Проведение кампании регистрации для настройки Microsoft Authenticator

Вы можете напомнить пользователям о необходимости настройки Microsoft Authenticator во время входа. Пользователи проходят обычный вход, выполняют многофакторную проверку подлинности как обычно, а затем получают запрос на настройку Microsoft Authenticator. Вы можете включать или исключать пользователей или группы, чтобы контролировать, кому будет предложено настроить приложение, и создавать целевые кампании для поощрения пользователей переходить от менее безопасных методов аутентификации к использованию Authenticator.

Вы также можете определить, сколько дней пользователь может отложить или "отключить" побуждение. Если пользователь нажимает Пропустить сейчас, чтобы отложить настройку приложения, ему снова напомнят при следующей попытке MFA после истечения времени отложенной активации. Вы можете решить, может ли пользователь откладывать напоминание на неопределённое время или до трёх раз, впоследствии потребуется регистрация.

Примечание.

Когда пользователи проходят через обычный процесс входа, политики условного доступа, управляющие регистрацией сведений о безопасности, применяются до того, как пользователь будет побужден настроить Authenticator. Например, если политика условного доступа требует, чтобы обновления сведений о безопасности происходили только во внутренней сети, то пользователям не будет предложено настроить Authenticator, если они не находятся во внутренней сети.

Предварительные условия

  • Если вы хотите узнать количество пользователей, которые зарегистрировали каждую проверку подлинности перед настройкой кампании регистрации, см. отчет о действиях методов проверки подлинности.
  • Ваша организация должна включить многофакторную проверку подлинности Microsoft Entra. Кампания регистрации не имеет требований к лицензии.
  • Пользователи уже не могут настроить приложение Authenticator для push-уведомлений в своей учетной записи.
  • Администраторы должны разрешить использование приложения для аутентификации пользователями в политике методов аутентификации. Для режима проверки подлинности необходимо задать значение Any или Push. Если режим аутентификации установлен в значение "Без пароля", пользователи не получают напоминание. Дополнительные сведения о настройке режима проверки подлинности см. в разделе "Включить вход без пароля" с помощью Microsoft Authenticator.

Взаимодействие с пользователем

  1. Сначала необходимо успешно пройти проверку подлинности с помощью многофакторной проверки подлинности Microsoft Entra (MFA).

  2. Если вы включили push-уведомления Authenticator и еще не настроили его, вам будет предложено настроить Authenticator, чтобы улучшить работу входа.

    Примечание.

    Другие функции безопасности, такие как секретный ключ без пароля, самостоятельный сброс пароля или параметры безопасности по умолчанию, могут также запрашивать настройку.

    Снимок экрана: многофакторная проверка подлинности.

  3. Нажмите кнопку "Далее " и выполните шаги по настройке приложения Authenticator.

  4. Сначала скачайте приложение.

    Скриншот загрузки Microsoft Authenticator.

    1. Узнайте, как настроить приложение Authenticator.

      Снимок экрана: Microsoft Authenticator.

    2. Просканируйте QR-код.

      Снимок экрана: QR-код.

    3. Подтвердите свою личность.

      Снимок экрана: экран «Подтвердите вашу личность».

    4. Утвердите тестовое уведомление на вашем устройстве.

      Снимок экрана: уведомление о тестировании.

    5. Приложение Аутентификатор теперь успешно настроено.

      Снимок экрана: завершение установки.

  5. Если вы не хотите установить приложение Authenticator, вы можете нажать кнопку "Пропустить сейчас", чтобы отложить запрос до 14 дней, который можно задать администратором. Пользователи с бесплатными и пробными подписками могут отложить запрос до трех раз.

    Снимок экрана параметра отсрочки.

Включение политики кампании регистрации с помощью Центра администрирования Microsoft Entra

Чтобы включить кампанию регистрации в Центре администрирования Microsoft Entra, выполните следующие действия.

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор политики проверки подлинности.

  2. Перейдите к Entra ID>методам проверки подлинности>кампании регистрации и нажмите Изменить.

  3. Для State:

    • Выберите "Включено" , чтобы включить кампанию регистрации для всех пользователей.
    • Выберите управляется Microsoft, чтобы включить кампанию регистрации только для пользователей, использующих голосовые звонки или текстовые сообщения. Управляемый параметр Майкрософт позволяет корпорации Майкрософт задать значение по умолчанию. Дополнительные сведения см. в разделе "Защита методов проверки подлинности" в идентификаторе Microsoft Entra.

    Если для состояния кампании регистрации задано значение Enabled или Microsoft managed, можно настроить интерфейс для конечных пользователей с помощью ограниченного количества snoozes:

    • Если включена функция ограниченного числа отложек, пользователи могут пропустить запрос прерывания 3 раза, после чего они будут вынуждены зарегистрировать приложение аутентификации.
    • Если Ограниченное число откладываний отключено, пользователи могут откладывать неограниченное количество раз и избежать регистрации в Authenticator.

    Дни, разрешенные для откладывания или перерыва задают период между двумя последовательными подсказками прерывания. Например, если установлено на 3 дня, пользователи, которые пропустили регистрацию, не будут запрашиваться снова в течение 3 дней.

    Снимок экрана: включение кампании регистрации.

  4. Выберите всех пользователей или групп, чтобы исключить из кампании регистрации, а затем нажмите кнопку "Сохранить".

Включение политики кампании регистрации с помощью Graph Explorer

Помимо использования Центра администрирования Microsoft Entra, вы также можете включить политику кампании регистрации с помощью Graph Explorer. Чтобы активировать политику кампании регистрации, необходимо применить политику способов проверки подлинности с помощью API Graph. Те, кто назначен по крайней мере роль администратора политики проверки подлинности , могут обновить политику.

Чтобы настроить политику с помощью Graph Explorer, сделайте следующее:

  1. Войдите в обозреватель Graph и убедитесь, что вы предоставили согласие на разрешения Policy.Read.All и Policy.ReadWrite.AuthenticationMethod .

    Чтобы открыть панель "Разрешения", сделайте следующее:

    Снимок экрана: обозреватель Graph.

  2. Получите политику методов проверки подлинности:

    GET https://graph.microsoft.com/v1.0/policies/authenticationmethodspolicy

  3. Обновите раздел registrationEnforcement и authenticationMethodsRegistrationCampaign политики, чтобы включить напоминание для пользователя или группы.

    Снимок экрана: ответ API.

    Чтобы обновить политику, выполните PATCH-запрос к политике методов проверки подлинности, содержащий только обновленный раздел registrationEnforcement:

    PATCH https://graph.microsoft.com/v1.0/policies/authenticationmethodspolicy

В следующей таблице перечислены свойства authenticationMethodsRegistrationCampaign .

Имя. Возможные значения Описание
ПродолжительностьОтложенногоРежимаВДнях Диапазон: 0 – 14 Определяет количество дней до повторного уведомления пользователя.
Если значение равно 0, пользователю будет дано ненавязчивое напоминание при каждой попытке выполнения многофакторной аутентификации.
По умолчанию: 1 день.
обязательная регистрация после разрешенных отсрочек правда
ложь		 Определяет, требуется ли пользователю выполнить настройку после 3 откладываний.
Если условие истинно, пользователю нужно зарегистрироваться.
Если значение false, пользователь может отложить на неопределенное время.
Значение по умолчанию: true
государство включено
отключено
по умолчанию		 Позволяет включить или отключить функцию.
Значение по умолчанию используется, если конфигурация не была явно задана и будет использовать значение по умолчанию идентификатора Microsoft Entra для этого параметра. Состояние по умолчанию включено для пользователей голосовых вызовов и текстовых сообщений во всех тенантах.
Измените состояние на включено (для всех пользователей) или отключено по мере необходимости.
исключитьЦели Н/П Позволяет исключить различных пользователей и группы, которых вы хотите исключить из функции. Если пользователь принадлежит к группе, которая исключена, и одновременно состоит в другой группе, которая включена, этот пользователь будет исключен из функции.
включитьЦели Н/П Позволяет включить различных пользователей и группы, которых вы хотите нацелить функцией.

В следующей таблице перечислены свойства includeTargets.

Имя. Возможные значения Описание
тип цели пользователь
"группа"		 Тип целевой сущности.
Идентификатор Идентификатор GUID Идентификатор целевого пользователя или группы.
целевой метод аутентификации Microsoft Authenticator Метод аутентификации, который пользователь подталкивается зарегистрировать. Единственное допустимое значение: "microsoftAuthenticator".

В следующей таблице перечислены свойства excludeTargets .

Имя. Возможные значения Описание
тип цели пользователь
"группа"		 Тип целевой сущности.
Идентификатор Строка Идентификатор целевого пользователя или группы.

Примеры

Ниже приведено несколько примеров JSON, которые можно использовать для начала работы.

  • включает всех пользователей

    Если вы хотите включить всех пользователей в вашей организации, обновите следующий пример JSON с соответствующими идентификаторами GUID ваших пользователей и групп. Затем вставьте его в Graph Explorer и выполните PATCH на конечной точке.

    {
"registrationEnforcement": {
        "authenticationMethodsRegistrationCampaign": {
            "snoozeDurationInDays": 1,
            "enforceRegistrationAfterAllowedSnoozes": true,
            "state": "enabled",
            "excludeTargets": [],
            "includeTargets": [
                {
                    "id": "all_users",
                    "targetType": "group",
                    "targetedAuthenticationMethod": "microsoftAuthenticator"
                }
            ]
        }
    }
}

  • Включение определенных пользователей или групп пользователей

    Если вы хотите включить в вашего клиента некоторых пользователей или групп, обновите следующий пример JSON с соответствующими GUID ваших пользователей и групп. Затем вставьте JSON в Graph Explorer и выполните PATCH на endpoint.

    {
"registrationEnforcement": {
      "authenticationMethodsRegistrationCampaign": {
          "snoozeDurationInDays": 1,
          "enforceRegistrationAfterAllowedSnoozes": true,
          "state": "enabled",
          "excludeTargets": [],
          "includeTargets": [
              {
                  "id": "*********PLEASE ENTER GUID***********",
                  "targetType": "group",
                  "targetedAuthenticationMethod": "microsoftAuthenticator"
              },
              {
                  "id": "*********PLEASE ENTER GUID***********",
                  "targetType": "user",
                  "targetedAuthenticationMethod": "microsoftAuthenticator"
              }
          ]
      }
  }
}

  • Включение и исключение определенных пользователей или групп

    Если вы хотите включить и исключить определенных пользователей или групп в клиенте, обновите следующий пример JSON с соответствующими идентификаторами GUID пользователей и групп. Затем вставьте его в Graph Explorer и выполните PATCH на конечной точке.

    {
"registrationEnforcement": {
        "authenticationMethodsRegistrationCampaign": {
            "snoozeDurationInDays": 1,
            "enforceRegistrationAfterAllowedSnoozes": true,
            "state": "enabled",
            "excludeTargets": [
                {
                    "id": "*********PLEASE ENTER GUID***********",
                    "targetType": "group"
                },
              {
                    "id": "*********PLEASE ENTER GUID***********",
                    "targetType": "user"
                }
            ],
            "includeTargets": [
                {
                    "id": "*********PLEASE ENTER GUID***********",
                    "targetType": "group",
                    "targetedAuthenticationMethod": "microsoftAuthenticator"
                },
                {
                    "id": "*********PLEASE ENTER GUID***********",
                    "targetType": "user",
                    "targetedAuthenticationMethod": "microsoftAuthenticator"
                }
            ]
        }
    }
}

Определение GUID пользователей для вставки в файлы JSON

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор политики проверки подлинности.

  2. В колонке "Управление" коснитесь " Пользователи".

  3. На странице "Пользователи" определите конкретного пользователя, на который вы хотите нацелиться.

  4. При касании конкретного пользователя вы увидите их идентификатор объекта, который является GUID пользователя.

    Идентификатор объекта пользователя

Определите GUID групп для вставки в файлы JSON

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор политики проверки подлинности.

  2. В панели "Управление" коснитесь Группы.

  3. На странице "Группы" определите целевую группу.

  4. Коснитесь группы и получите ID объекта.

    Группа Nudge

Ограничения

Напоминание не будет отображаться на мобильных устройствах с Android или iOS.

Часто задаваемые вопросы

Могут ли пользователи быть подталкиваемы в приложении?

Да, мы поддерживаем внедренные представления браузера в некоторых приложениях. Мы не подталкиваем пользователей в стандартных интерфейсах на этапе первой настройки или в представлениях браузера, встроенных в параметры Windows.

Могут ли пользователи быть подстегнуты в рамках сеанса единого входа?

Nudge не срабатывает, если пользователь уже вошел в систему через SSO.

Могут ли пользователи быть подтолкнуты на мобильном устройстве?

Кампания регистрации недоступна на мобильных устройствах.

Сколько времени длится кампания?

Вы можете включить кампанию до тех пор, пока вы хотите. Каждый раз, когда вы хотите завершить выполнение кампании, используйте центр администрирования или API для ее остановки.

Может ли каждая группа пользователей иметь другую продолжительность ожидания?

№ Длительность откладывания для запроса является настройкой на уровне всего арендатора и применяется ко всем группам в пределах охвата.

Можно ли подтолкнуть пользователей к настройке входа по телефону без пароля?

Эта функция позволяет администраторам напомнить пользователям о необходимости настройки многофакторной проверки подлинности с использованием приложения Authenticator, а не входа на телефоне без пароля.

Увидит ли пользователь, который входит с помощью приложения аутентификатора третьей стороны, подсказку?

Да. Если пользователь включен в кампанию регистрации и Microsoft Authenticator для push-уведомлений не настроен, пользователю рекомендуется настроить Authenticator.

Будет ли пользователь, настроивший Authenticator только для кодов TOTP, увидит напоминание?

Да. Если пользователь подключен к кампании регистрации и если приложение Authenticator не настроено для push-уведомлений, пользователю предлагается настроить push-уведомления с помощью приложения Authenticator.

Если пользователь только что прошел регистрацию MFA, они подталкиваются в том же сеансе входа?

№ Чтобы обеспечить удобство для пользователей, их не будут побуждать настраивать Аутентификатор в том же сеансе, в котором они регистрируют другие методы аутентификации.

Можно ли подталкивать пользователей к регистрации другого метода проверки подлинности?

№ Сейчас эта функция предназначена только для напоминания пользователям о настройке приложения Authenticator.

Существует ли способ скрыть опцию "Отложить" и обязать моих пользователей настроить приложение Authenticator?

Задайте ограниченное количество откладываний на «Включено», чтобы пользователи могли отложить настройку приложения до трех раз, после чего настройка становится обязательной.

Смогу ли я мотивировать своих пользователей, если я не использую многофакторную аутентификацию Microsoft Entra?

№ Nudge работает только для пользователей, которые выполняют MFA с помощью службы многофакторной проверки подлинности Microsoft Entra.

Будут ли пользователи Guest/B2B в моем клиенте получать напоминания?

Да. Если они были выбраны для напоминания с использованием политики.

Что делать, если пользователь закрывает браузер?

Это то же самое, что и отложенное пробуждение. Если настройка требуется для пользователя после того, как они отложили три раза, при следующем входе пользователь получит напоминание.

Почему некоторые пользователи не видят намек, когда действует политика условного доступа по регистрации сведений о безопасности?

Напоминание не появится, если пользователь находится под действием политики условного доступа, которая блокирует доступ к странице регистрации данных безопасности.

Видят ли пользователи уведомление, когда на экране входа отображаются условия использования (ToU)?

Предупреждение не будет отображаться, если при входе пользователя показывается экран условий использования (ToU).

Видят ли пользователи подсказку, когда при входе в систему применяются пользовательские элементы управления условного доступа?

При авторизации подсказка не появится, если пользователь будет перенаправлен из-за настроек пользовательских элементов управления условного доступа.

Существуют ли какие-либо планы прекратить использование SMS и Голосовой связи в качестве методов, доступных для MFA?

Нет, нет таких планов.

Следующие шаги

Включение входа без пароля с помощью Microsoft Authenticator

  • Last updated on