如何執行註冊活動以設定 Microsoft Authenticator
您可以在登入期間,提示使用者設定 Microsoft Authenticator。 使用者會經歷一般登入,照常執行多重要素驗證,然後系統會提示使用者設定 Microsoft Authenticator。 您可以包含或排除使用者或群組,以控制要提示誰設定應用程式。 這可讓目標活動將使用者從較不安全的驗證方法移至 Authenticator。
您也可以定義使用者可以延期或「延遲」提示的天數。 如果使用者點選 [暫時跳過] 以延遲應用程式設定,則在延遲持續時間過後,系統會在使用者下一次進行 MFA 嘗試時再次提示。 您可以決定使用者是否可以無限期延遲或最多三次 (之後必須註冊)。
注意
當使用者進行一般登入時,系統會先套用管理安全性資訊註冊的條件式存取原則,再提示使用者設定 Authenticator。 例如,如果條件式存取原則要求安全性資訊更新只能在內部網路進行,則除非使用者位於內部網路,否則系統不會提示使用者設定 Authenticator。
必要條件
- 您的組織必須已啟用 Microsoft Entra 多重要素驗證。 每個版本的 Microsoft Entra ID 都包含 Microsoft Entra 多重要素驗證。 註冊活動不需要任何其他授權。
- 使用者尚未在其帳戶上設定 Authenticator 應用程式以供推播通知。
- 系統管理員必須使用下列其中一種原則,為使用者啟用 Authenticator 應用程式:
- MFA 註冊原則:使用者必須透過行動裝置應用程式啟用通知。
- 驗證方法原則:使用者必須啟用 Authenticator 應用程式,並將驗證模式設定為 [任何] 或 [推送]。 如果原則設定為 [無密碼],則使用者不符合提示的資格。 如需如何設定驗證模式的詳細資訊,請參閱使用 Microsoft Authenticator 啟用無密碼登入。
使用者體驗
首先,您必須使用 Microsoft Entra 多重要素驗證 (MFA) 成功驗證。
如果您已啟用 Authenticator 推播通知但尚未設定,系統會提示您設定 Authenticator 以改善登入體驗。
注意
其他安全性功能,例如無密碼通行金鑰、自助式密碼重設或安全性預設值,也可能會提示您進行設定。
點選 [下一步],並逐步完成 Authenticator 應用程式設定。
請先下載應用程式。
了解如何設定 Authenticator 應用程式。
掃描 QR 代碼。
驗證您的身分識別。
裝置上的核准測試通知。
Authenticator 應用程式現在已成功設定。
如果您不想安裝 Authenticator 應用程式,可以點選 [暫時略過],最多可讓提示延遲 14 天,延遲時間長度可由系統管理員設定。使用免費試用訂閱的使用者最多可將提示延遲三次。
使用 Microsoft Entra 系統管理中心啟用註冊活動原則
若要在 Microsoft Entra 系統管理中心啟用註冊活動,請完成下列步驟:
至少以驗證原則系統管理員身分登入 Microsoft Entra 系統管理中心。
瀏覽至 [資料保護]>[驗證方法]>[註冊活動],然後按一下 [編輯]。
在 [狀態] 部分:
- 選取 [已啟用] 以啟用所有使用者的註冊活動。
- 選取 [Microsoft 管理],只針對語音通話或簡訊使用者啟用註冊活動。 [Microsoft 管理] 設定可讓Microsoft 設定預設值。 如需詳細資訊,請參閱保護 Microsoft Entra ID 中的驗證方法。
如果註冊活動狀態設定為 [已啟用] 或 [Microsoft 管理],您可以使用 [限制延遲數目] 來設定終端使用者的體驗:
- 如果已啟用 [限制延遲數目],則使用者可以略過插斷提示 3 次,之後就會被迫註冊 Authenticator。
- 如果已停用 [限制延遲數目],使用者可以無限次延遲,且不用註冊 Authenticator。
[允許延遲的天數] 設定兩次連續插斷提示之間的時間長度。 例如,如果設定為 3 天,則略過註冊的使用者在 3 天後才會再次收到提示。
選取要從註冊活動中排除的任何使用者或群組,然後按一下 [儲存]。
使用 Graph 總管啟用註冊活動原則
除了使用 Microsoft Entra 系統管理中心之外,您也可以使用 Graph 總管來啟用註冊活動原則。 若要啟用註冊活動原則,您必須藉由 Graph API 來使用 Authentication 方法原則。 至少獲指派驗證原則管理員角色的使用者可以更新原則。
若要使用 Graph 總管來設定原則:
登入 Graph 總管並且確定您同意 Policy.Read.All 和 Policy.ReadWrite.AuthenticationMethod 權限。
若要開啟權限面板:
擷取驗證方法原則:
GET https://graph.microsoft.com/v1.0/policies/authenticationmethodspolicy
更新原則的 registrationEnforcement 和 authenticationMethodsRegistrationCampaign 區段,對使用者或群組啟用提示。
若要更新原則,請只對驗證方法原則含有已更新 registrationEnforcement 的區段執行 PATCH:
PATCH https://graph.microsoft.com/v1.0/policies/authenticationmethodspolicy
下表列出 authenticationMethodsRegistrationCampaign 屬性。
名稱 | 可能值 | 描述 |
---|---|---|
snoozeDurationInDays | 範圍:0 - 14 | 定義再次微調使用者之前的天數。 如果值為 0,則會在每次嘗試 MFA 時提示使用者。 預設值:1 天 |
enforceRegistrationAfterAllowedSnoozes | "true" "false" |
指定使用者是否需要在 3 次延遲之後執行設定。 如果為 true,則需要使用者註冊。 如果為 false,使用者可以無限期延遲。 預設值:true |
state | 「已啟用」 「已停用」 "default" |
可讓您啟用或停用功能。 當設定尚未明確設定時會使用預設值,而且會針對此設定使用 Microsoft Entra ID 預設值。 所有租用戶中的語音通話和簡訊使用者均啟用預設狀態。 視需要將狀態變更為啟用 (針對所有使用者) 或停用。 |
excludeTargets | N/A | 可讓您排除想要從功能忽略的不同使用者和群組。 如果使用者同時位於已排除和已包含的群組中,則會將該使用者從功能排除。 |
includeTargets | N/A | 可讓您包含想要作為功能目標的不同使用者和群組。 |
下表列出 includeTargets 屬性。
名稱 | 可能值 | 描述 |
---|---|---|
targetType | "user" 「群組」 |
作為目標的實體類型。 |
識別碼 | GUID 識別碼 | 作為目標的使用者或群組識別碼。 |
targetedAuthenticationMethod | "microsoftAuthenticator" | 系統提示使用者註冊的驗證方法。 唯一允許的值是 "microsoftAuthenticator"。 |
下表列出 excludeTargets 屬性。
名稱 | 可能值 | 描述 |
---|---|---|
targetType | "user" 「群組」 |
作為目標的實體類型。 |
識別碼 | 字串 | 作為目標的使用者或群組識別碼。 |
範例
以下是幾個您可以開始使用的範例 JSON!
包含所有使用者
如果您想要在租用戶中包含所有使用者,請使用使用者和群組的相關 GUID 來更新下列 JSON 範例。 然後,在 Graph 總管中貼上該範例並在端點上執行
PATCH
。{ "registrationEnforcement": { "authenticationMethodsRegistrationCampaign": { "snoozeDurationInDays": 1, "enforceRegistrationAfterAllowedSnoozes": true, "state": "enabled", "excludeTargets": [], "includeTargets": [ { "id": "all_users", "targetType": "group", "targetedAuthenticationMethod": "microsoftAuthenticator" } ] } } }
包含特定使用者或使用者群組
如果您想要在租用戶中包含特定使用者或群組,請使用使用者和群組的相關 GUID 來更新下列 JSON 範例。 然後,在 Graph 總管中貼上 JSON,並在端點上執行
PATCH
。{ "registrationEnforcement": { "authenticationMethodsRegistrationCampaign": { "snoozeDurationInDays": 1, "enforceRegistrationAfterAllowedSnoozes": true, "state": "enabled", "excludeTargets": [], "includeTargets": [ { "id": "*********PLEASE ENTER GUID***********", "targetType": "group", "targetedAuthenticationMethod": "microsoftAuthenticator" }, { "id": "*********PLEASE ENTER GUID***********", "targetType": "user", "targetedAuthenticationMethod": "microsoftAuthenticator" } ] } } }
包含及排除特定使用者或群組
如果您想要在租用戶中包含及排除特定使用者或群組,請使用使用者和群組的相關 GUID 來更新下列 JSON 範例。 然後,在 Graph 總管中貼上該範例並在端點上執行
PATCH
。{ "registrationEnforcement": { "authenticationMethodsRegistrationCampaign": { "snoozeDurationInDays": 1, "enforceRegistrationAfterAllowedSnoozes": true, "state": "enabled", "excludeTargets": [ { "id": "*********PLEASE ENTER GUID***********", "targetType": "group" }, { "id": "*********PLEASE ENTER GUID***********", "targetType": "user" } ], "includeTargets": [ { "id": "*********PLEASE ENTER GUID***********", "targetType": "group", "targetedAuthenticationMethod": "microsoftAuthenticator" }, { "id": "*********PLEASE ENTER GUID***********", "targetType": "user", "targetedAuthenticationMethod": "microsoftAuthenticator" } ] } } }
識別要插入 JSON 中的使用者 GUID
至少以驗證原則系統管理員身分登入 Microsoft Entra 系統管理中心。
在 [管理] 刀鋒視窗中,點選 [使用者]。
在 [使用者] 頁面中,識別您想要設為目標的特定使用者。
當您點選特定使用者時,您會看到其物件識別碼,也就是使用者的 GUID。
識別要插入 JSON 中的群組 GUID
至少以驗證原則系統管理員身分登入 Microsoft Entra 系統管理中心。
在 [管理] 刀鋒視窗中,點選 [群組]。
在 [群組] 頁面中,識別您想要設為目標的特定群組。
點選群組並取得物件識別碼。
限制
在執行 Android 或 iOS 的行動裝置上,將不會顯示提示。
常見問題集
MFA Server 是否使用註冊活動?
否,註冊活動僅適用於使用 Microsoft Entra 多重要素驗證的使用者。
是否可以在應用程式內微調使用者?
是,我們支援特定應用程式中的內嵌瀏覽器檢視。 我們不會在現成可用的體驗或內嵌於 Windows 設定中的瀏覽器檢視中提示使用者。
可以在行動裝置上提示使用者嗎?
註冊活動無法在行動裝置上使用。
活動的執行時間長度?
您可以視您想要的時間長度啟用活動。 當您想要完成活動執行時,請使用系統管理中心或 API 來停用活動。
每個使用者群組是否可以有不同的延遲持續時間?
否。 提示的延遲持續時間是整個租用戶的設定,適用於範圍內的所有群組。
使用者可以收到提示以設定無密碼電話登入嗎?
此功能的目標是系統管理員可以讓使用者使用 Authenticator 應用程式來設定 MFA,而不是使用無密碼手機登入。
使用第三方驗證器應用程式登入的使用者可以看到提示嗎?
是。 如果使用者已啟用註冊活動,且未設定 Microsoft Authenticator 的推播通知,則系統會提示使用者設定 Authenticator。
Authenticator 僅設定 TOTP 代碼的使用者是否可以看到提示?
是。 如果使用者已啟用註冊活動,且未設定 Authenticator 應用程式的推播通知,則系統會提示使用者設定 Authenticator 的推播通知。
如果使用者剛剛完成 MFA 註冊,是否會在相同的登入工作階段中收到提示?
否。 為了提供良好的使用者體驗,使用者在已經註冊其他驗證方法的相同工作階段中不會收到設定 Authenticator 的提示。
我可以提示使用者註冊其他驗證方法嗎?
否。 此功能目前的目標只有提示使用者設定 Authenticator 應用程式。
我是否可以隱藏延遲選項,並且強制我的使用者設定 Authenticator 應用程式?
將 [限制延遲數目] 設定為 [已啟用],讓使用者可以將應用程式設定最多延後三次,之後才需要設定。
如果我不使用 Microsoft Entra 多重要素驗證,是否可以提示我的使用者?
否。 提示僅適用於使用 Microsoft Entra 多重要素驗證服務執行 MFA 的使用者。
我的租用戶中的來賓/B2B 使用者是否會收到提示?
是。 前提是已使用原則將他們納入提示的範圍。
如果使用者關閉瀏覽器該怎麼辦?
這與延遲相同。 如果使用者在延遲三次之後需要設定,則系統會在下一次使用者登入時提示。
當「登錄安全性資訊」有條件式存取原則時,為什麼有些使用者看不到提示?
如果使用者所在的條件式存取原則範圍會封鎖存取 [登錄安全性資訊] 頁面,就不會顯示提示。
使用者在登入時看到使用規定 (ToU) 畫面時,是否會看到提示?
如果使用者在登入時看到使用規定 (ToU) 畫面,就不會顯示提示。
若登入時可以使用條件式存取自訂控制項,使用者是否會看到提示?
如果使用者在登入時因條件式存取自訂控制項設定而重新導向,則不會顯示提示。
是否有任何計畫要中止文字簡訊和語音作為 MFA 的可用方法?
否,沒有這樣的計畫。