Aktivera lösenordsfri autentisering med Microsoft Authenticator

  • Artikel

Microsoft Authenticator kan användas för att logga in på ett Microsoft Entra-konto utan att använda ett lösenord. Microsoft Authenticator använder nyckelbaserad autentisering för att aktivera en användarautentiseringsuppgift som är kopplad till en enhet, där enheten använder en PIN-kod eller biometrisk kod. Windows Hello för företag använder en liknande teknik.

Den här autentiseringstekniken kan användas på valfri enhetsplattform, inklusive mobil. Den här tekniken kan också användas med alla appar eller webbplatser som integreras med Microsofts autentiseringsbibliotek.

Skärmbild som visar ett exempel på en webbläsarinloggning där användaren uppmanas att godkänna inloggningen.

Personer som har aktiverat telefoninloggning från Microsoft Authenticator visas ett meddelande som ber dem att trycka på ett nummer i sin app. Inget användarnamn eller lösenord efterfrågas. För att slutföra inloggningsprocessen i appen måste en användare vidta följande åtgärder:

  1. Ange det nummer som visas på inloggningsskärmen i dialogrutan Microsoft Authenticator.
  2. Välj Godkänn.
  3. Ange deras PIN-kod eller biometriska kod.

Flera konton i iOS

Du kan aktivera lösenordslös telefoninloggning för flera konton i Microsoft Authenticator på valfri iOS-enhet som stöds. Konsulter, studenter och andra med flera konton i Microsoft Entra-ID kan lägga till varje konto i Microsoft Authenticator och använda lösenordslös telefoninloggning för alla från samma iOS-enhet.

Tidigare kanske administratörer inte behöver lösenordslös inloggning för användare med flera konton eftersom de måste ha fler enheter för inloggning. Genom att ta bort begränsningen för en användares inloggning från en enhet kan administratörer på ett mer säkert sätt uppmuntra användare att registrera lösenordslös telefoninloggning och använda den som standardinloggningsmetod.

Microsoft Entra-kontona kan finnas i samma klientorganisation eller i olika klientorganisationer. Gästkonton stöds inte för flera kontoinloggningar från en enhet.

Förutsättningar

Om du vill använda lösenordslös telefoninloggning med Microsoft Authenticator måste följande krav uppfyllas:

  • Rekommenderas: Microsoft Entra multifaktorautentisering, med push-meddelanden tillåtna som en verifieringsmetod. Push-meddelanden till din smartphone eller surfplatta hjälper Authenticator-appen att förhindra obehörig åtkomst till konton och stoppa bedrägliga transaktioner. Authenticator-appen genererar automatiskt koder när den konfigureras för att göra push-meddelanden. En användare har en metod för säkerhetskopieringsinloggning även om deras enhet inte har någon anslutning.
  • Den senaste versionen av Microsoft Authenticator installerad på enheter som kör iOS eller Android.
  • För Android måste enheten som kör Microsoft Authenticator vara registrerad på en enskild användare. Vi arbetar aktivt med att aktivera flera konton på Android.
  • För iOS måste enheten vara registrerad hos varje klientorganisation där den används för att logga in. Till exempel måste följande enhet registreras med Contoso och Wingtiptoys för att alla konton ska kunna logga in:
    • balas@contoso.com
    • balas@wingtiptoys.com och bsandhu@wingtiptoys

Om du vill använda lösenordslös autentisering i Microsoft Entra-ID aktiverar du först den kombinerade registreringsupplevelsen och aktiverar sedan användare för den lösenordslösa metoden.

Aktivera lösenordslösa autentiseringsmetoder för telefoninloggning

Dricks

Stegen i den här artikeln kan variera något beroende på vilken portal du börjar från.

Med Microsoft Entra ID kan du välja vilka autentiseringsmetoder som kan användas under inloggningsprocessen. Användarna registrerar sig sedan för de metoder som de vill använda. Principen för Microsoft Authenticator-autentiseringsmetod hanterar både den traditionella push-MFA-metoden och den lösenordslösa autentiseringsmetoden.

Kommentar

Om du aktiverade lösenordslös inloggning i Microsoft Authenticator med PowerShell aktiverades den för hela katalogen. Om du aktiverar med den här nya metoden ersätter den PowerShell-principen. Vi rekommenderar att du aktiverar för alla användare i din klient via den nya menyn Autentiseringsmetoder , annars kan användare som inte är med i den nya principen inte logga in utan lösenord.

Utför följande steg för att aktivera autentiseringsmetoden för lösenordslös telefoninloggning:

  1. Logga in på administrationscentret för Microsoft Entra som minst administratör för autentiseringsprinciper.

  2. Bläddra till Principer för skyddsautentiseringsmetoder>>.

  3. Under Microsoft Authenticator väljer du följande alternativ:

    1. Aktivera – Ja eller Nej
    2. Mål – Alla användare eller Välj användare

  4. Varje tillagd grupp eller användare är aktiverad som standard för att använda Microsoft Authenticator i både lösenordslösa och push-meddelandelägen ("Alla"-läge). Om du vill ändra läget för varje rad för autentiseringsläge väljer du Valfri eller Lösenordslös. Om du väljer Push förhindras användning av lösenordsfria autentiseringsuppgifter för telefoninloggning.

  5. Om du vill tillämpa den nya principen klickar du på Spara.

    Kommentar

    Om du ser ett fel när du försöker spara kan orsaken bero på antalet användare eller grupper som läggs till. Som en lösning ersätter du de användare och grupper som du försöker lägga till med en enda grupp i samma åtgärd och väljer sedan Spara igen.

Användarregistrering

Användare registrerar sig för den lösenordslösa autentiseringsmetoden för Microsoft Entra-ID. För användare som redan har registrerat Microsoft Authenticator-appen för multifaktorautentisering går du vidare till nästa avsnitt och aktiverar telefoninloggning.

Registrering av direkttelefoninloggning

Användare kan registrera sig för lösenordslös telefoninloggning direkt i Microsoft Authenticator-appen utan att först behöva registrera Microsoft Authenticator med sitt konto, samtidigt som de aldrig får ett lösenord. Så här gör du:

  1. Skaffa ett tillfälligt åtkomstpass från administratören eller organisationen.
  2. Ladda ned och installera Microsoft Authenticator-appen på din mobila enhet.
  3. Öppna Microsoft Authenticator och klicka på Lägg till konto och välj sedan Arbets- eller skolkonto.
  4. Välj Logga in.
  5. Följ anvisningarna för att logga in med ditt konto med hjälp av det tillfälliga åtkomstpasset som tillhandahålls av administratören eller organisationen.
  6. När du har loggat in fortsätter du att följa de ytterligare stegen för att konfigurera telefoninloggning.

Guidad registrering med Mina inloggningar

Kommentar

Användare kan bara registrera Microsoft Authenticator via kombinerad registrering om autentiseringsläget för Microsoft Authenticator är till Valfri eller Push.

Följ dessa steg för att registrera Microsoft Authenticator-appen:

  1. Bläddra till https://aka.ms/mysecurityinfo.
  2. Logga in och välj sedan Lägg till metod>Authenticator-appen>Lägg till för att lägga till Microsoft Authenticator.
  3. Följ anvisningarna för att installera och konfigurera Microsoft Authenticator-appen på enheten.
  4. Välj Klar för att slutföra Microsoft Authenticator-konfigurationen.

Aktivera telefoninloggning

När användarna har registrerat sig för Microsoft Authenticator-appen måste de aktivera telefoninloggning:

  1. I Microsoft Authenticator väljer du det registrerade kontot.
  2. Välj Aktivera telefoninloggning.
  3. Följ anvisningarna i appen för att slutföra registreringen av kontot för lösenordslös telefoninloggning.

En organisation kan instruera sina användare att logga in med sina telefoner, utan att använda ett lösenord. Mer information om hur du konfigurerar Microsoft Authenticator och aktiverar telefoninloggning finns i Logga in på dina konton med hjälp av Microsoft Authenticator-appen.

Kommentar

Användare som inte tillåts av principen att använda telefoninloggning kan inte längre aktivera den i Microsoft Authenticator.

Logga in med lösenordslösa autentiseringsuppgifter

En användare kan börja använda lösenordslös inloggning när alla följande åtgärder har slutförts:

  • En administratör har aktiverat användarens klientorganisation.
  • Användaren har lagt till Microsoft Authenticator som inloggningsmetod.

Första gången en användare startar inloggningsprocessen för telefonen utför användaren följande steg:

  1. Anger deras namn på inloggningssidan.
  2. Väljer Nästa.
  3. Om det behövs väljer du Andra sätt att logga in på.
  4. Väljer Godkänn en begäran i min Authenticator-app.

Användaren visas sedan med ett tal. Appen uppmanar användaren att autentisera genom att skriva rätt nummer, i stället för genom att ange ett lösenord.

När användaren har använt lösenordslös telefoninloggning fortsätter appen att vägleda användaren genom den här metoden. Användaren ser dock alternativet att välja en annan metod.

Skärmbild som visar ett exempel på en webbläsarinloggning med hjälp av Microsoft Authenticator-appen.

Tillfälligt åtkomstpass

Om klientadministratören har aktiverat självbetjäning av lösenordsåterställning (SSPR) och en användare konfigurerar lösenordslös inloggning med Authenticator-appen för första gången med hjälp av ett tillfälligt åtkomstlösenord bör följande steg följas:

  1. Användaren bör öppna en webbläsare på en mobil enhet eller stationär dator och gå till sidan mySecurity-information .
  2. Användaren måste registrera Authenticator-appen som inloggningsmetod. Den här åtgärden länkar användarens konto till appen.
  3. Användaren bör sedan återgå till sin mobila enhet och aktivera lösenordslös inloggning via Authenticator-appen.

Hantering

Principen Autentiseringsmetoder är det rekommenderade sättet att hantera Microsoft Authenticator. Administratörer av autentiseringsprinciper kan redigera den här principen för att aktivera eller inaktivera Microsoft Authenticator. Administratörer kan inkludera eller exkludera specifika användare och grupper från att använda det.

Administratörer kan också konfigurera parametrar för att bättre styra hur Microsoft Authenticator kan användas. De kan till exempel lägga till plats- eller appnamn i inloggningsbegäran så att användarna får större kontext innan de godkänner.

Globala administratörer kan också hantera Microsoft Authenticator på klientorganisationsbasis med hjälp av äldre MFA- och SSPR-principer. Dessa principer gör att Microsoft Authenticator kan aktiveras eller inaktiveras för alla användare i klientorganisationen. Det finns inga alternativ för att inkludera eller exkludera någon, eller styra hur Microsoft Authenticator kan användas för inloggning.

Kända problem

Följande kända problem finns.

Det går inte att se alternativet för lösenordslös telefoninloggning

I ett scenario kan en användare ha en obesvarad lösenordslös inloggningsverifiering som väntar. Om användaren försöker logga in igen kanske de bara ser alternativet att ange ett lösenord.

Lös det här scenariot genom att följa dessa steg:

  1. Öppna Microsoft Authenticator.
  2. Svara på eventuella meddelandemeddelanden.

Sedan kan användaren fortsätta att använda lösenordslös telefoninloggning.

AuthenticatorAppSignInPolicy stöds inte

AuthenticatorAppSignInPolicy är en äldre princip som inte stöds med Microsoft Authenticator. Använd principen Autentiseringsmetoder för att göra det möjligt för användarna att skicka push-meddelanden eller lösenordslös telefoninloggning med Authenticator-appen.

Federerade konton

När en användare har aktiverat lösenordslösa autentiseringsuppgifter slutar Inloggningsprocessen för Microsoft Entra att använda login_hint. Därför påskyndas inte längre användaren mot en federerad inloggningsplats.

Den här logiken förhindrar vanligtvis att en användare i en hybridklientorganisation dirigeras till Active Directory Federated Services (AD FS) för inloggningsverifiering. Användaren behåller dock alternativet att klicka på Använd lösenordet i stället.

Lokala användare

En slutanvändare kan aktiveras för multifaktorautentisering via en lokal identitetsprovider. Användaren kan fortfarande skapa och använda en enda lösenordslös autentiseringsuppgift för telefoninloggning.

Om användaren försöker uppgradera flera installationer (5+) av Microsoft Authenticator med lösenordslös autentiseringsuppgift för telefoninloggning kan den här ändringen resultera i ett fel.

Nästa steg

Mer information om Microsoft Entra-autentisering och lösenordslösa metoder finns i följande artiklar: