Edytuj

Udostępnij za pośrednictwem

Zarządzanie metodami uwierzytelniania użytkowników dla uwierzytelniania wieloskładnikowego firmy Microsoft

  • Porady

Użytkownicy w usłudze Microsoft Entra ID mają dwa odrębne zestawy informacji kontaktowych:

  • Informacje kontaktowe profilu publicznego, które są zarządzane w profilu użytkownika i widoczne dla członków organizacji. W przypadku użytkowników synchronizowanych z lokalna usługa Active Directory te informacje są zarządzane w lokalnych usługach domena usługi Active Directory Systemu Windows Server.
  • Metody uwierzytelniania, które są zawsze przechowywane jako prywatne i używane tylko do uwierzytelniania, w tym uwierzytelniania wieloskładnikowego. Administratorzy mogą zarządzać tymi metodami w bloku metody uwierzytelniania użytkownika, a użytkownicy mogą zarządzać metodami na stronie Informacje o zabezpieczeniach konta MyAccount.

Podczas zarządzania metodami uwierzytelniania wieloskładnikowego firmy Microsoft dla użytkowników administratorzy uwierzytelniania mogą:

  • Dodaj metody uwierzytelniania dla określonego użytkownika, w tym numery telefonów używane na potrzeby uwierzytelniania wieloskładnikowego.
  • Zresetuj hasło użytkownika.
  • Wymagaj od użytkownika ponownego zarejestrowania się w usłudze MFA.
  • Odwoływanie istniejących sesji uwierzytelniania wieloskładnikowego.
  • Usuwanie istniejących haseł aplikacji użytkownika

Uwaga

Zrzuty ekranu w tym temacie pokazują, jak zarządzać metodami uwierzytelniania użytkowników przy użyciu zaktualizowanego środowiska w centrum administracyjnym firmy Microsoft Entra. Istnieje również starsze środowisko, a administratorzy mogą przełączać się między nimi przy użyciu baneru w centrum administracyjnym. Nowoczesne środowisko ma pełną równoważność ze starszym środowiskiem i zarządza nowoczesnymi metodami, takimi jak tymczasowe przekazywanie dostępu, klucze dostępu i inne ustawienia. Starsze środowisko w centrum administracyjnym firmy Microsoft Entra zostanie wycofane od 31 października 2024 r. Nie ma żadnych działań wymaganych przez organizacje przed przejściem na emeryturę.

Wymagania wstępne

Uwierzytelnianie wieloskładnikowe firmy Microsoft, które jest domyślnie włączone.

Dodawanie lub zmienianie metod uwierzytelniania dla użytkownika

Metody uwierzytelniania dla użytkownika można dodawać lub zmieniać za pomocą centrum administracyjnego firmy Microsoft Entra lub programu Microsoft Graph PowerShell. W centrum administracyjnym firmy Microsoft Entra metoda leagcy do zarządzania metodami uwierzytelniania użytkowników zostanie wycofana po 31 października 2024 r.

Uwaga

Ze względów bezpieczeństwa pola informacji kontaktowych użytkownika publicznego nie powinny być używane do wykonywania uwierzytelniania wieloskładnikowego. Zamiast tego użytkownicy powinni wypełnić numery metod uwierzytelniania, które mają być używane na potrzeby uwierzytelniania wieloskładnikowego.

Zrzut ekranu przedstawiający sposób dodawania metod uwierzytelniania z centrum administracyjnego firmy Microsoft Entra.

Aby dodać lub zmienić metody uwierzytelniania dla użytkownika w centrum administracyjnym firmy Microsoft Entra:

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator uwierzytelniania.
  2. Przejdź do pozycji Tożsamość>Użytkownicy>Wszyscy użytkownicy.
  3. Wybierz użytkownika, dla którego chcesz dodać lub zmienić metodę uwierzytelniania, a następnie wybierz pozycję Metody uwierzytelniania.
  4. W górnej części okna wybierz pozycję + Dodaj metodę uwierzytelniania.
    • Wybierz metodę (numer telefonu lub adres e-mail). Wiadomość e-mail może być używana do samodzielnego resetowania hasła, ale nie do uwierzytelniania. Podczas dodawania numeru telefonu wybierz typ telefonu i wprowadź numer telefonu z prawidłowym formatem (na przykład +1 4255551234).
    • Wybierz Dodaj.

Użytkownicy mogą dodawać lub edytować własne metody uwierzytelniania w obszarze Moje logowania | Informacje zabezpieczające. Aby na przykład zmienić numer telefonu, wybierz pozycję Numer telefonu i naciśnij pozycję Zmień.

Zarządzanie metodami przy użyciu programu PowerShell

Zainstaluj moduł Microsoft.Graph.Identity.Signins programu PowerShell przy użyciu następujących poleceń.

Install-module Microsoft.Graph.Identity.Signins
Connect-MgGraph -Scopes "User.Read.all","UserAuthenticationMethod.Read.All","UserAuthenticationMethod.ReadWrite.All"
Select-MgProfile -Name beta

List phone based authentication methods for a specific user.

Get-MgUserAuthenticationPhoneMethod -UserId balas@contoso.com

Create a mobile phone authentication method for a specific user.

New-MgUserAuthenticationPhoneMethod -UserId balas@contoso.com -phoneType "mobile" -phoneNumber "+1 7748933135"

Remove a specific phone method for a user

Remove-MgUserAuthenticationPhoneMethod -UserId balas@contoso.com -PhoneAuthenticationMethodId 00aa00aa-bb11-cc22-dd33-44ee44ee44ee

Authentication methods can also be managed using Microsoft Graph APIs. For more information, see Authentication and authorization basics.

Zarządzanie opcjami uwierzytelniania użytkowników

Napiwek

Kroki opisane w tym artykule mogą się nieznacznie różnić w zależności od portalu, od którego zaczynasz.

Administratorzy uwierzytelniania mogą wymagać od innych użytkowników zresetowania hasła, ponownego zarejestrowania się w usłudze MFA lub odwołania istniejących sesji uwierzytelniania wieloskładnikowego z obiektu użytkownika. Użytkownicy nie mogą aktualizować własnego obiektu użytkownika. Aby zmienić lub zresetować własne metody zabezpieczeń, użytkownicy mogą przejść do obszaru Informacje zabezpieczające lub przejść do samoobsługowego resetowania hasła w celu zresetowania hasła. Aby zarządzać ustawieniami innych użytkowników, wykonaj następujące czynności:

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator uwierzytelniania.

  2. Przejdź do pozycji Tożsamość>Użytkownicy>Wszyscy użytkownicy.

  3. Wybierz użytkownika, dla którego chcesz wykonać akcję, i wybierz pozycję Metody uwierzytelniania. W górnej części okna wybierz jedną z następujących opcji dla użytkownika:

    • Resetowanie hasła resetuje hasło użytkownika i przypisuje hasło tymczasowe, które należy zmienić podczas następnego logowania.
    • Wymagaj ponownego zarejestrowania uwierzytelniania wieloskładnikowego dezaktywuje sprzętowe tokeny OATH użytkownika i usuwa następujące metody uwierzytelniania od tego użytkownika: numery telefonów, aplikacje Microsoft Authenticator i tokeny OATH oprogramowania. W razie potrzeby użytkownik zostanie poproszony o skonfigurowanie nowej metody uwierzytelniania usługi MFA przy następnym zalogowaniu.
    • Odwołanie sesji uwierzytelniania wieloskładnikowego powoduje wyczyszczenie zapamiętanych sesji uwierzytelniania wieloskładnikowego użytkownika i wymaga od nich wykonania uwierzytelniania wieloskładnikowego przy następnym wymaganym przez zasady na urządzeniu.

    Zrzut ekranu przedstawiający zarządzanie metodami uwierzytelniania z centrum administracyjnego firmy Microsoft Entra.

Usuwanie istniejących haseł aplikacji użytkowników

W przypadku użytkowników, którzy mają zdefiniowane hasła aplikacji, administratorzy mogą również zdecydować się na usunięcie tych haseł, co powoduje niepowodzenie starszego uwierzytelniania w tych aplikacjach. Te akcje mogą być konieczne, jeśli musisz udzielić pomocy użytkownikowi lub zresetować ich metody uwierzytelniania. Aplikacje inne niż przeglądarki skojarzone z tymi hasłami aplikacji przestaną działać do momentu utworzenia nowego hasła aplikacji.

Aby usunąć hasła aplikacji użytkownika, wykonaj następujące kroki:

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator uwierzytelniania.

  2. Przejdź do pozycji Tożsamość>Użytkownicy>Wszyscy użytkownicy.

  3. Wybierz pozycję Uwierzytelnianie wieloskładnikowe. Aby wyświetlić tę opcję menu, może być konieczne przewinięcie w prawo. Wybierz poniższy przykładowy zrzut ekranu, aby wyświetlić pełne okno i lokalizację menu: Zrzut ekranu przedstawiający wybieranie uwierzytelniania wieloskładnikowego w oknie Użytkownicy w witrynie Microsoft Entra ID.

  4. Zaznacz pole wyboru obok użytkownika lub użytkowników, którymi chcesz zarządzać. Po prawej stronie zostanie wyświetlona lista opcji szybkiego kroku.

  5. Wybierz pozycję Zarządzaj ustawieniami użytkownika, a następnie zaznacz pole wyboru Usuń wszystkie istniejące hasła aplikacji wygenerowane przez wybranych użytkowników, jak pokazano w poniższym przykładzie: Zrzut ekranu przedstawiający usuwanie wszystkich istniejących haseł aplikacji.

  6. Wybierz pozycję Zapisz, a następnie zamknij.

Powiązana zawartość