Поделиться через

Включение входа без пароля с помощью Authenticator

  • Статья

Authenticator используется для входа в любую учетную запись Microsoft Entra без использования пароля. Authenticator использует проверку подлинности на основе ключей, чтобы включить учетные данные пользователя, привязанные к устройству, где устройство использует ПИН-код или биометрические данные. В службе Windows Hello для бизнеса используется аналогичная технология.

Технология проверки подлинности может использоваться на любой платформе устройств, включая мобильные устройства. Authenticator может работать в iOS или Android.

снимок экрана, показывающий пример входа в браузер, запрашивающий у пользователя утверждение входа.

При входе в систему с помощью телефона в приложении Authenticator отображается сообщение, которое просит пользователя нажать на число в приложении. Он не запрашивает имя пользователя или пароль. Чтобы завершить процесс входа в приложение, выполните следующие действия.

  1. В диалоговом окне Authenticator введите номер, показанный на экране входа.
  2. Выберите Утвердить.
  3. Укажите ПИН-код или биометрические данные.

Несколько учетных записей

Вы можете включить вход без пароля для нескольких учетных записей в Authenticator на любом поддерживаемом устройстве Android или iOS. Консультанты, учащиеся и другие пользователи с несколькими учетными записями в Идентификаторе Microsoft Entra могут добавлять каждую учетную запись в Authenticator и использовать вход без пароля для всех пользователей с одного устройства.

Учетные записи Microsoft Entra могут находиться в одном клиенте или в разных клиентах. Гостевые учетные записи не поддерживаются для входа в несколько учетных записей с одного устройства.

Необходимые компоненты

Чтобы использовать вход без пароля с помощью Authenticator, необходимо выполнить следующие предварительные требования:

  • Рекомендуется: многофакторная проверка подлинности (MFA) Microsoft Entra с push-уведомлениями, разрешенными в качестве метода проверки. Push-уведомления на смартфон или планшет пользователя помогают приложению Authenticator предотвратить несанкционированный доступ к учетным записям и остановить мошеннические транзакции. Приложение Authenticator автоматически создает коды при настройке push-уведомлений. У пользователя есть метод входа в резервную копию, даже если у устройства нет подключения.

  • Последняя версия Authenticator должна быть установлена на устройствах под управлением iOS или Android.

  • Устройство должно быть зарегистрировано в каждом клиенте, где оно используется для входа. Например, следующее устройство должно быть зарегистрировано в Contoso и Wingtip Toys, чтобы разрешить вход всем учетным записям:

    • balas@contoso.com
    • balas@wingtiptoys.com и bsandhu@wingtiptoys.

Чтобы использовать проверку подлинности без пароля в идентификаторе Microsoft Entra, сначала включите объединенный интерфейс регистрации, а затем включите пользователей для метода без пароля.

Включение методов проверки подлинности при входе без пароля с помощью телефона

Совет

Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.

Идентификатор Microsoft Entra позволяет администраторам политик проверки подлинности выбрать, какие методы проверки подлинности можно использовать для входа. Вы можете включить Microsoft Authenticator в политике методов проверки подлинности для управления традиционным методом push-проверки подлинности и методом проверки подлинности без пароля.

После включения Microsoft Authenticator в качестве метода проверки подлинности пользователи могут перейти к Сведения о безопасности для регистрации Authenticator в качестве способа входа. Microsoft Authenticator указан в качестве метода сведений о безопасности. Например, Microsoft Authenticator-Passwordless или Microsoft Authenticator-MFA Push отображается в зависимости от того, что включено и зарегистрировано.

Чтобы включить метод проверки подлинности для входа без пароля телефона, выполните следующие действия.

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор политики проверки подлинности.
  2. Перейдите к политикам>проверки подлинности защиты.>

Каждая группа включена по умолчанию для использования режима любой. режим любой позволяет участникам группы выполнять вход с помощью push-уведомления или с использованием безпарольного входа по телефону.

Примечание.

Если при попытке сохранить возникает ошибка, это может быть связано с количеством добавляемых пользователей или групп. В качестве обходного решения замените тех пользователей и группы, которых вы пытаетесь добавить, одной группой в рамках той же операции. Затем снова нажмите кнопку Сохранить.

Регистрация пользователей

Пользователи регистрируются в методе аутентификации без пароля Microsoft Entra ID. Пользователи, которые уже зарегистрировали приложение Authenticator для MFA, могут перейти к следующему разделу и включить вход по телефону.

Регистрация прямого входа по телефону

Пользователи могут зарегистрироваться для входа без пароля непосредственно в приложении Authenticator без необходимости сначала регистрировать Authenticator с учетной записью, при этом не создавая пароль. Это делается следующим образом:

  1. Получите временный проход доступа от администратора или организации.
  2. Скачайте и установите приложение Authenticator на мобильном устройстве.
  3. Откройте Authenticator и выберите Добавить учетную запись, а затем выберите Рабочую или учебную учетную запись.
  4. Выберите Вход.
  5. Следуйте инструкциям для входа в свою учетную запись с помощью временного кода доступа, предоставленного вашим администратором или вашей организацией.
  6. После входа выполните дополнительные действия, чтобы настроить вход по телефону.

Пошаговая регистрация с помощью My Sign-Ins

Примечание.

Пользователи могут зарегистрировать Authenticator с помощью объединенной регистрации, только если для режима проверки подлинности Authenticator задано значение Any или Push.

Чтобы зарегистрировать приложение Authenticator, выполните следующие действия.

  1. Перейдите к информация о безопасности.
  2. Войдите в систему, а затем выберите Добавить метод>Приложение аутентификации>Добавить, чтобы добавить Аутентификатор.
  3. Следуйте инструкциям по установке и настройке приложения Authenticator на устройстве.
  4. Выберите Готово, чтобы завершить настройку Authenticator.

Включение входа с помощью телефона

После регистрации в приложении Authenticator пользователям необходимо включить вход на телефон:

  1. В Microsoft Authenticator выберите учетную запись, зарегистрированную.
  2. Нажмите кнопку "Включить вход на телефон".
  3. Следуйте инструкциям в приложении, чтобы завершить регистрацию учетной записи для включения входа без пароля с помощью телефона.

Теперь организация может предоставить своим пользователям вход без использования пароля с помощью их телефонов. Дополнительные сведения о настройке Authenticator и включении входа по телефону см. в статье Вход в учетные записи с помощью приложения Authenticator.

Примечание.

Если политика запрещает пользователю использовать вход с использованием телефона, пользователь не может включить эту функцию в Authenticator.

Вход с помощью учетных данных без пароля

Пользователь может начать использовать вход без пароля после завершения всех следующих действий:

  • Администратор включил клиент пользователя.
  • Пользователь добавил Authenticator в качестве метода входа.

Чтобы начать процесс входа на телефон впервые, выполните следующие действия:

  1. Введите имя на панели входа.
  2. Выберите Далее.
  3. При необходимости выберите Другие способы входа.
  4. Выберите Утвердить запросв приложении Authenticator.

Затем появится число. Приложение предложит пользователю пройти проверку подлинности, введя соответствующее число вместо ввода пароля.

После того как пользователь использует вход без пароля, приложение продолжает управлять пользователем с помощью этого метода. Пользователь также видит возможность выбрать другой метод.

снимок экрана, показывающий пример входа в браузер с помощью приложения Authenticator.

Временный секретный код

Если администратор арендатора включил самостоятельный сброс пароля, чтобы пользователи могли настроить вход без пароля с помощью приложения Authenticator посредством использования временного пропуска доступа, выполните следующие действия.

  1. Откройте браузер на мобильном устройстве или на компьютере и перейдите на Сведения о безопасности.
  2. Зарегистрируйте приложение Authenticator в качестве метода входа. Это действие связывает учетную запись с приложением.
  3. Вернитесь на мобильное устройство и активируйте вход без пароля с помощью приложения Authenticator.

Управление

Рекомендуется использовать политику методов проверки подлинности в качестве оптимального способа управления Authenticator. Администраторы политики аутентификации могут редактировать эту политику, чтобы включить или отключить Authenticator. Администраторы могут включать или исключать определенных пользователей и групп из него.

Администраторы также могут настроить параметры, чтобы лучше управлять тем, как используется Authenticator. Например, они могут добавить расположение или имя приложения в запрос на вход, чтобы пользователи имели более широкий контекст перед утверждением.

Известные проблемы

Известно о наличии следующих проблем.

Не отображается параметр для входа без пароля телефона

В одном из сценариев у пользователя может быть неподтвержденная проверка входа без пароля через телефон, которая находится в ожидании. Если пользователь пытается войти еще раз, пользователь видит только параметр ввести пароль.

Чтобы устранить этот сценарий, выполните следующие действия.

  1. Откройте Authenticator.
  2. Ответьте на все уведомления с запросами.

Затем продолжайте использовать вход без пароля телефона.

AuthenticatorAppSignInPolicy не поддерживается

Устаревшая политика AuthenticatorAppSignInPolicy не поддерживается в Authenticator. Чтобы предоставить пользователям возможность push-уведомлений или входа без пароля с помощью приложения Authenticator, используйте политику методов аутентификации .

Федеративные учетные записи

После того как пользователь включает любые учетные данные без пароля, процесс входа Microsoft Entra перестает использовать login\_hint. Процесс больше не ускоряет пользователя к федеративной точке входа.

Эта логика обычно предотвращает перенаправление пользователя в гибридном клиенте в службы федерации Active Directory для проверки входа. Параметр Использовать пароль вместо этого по-прежнему доступен.

Локальные пользователи

Администраторы могут активировать пользователей для многофакторной аутентификации через локального поставщика удостоверений. Пользователи по-прежнему могут создавать и использовать единые учетные данные для входа по телефону без пароля.

Если пользователь пытается обновить пять и более установок Authenticator с учетными данными для входа через телефон без пароля, это изменение может привести к ошибке.

Связанное содержимое

Дополнительные сведения о методах проверки подлинности и без пароля Microsoft Entra см. в следующих статьях: