Dela via


Kombinerad säkerhetsinformationsregistrering för Microsoft Entra-översikt

Före kombinerad registrering registrerade användare autentiseringsmetoder för Microsoft Entra multifaktorautentisering och självbetjäning av lösenordsåterställning (SSPR) separat. Människor var förvirrade över att liknande metoder användes för multifaktorautentisering och SSPR, men de var tvungna att registrera sig för båda funktionerna. Nu, med kombinerad registrering, kan användare registrera sig en gång och få fördelarna med både multifaktorautentisering och SSPR. Vi rekommenderar den här videon om hur du aktiverar och konfigurerar SSPR i Microsoft Entra-ID.

Mitt konto som visar registrerad säkerhetsinformation för en användare

Innan du aktiverar den nya upplevelsen kan du läsa den här administratörsfokuserade dokumentationen och den användarfokuserade dokumentationen för att se till att du förstår funktionerna och effekten av den här funktionen. Basera din utbildning på användardokumentationen för att förbereda användarna för den nya upplevelsen och hjälpa till att säkerställa en lyckad distribution.

Mina kontosidor lokaliseras baserat på språkinställningarna för den dator som kommer åt sidan. Microsoft lagrar det senaste språket som används i webbläsarens cache, så efterföljande försök att komma åt sidorna fortsätter att återges på det senaste språket som användes. Om du rensar cachen återges sidorna igen.

Om du vill tvinga fram ett visst språk kan du lägga till ?lng=<language> i slutet av URL:en, där <language> är koden för det språk som du vill återge.

Konfigurera SSPR eller andra metoder för säkerhetsverifiering

Metoder som är tillgängliga i kombinerad registrering

Kombinerad registrering stöder autentiseringsmetoder och åtgärder i följande tabell.

Metod Registrera dig Förändring Delete
Microsoft Authenticator Ja (högst 5) Nej Ja
Annan autentiseringsapp Ja (högst 5) Nej Ja
Maskinvarutoken Nej Nej Ja
Telefon Ja (högst 2) Ja Ja
Alternativ telefon Ja Ja Ja
Office-telefon* Ja Ja Ja
Email Ja Ja Ja
Säkerhetsfrågor Ja No Ja
Lösenord Nej Ja Nej
Applösenord* Ja No Ja
Nyckel (FIDO2)* Ja (högst 10) Nej Ja

Kommentar

Om du aktiverar Microsoft Authenticator för lösenordslöst autentiseringsläge i principen Autentiseringsmetoder måste användarna även aktivera lösenordslös inloggning i Authenticator-appen.

Alternativ telefon kan bara registreras i hanteringsläge i säkerhetsinformation och kräver att röstsamtal aktiveras i principen Autentiseringsmetoder.

Office-telefon kan bara registreras i avbrottsläge om användarens företagstelefonegenskap har angetts. Office-telefon kan läggas till av användare i hantera läge från säkerhetsinformation utan detta krav.

Applösenord är endast tillgängliga för användare som har tillämpats för MFA per användare. Applösenord är inte tillgängliga för användare som är aktiverade för Microsoft Entra multifaktorautentisering med en princip för villkorsstyrd åtkomst.

Nycklar (FIDO2) kan också etableras med hjälp av en anpassad klient- eller partnerintegrering med Microsoft Graph. Mer information finns i våra API:er.

Användare kan ange något av följande alternativ som standardmetod för multifaktorautentisering.

  • Microsoft Authenticator – push-meddelande eller lösenordslös
  • Authenticator-app eller maskinvarutoken – kod
  • Telefonsamtal
  • Textmeddelande

Kommentar

Virtuella telefonnummer stöds inte för röstsamtal eller SMS.

Autentiseringsappar från tredje part tillhandahåller inte push-meddelanden. När vi fortsätter att lägga till fler autentiseringsmetoder i Microsoft Entra-ID blir dessa metoder tillgängliga i kombinerad registrering.

Kombinerade registreringslägen

Det finns två lägen för kombinerad registrering:

  • Avbrottsläge är en guideliknande upplevelse som visas för användare när de registrerar sig eller uppdaterar sin säkerhetsinformation vid inloggning.
  • Hantera läge är en del av användarprofilen och gör det möjligt för användare att hantera sin säkerhetsinformation.

För båda lägena måste användare som tidigare har registrerat en metod som kan användas för Microsoft Entra multifaktorautentisering utföra multifaktorautentisering innan de kan komma åt sin säkerhetsinformation. Användarna måste bekräfta sin information innan de fortsätter att använda sina tidigare registrerade metoder.

Avbrottsläge

Kombinerad registrering följer både multifaktorautentisering och SSPR-principer, om båda är aktiverade för din klientorganisation. Dessa principer styr om en användare avbryts för registrering under inloggningen och vilka metoder som är tillgängliga för registrering. Om endast en SSPR-princip är aktiverad kan användarna hoppa över (på obestämd tid) registreringsavbrottet och slutföra det vid ett senare tillfälle.

Följande är exempelscenarier där användare kan uppmanas att registrera sig eller uppdatera sin säkerhetsinformation:

  • registrering av multifaktorautentisering som framtvingas via Microsoft Entra ID Protection: Användare uppmanas att registrera sig under inloggningen. De registrerar multifaktorautentiseringsmetoder och SSPR-metoder (om användaren är aktiverad för SSPR).
  • Multifaktorautentiseringsregistrering som framtvingas via multifaktorautentisering per användare: Användare uppmanas att registrera sig under inloggningen. De registrerar multifaktorautentiseringsmetoder och SSPR-metoder (om användaren är aktiverad för SSPR).
  • registrering av multifaktorautentisering som framtvingas via villkorsstyrd åtkomst eller andra principer: Användarna uppmanas att registrera sig när de använder en resurs som kräver multifaktorautentisering. De registrerar multifaktorautentiseringsmetoder och SSPR-metoder (om användaren är aktiverad för SSPR).
  • SSPR-registrering framtvingas: Användarna uppmanas att registrera sig under inloggningen. De registrerar endast SSPR-metoder.
  • SSPR-uppdatering framtvingas: Användarna måste granska sin säkerhetsinformation med ett intervall som angetts av administratören. Användarna visas sin information och kan bekräfta den aktuella informationen eller göra ändringar om det behövs.

När registreringen tillämpas visas det minsta antal metoder som krävs för att vara kompatibla med både multifaktorautentisering och SSPR-principer, från de flesta till minst säkra. Användare som går igenom kombinerad registrering där både MFA- och SSPR-registrering tillämpas och SSPR-principen kräver två metoder måste först registrera en MFA-metod som den första metoden och kan välja en annan MFA- eller SSPR-specifik metod som den andra registrerade metoden (till exempel e-post, säkerhetsfrågor och så vidare)

Föreställ dig följande exempel:

  • En användare är aktiverad för SSPR. SSPR-principen kräver två metoder för att återställa och har aktiverat Microsoft Authenticator-appen, e-post och telefon.
  • När användaren väljer att registrera sig krävs två metoder:
    • Användaren visas som standard Microsoft Authenticator-appen och telefonen.
    • Användaren kan välja att registrera e-post i stället för Authenticator-appen eller telefonen.

När de konfigurerar Microsoft Authenticator kan användaren klicka på Jag vill konfigurera en annan metod för att registrera andra autentiseringsmetoder. Listan över tillgängliga metoder bestäms av principen Autentiseringsmetoder för klientorganisationen. 

Skärmbild av hur du väljer en annan metod när du konfigurerar Microsoft Authenticator.

Följande flödesschema beskriver vilka metoder som visas för en användare när de avbryts för att registrera sig under inloggningen:

Kombinerat flödesschema för säkerhetsinformation

Om du har både multifaktorautentisering och SSPR aktiverat rekommenderar vi att du tillämpar registrering av multifaktorautentisering.

Om SSPR-principen kräver att användarna granskar sin säkerhetsinformation med jämna mellanrum avbryts användarna under inloggningen och visar alla sina registrerade metoder. De kan bekräfta den aktuella informationen om den är uppdaterad eller om de kan göra ändringar om de behöver det. Användare måste utföra multifaktorautentisering för att få åtkomst till den här sidan.

Hantera läge

Användare kan gå till Säkerhetsinformation eller välja Säkerhetsinformation från Mitt konto. Därifrån kan användare lägga till metoder, ta bort eller ändra befintliga metoder, ändra standardmetoden med mera.

Sessionskontroller för kombinerad registrering

Som standard tvingar kombinerad registrering alla MFA-kompatibla användare att autentiseras starkt innan de registrerar eller hanterar sin säkerhetsinformation. Om en användare för närvarande är inloggad och tidigare har slutfört MFA som en del av en giltig session krävs ingen ytterligare MFA som standard, såvida inte en användare försöker lägga till eller ändra en nyckelmetod (FIDO2). Att lägga till eller ändra en nyckelmetod (FIDO2) kräver att användarna har autentiserats starkt under de senaste 5 minuterna. Om MFA inte har slutförts under de senaste 5 minuterna uppmanas användaren att logga in och slutföra en ny MFA. Organisationer kan ändra autentiseringskraven genom att definiera principer för villkorsstyrd åtkomst för att skydda registrering av säkerhetsinformation..

Kombinerade registreringssessioner är endast giltiga i 15 minuter. Om en användares registrering eller hanteringsåtgärder tar längre tid än den här tidsperioden upphör sessionen att gälla och användaren uppmanas att logga in igen för att fortsätta.

Viktiga användningsscenarier

Ändra ett lösenord i MySignIns

En användare navigerar till Säkerhetsinformation. När du har loggat in kan användaren ändra sitt lösenord. Om användaren autentiserar med ett lösenord och en multifaktorautentiseringsmetod kan de använda den förbättrade användarupplevelsen för att ändra sitt lösenord utan att ange sitt befintliga lösenord. När det är klart har användaren det nya lösenordet uppdaterat på sidan Säkerhetsinformation. Autentiseringsmetoder som tillfälliga åtkomstpass (TAP) stöds inte för lösenordsändring om inte användaren känner till sitt befintliga lösenord.

Kommentar

Om du har några länkar som pekar på den äldre ändringslösenordsupplevelsen uppdaterar du dem till följande länk för vidarebefordran för att dirigera användarna till den nya funktionen Ändra lösenord för mina inloggningar: https://go.microsoft.com/fwlink/?linkid=2224198.

Skydda registrering av säkerhetsinformation med villkorlig åtkomst

För att skydda när och hur användare registrerar sig för Microsoft Entra multifaktorautentisering och lösenordsåterställning med självbetjäning kan du använda användaråtgärder i principen för villkorsstyrd åtkomst. Den här funktionen kan aktiveras i organisationer som vill att användare ska registrera sig för Microsoft Entra multifaktorautentisering och SSPR från en central plats, till exempel en betrodd nätverksplats under HR-registrering. Läs mer om hur du konfigurerar vanliga principer för villkorlig åtkomst för att skydda registrering av säkerhetsinformation.

Konfigurera säkerhetsinformation under inloggning

En administratör har framtvingat registrering.

En användare har inte konfigurerat all nödvändig säkerhetsinformation och går till administrationscentret för Microsoft Entra. När användaren har angett användarnamnet och lösenordet uppmanas användaren att konfigurera säkerhetsinformation. Användaren följer sedan stegen som visas i guiden för att konfigurera nödvändig säkerhetsinformation. Om inställningarna tillåter det kan användaren välja att konfigurera andra metoder än de som visas som standard. När användarna har slutfört guiden granskar de de metoder som de har konfigurerat och deras standardmetod för multifaktorautentisering. För att slutföra installationsprocessen bekräftar användaren informationen och fortsätter till administrationscentret för Microsoft Entra.

Konfigurera säkerhetsinformation från Mitt konto

En administratör har inte tillämpat registrering.

En användare som ännu inte har konfigurerat all nödvändig säkerhetsinformation går till https://myaccount.microsoft.com. Användaren väljer Säkerhetsinformation i det vänstra fönstret. Därifrån väljer användaren att lägga till en metod, väljer någon av de tillgängliga metoderna och följer stegen för att konfigurera metoden. När det är klart ser användaren den metod som har konfigurerats på sidan Säkerhetsinformation.

Konfigurera andra metoder efter partiell registrering

Om en användare delvis har uppfyllt MFA- eller SSPR-registreringen på grund av befintliga registreringar av autentiseringsmetoder som utförs av användaren eller administratören, uppmanas användarna endast att registrera ytterligare information som tillåts av principinställningarna för autentiseringsmetoder när registrering krävs. Om mer än en annan autentiseringsmetod är tillgänglig för användaren att välja och registrera visas ett alternativ för registreringsupplevelsen med titeln Jag vill konfigurera en annan metod och gör det möjligt för användaren att konfigurera önskad autentiseringsmetod.

Skärmbild av hur du konfigurerar en annan metod.

Ta bort säkerhetsinformation från Mitt konto

En användare som tidigare har konfigurerat minst en metod navigerar till Säkerhetsinformation. Användaren väljer att ta bort någon av de tidigare registrerade metoderna. När den är klar ser användaren inte längre den metoden på sidan Säkerhetsinformation.

Ändra standardmetoden från Mitt konto

En användare som tidigare har konfigurerat minst en metod som kan användas för multifaktorautentisering navigerar till Säkerhetsinformation. Användaren ändrar den aktuella standardmetoden till en annan standardmetod. När du är klar ser användaren den nya standardmetoden på sidan Säkerhetsinformation.

Växla katalog

En extern identitet, till exempel en B2B-användare, kan behöva byta katalog för att ändra säkerhetsregistreringsinformationen för en klientorganisation från tredje part. Dessutom kan användare som har åtkomst till en resursklient bli förvirrade när de ändrar inställningarna i sin hemklient men inte ser ändringarna som återspeglas i resursklientorganisationen.

En användare anger till exempel push-meddelanden för Microsoft Authenticator-appen som den primära autentiseringen för att logga in på hemklientorganisationen och har även SMS/Text som ett annat alternativ. Den här användaren har också konfigurerats med SMS/Text-alternativet på en resursklientorganisation. Om den här användaren tar bort SMS/Text som ett av autentiseringsalternativen i sin hemklient blir de förvirrade när åtkomsten till resursklientorganisationen ber dem svara på SMS/textmeddelande.

Om du vill växla katalogen i administrationscentret för Microsoft Entra klickar du på användarnamnet för användarkontot i det övre högra hörnet och klickar på Växla katalog.

Externa användare kan växla katalog.

Eller så kan du ange en klient via URL för att få åtkomst till säkerhetsinformation.

https://mysignins.microsoft.com/security-info?tenant=<Tenant Name>

https://mysignins.microsoft.com/security-info/?tenantId=<Tenant ID>

Kommentar

Kunder som försöker registrera eller hantera säkerhetsinformation via kombinerad registrering eller sidan Mina inloggningar bör använda en modern webbläsare som Microsoft Edge.

IE11 stöds inte officiellt för att skapa en webbvy eller webbläsare i program eftersom den inte fungerar som förväntat i alla scenarier.

Program som inte har uppdaterats och fortfarande använder Azure AD Authentication Library (ADAL) som förlitar sig på äldre webbvyer kan återgå till äldre versioner av Internet Explorer. I dessa scenarier får användarna en tom sida när de dirigeras till sidan Mina inloggningar. Lös problemet genom att växla till en modern webbläsare.

Nästa steg

Kom igång genom att läsa självstudierna för att aktivera självbetjäning av lösenordsåterställning och aktivera Microsoft Entra multifaktorautentisering.

Lär dig hur du aktiverar kombinerad registrering i din klientorganisation eller tvingar användare att registrera om autentiseringsmetoder.

Du kan också granska tillgängliga metoder för Microsoft Entra multifaktorautentisering och SSPR.