Aktivera lösenordsfri autentisering med Microsoft Authenticator
Microsoft Authenticator kan användas för att logga in på ett Microsoft Entra-konto utan att använda ett lösenord. Microsoft Authenticator använder nyckelbaserad autentisering för att aktivera en användarautentiseringsuppgift som är kopplad till en enhet, där enheten använder en PIN-kod eller biometrisk kod. Windows Hello för företag använder en liknande teknik.
Den här autentiseringstekniken kan användas på valfri enhetsplattform, inklusive mobil. Den här tekniken kan också användas med alla appar eller webbplatser som integreras med Microsofts autentiseringsbibliotek.
Personer som har aktiverat telefoninloggning från Microsoft Authenticator ser ett meddelande som ber dem att trycka på ett nummer i sin app. Inget användarnamn eller lösenord efterfrågas. För att slutföra inloggningsprocessen i appen måste en användare vidta följande åtgärder:
- Ange det nummer som visas på inloggningsskärmen i dialogrutan Microsoft Authenticator.
- Välj Godkänn.
- Ange deras PIN-kod eller biometriska kod.
Flera konton
Du kan aktivera lösenordslös telefoninloggning för flera konton i Microsoft Authenticator på valfri Android- eller iOS-enhet som stöds. Konsulter, studenter och andra med flera konton i Microsoft Entra-ID kan lägga till varje konto i Microsoft Authenticator och använda lösenordslös telefoninloggning för alla från samma enhet.
Tidigare kanske administratörer inte behöver lösenordslös inloggning för användare med flera konton eftersom de måste ha fler enheter för inloggning. Genom att ta bort begränsningen för en användares inloggning från en enhet kan administratörer på ett mer säkert sätt uppmuntra användare att registrera lösenordslös telefoninloggning och använda den som standardinloggningsmetod.
Microsoft Entra-kontona kan finnas i samma klientorganisation eller i olika klientorganisationer. Gästkonton stöds inte för flera kontoinloggningar från en enhet.
Förutsättningar
Om du vill använda lösenordslös telefoninloggning med Microsoft Authenticator måste följande krav uppfyllas:
- Rekommenderas: Microsoft Entra multifaktorautentisering, med push-meddelanden tillåtna som en verifieringsmetod. Push-meddelanden till din smartphone eller surfplatta hjälper Authenticator-appen att förhindra obehörig åtkomst till konton och stoppa bedrägliga transaktioner. Authenticator-appen genererar automatiskt koder när den konfigureras för att göra push-meddelanden. En användare har en metod för säkerhetskopieringsinloggning även om deras enhet inte har någon anslutning.
- Den senaste versionen av Microsoft Authenticator installerad på enheter som kör iOS eller Android.
- Enheten måste vara registrerad hos varje klientorganisation där den används för att logga in. Till exempel måste följande enhet registreras med Contoso och Wingtiptoys för att alla konton ska kunna logga in:
- balas@contoso.com
- balas@wingtiptoys.com och bsandhu@wingtiptoys
Om du vill använda lösenordslös autentisering i Microsoft Entra-ID aktiverar du först den kombinerade registreringsupplevelsen och aktiverar sedan användare för den lösenordslösa metoden.
Aktivera lösenordslösa autentiseringsmetoder för telefoninloggning
Dricks
Stegen i den här artikeln kan variera något beroende på vilken portal du börjar från.
Med Microsoft Entra-ID kan administratörer för autentiseringsprinciper välja vilka autentiseringsmetoder som kan användas för att logga in. De kan göra det möjligt för Microsoft Authenticator i principen Autentiseringsmetoder att hantera både den traditionella push-MFA-metoden och den lösenordslösa autentiseringsmetoden.
När Microsoft Authenticator har aktiverats som en autentiseringsmetod kan användarna gå till sin säkerhetsinformation för att registrera Microsoft Authenticator som ett sätt att logga in. De ser Microsoft Authenticator som en metod i säkerhetsinformationen. De ser till exempel Microsoft Authenticator-Passwordless eller Microsoft Authenticator-MFA Push beroende på vad som är aktiverat och registrerat.
Utför följande steg för att aktivera autentiseringsmetoden för lösenordslös telefoninloggning:
Logga in på administrationscentret för Microsoft Entra som minst administratör för autentiseringsprinciper.
Bläddra till Principer för skyddsautentiseringsmetoder>>.
Under Microsoft Authenticator väljer du följande alternativ:
- Aktivera – Ja eller Nej
- Mål – Alla användare eller Välj användare
Varje tillagd grupp eller användare är aktiverad som standard för att använda Microsoft Authenticator i både lösenordslösa och push-meddelandelägen ("Alla"-läge). Om du vill ändra läget för varje rad för autentiseringsläge väljer du Valfri eller Lösenordslös. Om du väljer Push förhindras användning av lösenordsfria autentiseringsuppgifter för telefoninloggning.
Om du vill tillämpa den nya principen klickar du på Spara.
Kommentar
Om du ser ett fel när du försöker spara kan orsaken bero på antalet användare eller grupper som läggs till. Som en lösning ersätter du de användare och grupper som du försöker lägga till med en enda grupp i samma åtgärd och väljer sedan Spara igen.
Användarregistrering
Användare registrerar sig för den lösenordslösa autentiseringsmetoden för Microsoft Entra-ID. För användare som redan har registrerat Microsoft Authenticator-appen för multifaktorautentisering går du vidare till nästa avsnitt och aktiverar telefoninloggning.
Registrering av direkttelefoninloggning
Användare kan registrera sig för lösenordslös telefoninloggning direkt i Microsoft Authenticator-appen utan att först behöva registrera Microsoft Authenticator med sitt konto, samtidigt som de aldrig får ett lösenord. Så här gör du:
- Skaffa ett tillfälligt åtkomstpass från administratören eller organisationen.
- Ladda ned och installera Microsoft Authenticator-appen på din mobila enhet.
- Öppna Microsoft Authenticator och klicka på Lägg till konto och välj sedan Arbets- eller skolkonto.
- Välj Logga in.
- Följ anvisningarna för att logga in med ditt konto med hjälp av det tillfälliga åtkomstpasset som tillhandahålls av administratören eller organisationen.
- När du har loggat in fortsätter du att följa de ytterligare stegen för att konfigurera telefoninloggning.
Guidad registrering med Mina inloggningar
Kommentar
Användare kan bara registrera Microsoft Authenticator via kombinerad registrering om autentiseringsläget för Microsoft Authenticator är till Valfri eller Push.
Följ dessa steg för att registrera Microsoft Authenticator-appen:
- Bläddra till https://aka.ms/mysecurityinfo.
- Logga in och välj sedan Lägg till metod>Authenticator-appen>Lägg till för att lägga till Microsoft Authenticator.
- Följ anvisningarna för att installera och konfigurera Microsoft Authenticator-appen på enheten.
- Välj Klar för att slutföra Microsoft Authenticator-konfigurationen.
Aktivera telefoninloggning
När användarna har registrerat sig för Microsoft Authenticator-appen måste de aktivera telefoninloggning:
- I Microsoft Authenticator väljer du det registrerade kontot.
- Välj Aktivera telefoninloggning.
- Följ anvisningarna i appen för att slutföra registreringen av kontot för lösenordslös telefoninloggning.
En organisation kan instruera sina användare att logga in med sina telefoner, utan att använda ett lösenord. Mer information om hur du konfigurerar Microsoft Authenticator och aktiverar telefoninloggning finns i Logga in på dina konton med hjälp av Microsoft Authenticator-appen.
Kommentar
Användare som inte tillåts av principen att använda telefoninloggning kan inte längre aktivera den i Microsoft Authenticator.
Logga in med lösenordslösa autentiseringsuppgifter
En användare kan börja använda lösenordslös inloggning när alla följande åtgärder har slutförts:
- En administratör har aktiverat användarens klientorganisation.
- Användaren har lagt till Microsoft Authenticator som inloggningsmetod.
Första gången en användare startar inloggningsprocessen för telefonen utför användaren följande steg:
- Anger deras namn på inloggningssidan.
- Väljer Nästa.
- Om det behövs väljer du Andra sätt att logga in på.
- Väljer Godkänn en begäran i min Authenticator-app.
Användaren visas sedan med ett tal. Appen uppmanar användaren att autentisera genom att skriva rätt nummer, i stället för genom att ange ett lösenord.
När användaren har använt lösenordslös telefoninloggning fortsätter appen att vägleda användaren genom den här metoden. Användaren ser dock alternativet att välja en annan metod.
Tillfälligt åtkomstpass
Om klientadministratören har aktiverat självbetjäning av lösenordsåterställning (SSPR) och en användare konfigurerar lösenordslös inloggning med Authenticator-appen för första gången med hjälp av ett tillfälligt åtkomstlösenord bör följande steg följas:
- Användaren bör öppna en webbläsare på en mobil enhet eller stationär dator och gå till sidan mySecurity-information .
- Användaren måste registrera Authenticator-appen som inloggningsmetod. Den här åtgärden länkar användarens konto till appen.
- Användaren bör sedan återgå till sin mobila enhet och aktivera lösenordslös inloggning via Authenticator-appen.
Hantering
Principen Autentiseringsmetoder är det rekommenderade sättet att hantera Microsoft Authenticator. Administratörer av autentiseringsprinciper kan redigera den här principen för att aktivera eller inaktivera Microsoft Authenticator. Administratörer kan inkludera eller exkludera specifika användare och grupper från att använda det.
Administratörer kan också konfigurera parametrar för att bättre styra hur Microsoft Authenticator kan användas. De kan till exempel lägga till plats- eller appnamn i inloggningsbegäran så att användarna får större kontext innan de godkänner.
Kända problem
Följande kända problem finns.
Det går inte att se alternativet för lösenordslös telefoninloggning
I ett scenario kan en användare ha en obesvarad lösenordslös inloggningsverifiering som väntar. Om användaren försöker logga in igen kanske de bara ser alternativet att ange ett lösenord.
Lös det här scenariot genom att följa dessa steg:
- Öppna Microsoft Authenticator.
- Svara på eventuella meddelandemeddelanden.
Sedan kan användaren fortsätta att använda lösenordslös telefoninloggning.
AuthenticatorAppSignInPolicy stöds inte
AuthenticatorAppSignInPolicy är en äldre princip som inte stöds med Microsoft Authenticator. Använd principen Autentiseringsmetoder för att göra det möjligt för användarna att skicka push-meddelanden eller lösenordslös telefoninloggning med Authenticator-appen.
Federerade konton
När en användare har aktiverat lösenordslösa autentiseringsuppgifter slutar Inloggningsprocessen för Microsoft Entra att använda login_hint. Därför påskyndas inte längre användaren mot en federerad inloggningsplats.
Den här logiken förhindrar vanligtvis att en användare i en hybridklientorganisation dirigeras till Active Directory Federated Services (AD FS) för inloggningsverifiering. Användaren behåller dock alternativet att klicka på Använd lösenordet i stället.
Lokala användare
En slutanvändare kan aktiveras för multifaktorautentisering via en lokal identitetsprovider. Användaren kan fortfarande skapa och använda en enda lösenordslös autentiseringsuppgift för telefoninloggning.
Om användaren försöker uppgradera flera installationer (5+) av Microsoft Authenticator med lösenordslös autentiseringsuppgift för telefoninloggning kan den här ändringen resultera i ett fel.
Nästa steg
Mer information om Microsoft Entra-autentisering och lösenordslösa metoder finns i följande artiklar: