Включение входа без пароля с помощью Microsoft Authenticator
Microsoft Authenticator можно использовать для входа в любую учетную запись Microsoft Entra без использования пароля. Microsoft Authenticator использует проверку подлинности на основе ключей для включения учетных данных пользователя, привязанных к устройству, где устройство использует ПИН-код или биометрические данные. Windows Hello для бизнеса использует аналогичную технологию.
Эту технологию проверки подлинности можно использовать на любой платформе устройств, включая мобильные устройства. Эту технологию также можно использовать с любым приложением или веб-сайтом, который интегрируется с библиотеками проверки подлинности Майкрософт.
Пользователи, которые включили вход телефона из Microsoft Authenticator, видят сообщение, которое просит их коснуться номера в приложении. Имя пользователя или пароль не запрашивается. Чтобы завершить процесс входа в приложение, пользователь должен выполнить следующие действия:
- Введите номер, который они видят на экране входа в диалоговое окно Microsoft Authenticator.
- Выберите " Утвердить".
- Укажите пин-код или биометрические данные.
Несколько учетных записей
Вы можете включить вход без пароля для нескольких учетных записей в Microsoft Authenticator на любом поддерживаемом устройстве Android или iOS. Консультанты, учащиеся и другие пользователи с несколькими учетными записями в идентификаторе Microsoft Entra могут добавлять каждую учетную запись в Microsoft Authenticator и использовать вход без пароля для всех пользователей с одного устройства.
Ранее администраторы не могут требовать входа без пароля для пользователей с несколькими учетными записями, так как для входа в систему требуется больше устройств. Удаляя ограничение на вход одного пользователя с устройства, администраторы могут более уверенно поощрять пользователей регистрировать вход без пароля и использовать его в качестве метода входа по умолчанию.
Учетные записи Microsoft Entra могут находиться в одном клиенте или в разных клиентах. Гостевые учетные записи не поддерживаются для нескольких входов учетных записей с одного устройства.
Необходимые условия
Чтобы использовать вход без пароля с помощью Microsoft Authenticator, необходимо выполнить следующие предварительные требования:
- Рекомендуется: многофакторная проверка подлинности Microsoft Entra с push-уведомлениями, разрешенными в качестве метода проверки. Push-уведомления на смартфон или планшет помогают приложению Authenticator предотвратить несанкционированный доступ к учетным записям и остановить мошеннические транзакции. Приложение Authenticator автоматически создает коды при настройке push-уведомлений. У пользователя есть метод входа в резервную копию, даже если у устройства нет подключения.
- Последняя версия Microsoft Authenticator, установленная на устройствах под управлением iOS или Android.
- Устройство должно быть зарегистрировано в каждом клиенте, где оно используется для входа. Например, следующее устройство должно быть зарегистрировано в Contoso и Wingtiptoys, чтобы разрешить вход всем учетным записям:
- [email protected]
- [email protected] и bsandhu@wingtiptoys
Чтобы использовать проверку подлинности без пароля в идентификаторе Microsoft Entra, сначала включите объединенный интерфейс регистрации, а затем включите пользователей для метода без пароля.
Включение методов проверки подлинности без пароля для телефона
Кончик
Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.
Идентификатор Microsoft Entra позволяет администраторам политик проверки подлинности выбрать, какие методы проверки подлинности можно использовать для входа. Они могут включить Microsoft Authenticator в политике методов проверки подлинности для управления традиционным методом push-проверки подлинности и методом проверки подлинности без пароля.
После включения Microsoft Authenticator в качестве метода проверки подлинности пользователи могут перейти к своим сведениям о безопасности, чтобы зарегистрировать Microsoft Authenticator в качестве способа входа. Они увидят Microsoft Authenticator, указанный в качестве метода в сведениях о безопасности. Например, они увидят Microsoft Authenticator-Passwordless или Microsoft Authenticator-MFA Push в зависимости от того, что включено и зарегистрировано.
Чтобы включить метод проверки подлинности для входа без пароля, выполните следующие действия.
Войдите в Центр администрирования Microsoft Entra как минимум администратор политики проверки подлинности.
Перейдите к политикам методов>проверки подлинности защиты.>
В разделе Microsoft Authenticator выберите следующие параметры:
- Включение — да или нет
- Целевой объект — все пользователи или выбор пользователей
Каждая добавленная группа или пользователь по умолчанию включена для использования Microsoft Authenticator как в режимах без пароля, так и в режиме push-уведомлений ("Любой". Чтобы изменить режим, для каждой строки для режима проверки подлинности выберите "Любой" или "Без пароля". При выборе push-уведомлений не допускается использование учетных данных входа без пароля.
Чтобы применить новую политику, нажмите кнопку "Сохранить".
Заметка
Если при попытке сохранить возникает ошибка, причина может быть вызвана количеством добавляемых пользователей или групп. В качестве обходного решения замените пользователей и группы, которые вы пытаетесь добавить с одной группой, в той же операции и нажмите кнопку "Сохранить еще раз".
Регистрация пользователей
Пользователи регистрируются для метода проверки подлинности без пароля идентификатора Microsoft Entra. Для пользователей, которые уже зарегистрировали приложение Microsoft Authenticator для многофакторной проверки подлинности, перейдите к следующему разделу, включите вход на телефон.
Регистрация прямого входа по телефону
Пользователи могут зарегистрировать вход без пароля на телефон непосредственно в приложении Microsoft Authenticator без необходимости сначала зарегистрировать Microsoft Authenticator с учетной записью, в то время как никогда не накапливать пароль. Вот как:
- Получите временный проход доступа от администратора или организации.
- Скачайте и установите приложение Microsoft Authenticator на мобильном устройстве.
- Откройте Microsoft Authenticator и нажмите кнопку "Добавить учетную запись", а затем выберите рабочую или учебную учетную запись.
- Выберите вход.
- Следуйте инструкциям для входа с учетной записью с помощью временной передачи доступа, предоставленной администратором или организацией.
- После входа перейдите к дополнительным инструкциям по настройке входа на телефон.
Интерактивная регистрация с помощью моих входов
Заметка
Пользователи смогут зарегистрировать Microsoft Authenticator только через объединенную регистрацию, если режим проверки подлинности Microsoft Authenticator имеет значение Any или Push.
Чтобы зарегистрировать приложение Microsoft Authenticator, выполните следующие действия.
- Перейдите к https://aka.ms/mysecurityinfo.
- Войдите, а затем нажмите кнопку Add method>Authenticator app Add (Добавить приложение>Authenticator), чтобы добавить Microsoft Authenticator.
- Следуйте инструкциям по установке и настройке приложения Microsoft Authenticator на устройстве.
- Выберите "Готово", чтобы завершить настройку Microsoft Authenticator.
Включение входа по телефону
После регистрации пользователей в приложении Microsoft Authenticator им необходимо включить вход на телефон:
- В Microsoft Authenticator выберите учетную запись, зарегистрированную.
- Нажмите кнопку "Включить вход на телефон".
- Следуйте инструкциям в приложении, чтобы завершить регистрацию учетной записи для входа без пароля.
Организация может направлять своих пользователей на вход с помощью своих телефонов без использования пароля. Дополнительные сведения о настройке Microsoft Authenticator и включении входа по телефону см. в статье "Вход в учетные записи" с помощью приложения Microsoft Authenticator.
Заметка
Пользователи, которым не разрешено использовать вход по телефону, больше не могут включить его в Microsoft Authenticator.
Вход с помощью учетных данных без пароля
Пользователь может начать использовать вход без пароля после завершения всех следующих действий:
- Администратор включил клиент пользователя.
- Пользователь добавил Microsoft Authenticator в качестве метода входа.
При первом запуске процесса входа в телефон, пользователь выполняет следующие действия:
- Введите свое имя на странице входа.
- Нажмите кнопку "Далее".
- При необходимости выберите другие способы входа.
- Выбирает утверждение запроса для приложения Authenticator.
Затем пользователь будет представлен номером. Приложение предложит пользователю пройти проверку подлинности, введя соответствующее число вместо ввода пароля.
После того как пользователь использовал вход без пароля, приложение продолжает управлять пользователем с помощью этого метода. Однако пользователь увидит вариант выбора другого метода.
Временный проход доступа
Если администратор клиента включил самостоятельный сброс пароля (SSPR) и пользователь настраивает вход без пароля в приложении Authenticator впервые с помощью пароля с помощью пароля временного доступа, выполните следующие действия.
- Пользователь должен открыть браузер на мобильном устройстве или на рабочем столе и перейти на страницу сведений mySecurity .
- Пользователь должен зарегистрировать приложение Authenticator в качестве метода входа. Это действие связывает учетную запись пользователя с приложением.
- Затем пользователь должен вернуться на мобильное устройство и активировать вход без пароля с помощью приложения Authenticator.
Управление
Политика методов проверки подлинности — это рекомендуемый способ управления Microsoft Authenticator. Администраторы политик проверки подлинности могут изменить эту политику, чтобы включить или отключить Microsoft Authenticator. Администраторы могут включать или исключать определенных пользователей и групп из него.
Администраторы также могут настроить параметры для более эффективного управления способом использования Microsoft Authenticator. Например, они могут добавить расположение или имя приложения в запрос на вход, чтобы пользователи имели больше контекста перед утверждением.
Известные проблемы
Существуют следующие известные проблемы.
Не отображается параметр для входа без пароля телефона
В одном сценарии пользователь может иметь незавершенную проверку входа телефона без пароля, которая ожидается. Если пользователь пытается войти еще раз, он может увидеть только параметр ввода пароля.
Чтобы устранить этот сценарий, выполните следующие действия.
- Откройте Microsoft Authenticator.
- Отвечайте на запросы уведомлений.
Затем пользователь может продолжать использовать вход без пароля.
AuthenticatorAppSignInPolicy не поддерживается
AuthenticatorAppSignInPolicy — это устаревшая политика, которая не поддерживается в Microsoft Authenticator. Чтобы пользователи могли отправлять push-уведомления или вход без пароля с помощью приложения Authenticator, используйте политику методов проверки подлинности.
Федеративные учетные записи
Если пользователь включил какие-либо учетные данные без пароля, процесс входа Microsoft Entra останавливается с помощью login_hint. Поэтому процесс больше не ускоряет пользователя к федеративной папке входа.
Эта логика обычно предотвращает перенаправление пользователя в гибридном клиенте в федеративные службы Active Directory (AD FS) для проверки входа. Однако пользователь сохраняет возможность щелкнуть "Использовать пароль" вместо этого.
Локальные пользователи
Конечный пользователь может быть включен для многофакторной проверки подлинности через локальный поставщик удостоверений. Пользователь по-прежнему может создавать и использовать учетные данные входа без пароля.
Если пользователь пытается обновить несколько установок (5+) Microsoft Authenticator с учетными данными входа без пароля, это изменение может привести к ошибке.
Дальнейшие действия
Дополнительные сведения о методах проверки подлинности и без пароля Microsoft Entra см. в следующих статьях: