisz zaktualizowane zasady metody uwierzytelniania.

Każdy użytkownik, który jest włączony w polityce metody uwierzytelniania SMS, musi posiadać licencję, nawet jeśli z niej nie korzysta. Upewnij się, że masz odpowiednie licencje dla użytkowników, których włączasz w polityce metody uwierzytelniania, szczególnie gdy funkcja jest włączona dla dużych grup użytkowników.

Ustawianie numeru telefonu dla kont użytkowników

Użytkownicy są teraz włączeni na potrzeby uwierzytelniania opartego na wiadomościACH SMS, ale ich numer telefonu musi być skojarzony z profilem użytkownika w usłudze Microsoft Entra ID, zanim będą mogli się zalogować. Użytkownik może ustawić ten numer telefonu namoim koncie lub przypisać numer telefonu przy użyciu centrum administracyjnego firmy Microsoft Entra. Numery telefonów mogą być ustawiane przez osoby z co najmniej rolą Administrator uwierzytelniania.

Po ustawieniu numeru telefonu na potrzeby logowania opartego na wiadomościACH SMS jest on również dostępny do użycia z uwierzytelnianiem wieloskładnikowym firmy Microsoft i samoobsługowym resetowaniem hasła.

1. Wyszukaj i wybierz Microsoft Entra ID.

2. W menu nawigacji po lewej stronie okna Microsoft Entra wybierz pozycję Użytkownicy.

3. Wybierz użytkownika, który został włączony na potrzeby uwierzytelniania opartego na wiadomościACH SMS w poprzedniej sekcji, na przykład Użytkownik firmy Contoso, a następnie wybierz pozycję Metody uwierzytelniania.

4. Wybierz pozycję + Dodaj metodę uwierzytelniania, a następnie w menu rozwijanym Wybierz metodę wybierz pozycję Numer telefonu.

   Wprowadź numer telefonu użytkownika, w tym kod kraju, taki jak +1 xxxxxxxxx. Centrum administracyjne firmy Microsoft Entra sprawdza, czy numer telefonu jest w poprawnym formacie.

   Następnie z menu rozwijanego Typ telefonu wybierz pozycję Urządzenia przenośne, Alternatywne urządzenia przenośne lub Inne zgodnie z potrzebami.

   

   Numer telefonu musi być unikatowy w dzierżawie. Jeśli spróbujesz użyć tego samego numeru telefonu dla wielu użytkowników, zostanie wyświetlony komunikat o błędzie.

5. Aby zastosować numer telefonu do konta użytkownika, wybierz pozycję Dodaj.

Po pomyślnym uruchomieniu pojawi się znacznik wyboru dla włączonego logowania SMS.

Testowanie logowania opartego na wiadomościACH SMS

Aby przetestować konto użytkownika, które jest teraz włączone na potrzeby logowania opartego na wiadomościACH SMS, wykonaj następujące kroki:

1. Otwórz nowe okno przeglądarki internetowej w trybie InPrivate lub Incognito, aby przejść do https://www.office.com

2. W prawym górnym rogu wybierz pozycję Zaloguj.

3. W wierszu polecenia logowania wprowadź numer telefonu skojarzony z użytkownikiem w poprzedniej sekcji, a następnie wybierz pozycję Dalej.

   

4. Wiadomość SMS jest wysyłana na podany numer telefonu. Aby ukończyć proces logowania, wprowadź 6-cyfrowy kod podany w wiadomości SMS w wierszu polecenia logowania.

   

5. Użytkownik jest teraz zalogowany bez konieczności podania nazwy użytkownika lub hasła.

Rozwiązywanie problemów z logowaniem opartym na wiadomościACH SMS

Możesz użyć następujących scenariuszy i kroków rozwiązywania problemów, jeśli masz problemy z włączaniem i używaniem logowania opartego na wiadomościACH SMS. Aby uzyskać listę aplikacji, które obsługują logowanie oparte na wiadomościACH SMS, zobacz Obsługa aplikacji na potrzeby uwierzytelniania opartego na wiadomościACH SMS.

Numer telefonu jest już ustawiony dla konta użytkownika

Jeśli użytkownik zarejestrował się już do uwierzytelniania wieloskładnikowego Microsoft Entra i/lub samoobsługowego resetowania hasła (SSPR), ma już numer telefonu skojarzony z kontem. Ten numer telefonu nie jest automatycznie dostępny do użycia z logowaniem opartym na wiadomościACH SMS.

Użytkownik, który ma już ustawiony numer telefonu dla swojego konta, jest wyświetlany z przyciskiem Włącz na potrzeby logowania za pomocą SMS na stronie Moje konto. Wybierz ten przycisk, a konto jest włączone do użycia z logowaniem opartym na SMS i istniejącym uwierzytelnianiem wieloskładnikowym Microsoft Entra lub rejestracją SSPR (samoobsługowego resetowania hasła).

Aby uzyskać więcej informacji na temat doświadczenia użytkownika końcowego, zobacz Doświadczenie użytkownika logowania SMS dla numeru telefonu.

Błąd podczas próby ustawienia numeru telefonu na koncie użytkownika

Jeśli podczas próby ustawienia numeru telefonu dla konta użytkownika w centrum administracyjnym firmy Microsoft Entra wystąpi błąd, zapoznaj się z następującymi krokami rozwiązywania problemów:

1. Upewnij się, że włączono logowanie oparte na wiadomościACH SMS.
2. Upewnij się, że konto użytkownika jest włączone w zasadach metody uwierzytelniania programu SMS .
3. Upewnij się, że numer telefonu został ustawiony przy użyciu odpowiedniego formatowania, zgodnie z weryfikacją w centrum administracyjnym firmy Microsoft Entra (na przykład +1 4251234567).
4. Upewnij się, że numer telefonu nie jest używany w innym miejscu w Twoim dzierżawcym środowisku.
5. Sprawdź, czy na koncie nie ustawiono numeru głosowego. Jeśli numer głosowy jest ustawiony, usuń go i spróbuj ponownie nawiązać połączenie z numerem telefonu.

Następne kroki

• Aby uzyskać listę aplikacji, które obsługują logowanie oparte na wiadomościACH SMS, zobacz Obsługa aplikacji na potrzeby uwierzytelniania opartego na wiadomościACH SMS.
• Aby uzyskać więcej sposobów logowania się do identyfikatora Entra firmy Microsoft bez hasła, takiego jak aplikacja Microsoft Authenticator lub klucze zabezpieczeń FIDO2, zobacz Opcje uwierzytelniania bez hasła dla identyfikatora Entra firmy Microsoft.
• Możesz również użyć interfejsu API REST programu Microsoft Graph, aby włączyć lub wyłączyć logowanie oparte na wiadomościACH SMS.