在 Microsoft Entra ID 租户中支持 Microsoft Authenticator 中的密钥
本主题介绍用户使用 Microsoft Authenticator 中的密钥时可能看到的问题,以及管理员解决问题的可能方法。
身份验证强度条件访问策略循环的解决方法
用户尝试将密钥添加到 Microsoft Authenticator 时,部署密钥并具有条件访问策略(要求在访问“所有资源(以前为‘所有云应用’)”时进行网络钓鱼身份验证)的组织可能会遇到循环问题。 此类策略配置的示例:
- 条件:所有设备(Windows、Linux、MacOS、Windows、Android)
- 目标资源:所有资源(以前为“所有云应用”)
- 授权控制:身份验证强度 – 要求 Authenticator 中的密钥
该策略有效地强制目标用户必须使用密钥向所有云应用程序(包括 Microsoft Authenticator 应用)进行身份验证。 这意味着用户在 Authenticator 应用中通过应用内注册流时,需要使用密钥来预配密钥。 这会影响 Android 和 iOS。
有几种解决方法:
可以筛选应用程序,并将策略目标从“所有资源(以前为‘所有云应用’)”转换为特定应用程序。 首先查看租户中使用的应用程序,并使用筛选器标记 Microsoft Authenticator 和其他应用程序。
为了进一步降低支持成本,可以运行内部市场活动,帮助用户在强制使用密钥之前采用密钥。 准备好强制使用密钥时,请创建两个条件访问策略:
- 适用于移动操作系统 (OS) 版本的策略
- 适用于桌面 OS 版本的策略
需要对每个策略使用不同的身份验证强度,并配置下表中列出的其他策略设置。 你可能希望启用临时访问通行证 (TAP),或者启用用户可用于注册密钥的其他身份验证方法。 只在用户注册凭据时才向用户颁发 TAP,并且仅在可进行密钥注册的移动平台上接受该凭据,这样可以确保用户对所有流使用允许的身份验证方法,并且仅在注册期间有限时间内使用 TAP。
条件访问策略 桌面 OS 移动 OS 名称 需要 Authenticator 中的密钥才能访问桌面 OS 需要 TAP、防钓鱼凭据或任何其他指定的身份验证方法才能访问移动 OS 条件 特定设备(桌面操作系统) 特定设备(移动操作系统) 设备 空值 Android、iOS 排除设备 Android、iOS 空值 目标资源 所有资源 所有资源 授权控制 身份验证强度 身份验证强度1 方法 Microsoft Authenticator 中的密钥 TAP,Microsoft Authenticator 中的密钥。 策略结果 无法在 Authenticator 中使用密码登录的用户将定向到“我的登录”向导模式。 注册后,系统会要求他们在移动设备上登录到 Authenticator。 使用 TAP 或其他允许的方法登录到 Authenticator 的用户可以直接在 Authenticator 中注册密钥。 由于用户满足身份验证要求,因此不会发生循环。 1用户注册新的登录方法,移动策略的授权控制需要与条件访问策略匹配,以注册安全信息。
注意
使用任一解决方法,用户还必须满足任何面向注册安全信息的条件访问策略,否则无法注册密钥。 此外,如果已设置具有“所有资源”策略的其他条件,则注册密钥时必须满足这些条件。
限制蓝牙的使用,使其仅支持 Authenticator 中的通行密钥
某些组织会限制蓝牙的使用,其中包括使用通行密钥。 在这种情况下,组织可以通过仅允许蓝牙与已启用通行密钥的 FIDO2 验证器进行配对来允许通行密钥。 有关如何仅针对通行密钥配置蓝牙使用的详细信息,请参阅蓝牙受限环境中的通行密钥。
后续步骤
有关 Microsoft Authenticator 中的密钥的详细信息,请参阅Microsoft Authenticator 身份验证方法。 若要将 Authenticator 中的密钥启用为一种用户登录方式,请参阅在 Microsoft Authenticator 中启用密钥。