Jelszó nélküli bejelentkezés engedélyezése a Microsoft Authenticatorrel

  • Cikk

A Microsoft Authenticator használatával jelszó nélkül is bejelentkezhet bármely Microsoft Entra-fiókba. A Microsoft Authenticator kulcsalapú hitelesítéssel engedélyezi az eszközhöz kötött felhasználói hitelesítő adatokat, ahol az eszköz PIN-kódot vagy biometrikus azonosítót használ. Vállalati Windows Hello hasonló technológiát használ.

Ez a hitelesítési technológia bármilyen eszközplatformon használható, beleértve a mobileszközöket is. Ez a technológia bármely olyan alkalmazással vagy webhelytel is használható, amely integrálható a Microsoft Authentication Libraries szolgáltatással.

Képernyőkép egy olyan böngészőbeli bejelentkezésről, amely arra kéri a felhasználót, hogy hagyja jóvá a bejelentkezést.

Kapcsolatok, aki engedélyezte a telefonos bejelentkezést a Microsoft Authenticatorból, megjelenik egy üzenet, amely arra kéri őket, hogy koppintson egy számra az alkalmazásban. A rendszer nem kér felhasználónevet vagy jelszót. Az alkalmazás bejelentkezési folyamatának befejezéséhez a felhasználónak a következő műveleteket kell végrehajtania:

  1. Adja meg a bejelentkezési képernyőn látható számot a Microsoft Authenticator párbeszédpanelen.
  2. Válassza a Jóváhagyás lehetőséget.
  3. Adja meg PIN-kódját vagy biometrikus azonosítóját.

Több fiók iOS rendszeren

Bármilyen támogatott iOS-eszközön engedélyezheti a jelszó nélküli telefonos bejelentkezést több fiókhoz a Microsoft Authenticatorban. A Microsoft Entra ID-ban több fiókkal rendelkező tanácsadók, diákok és mások hozzáadhatnak minden fiókot a Microsoft Authenticatorhoz, és jelszó nélküli telefonos bejelentkezést használhatnak mindannyiuk számára ugyanabból az iOS-eszközről.

Korábban előfordulhat, hogy a rendszergazdák nem igényelnek jelszó nélküli bejelentkezést a több fiókkal rendelkező felhasználók számára, mert több eszközt kell használniuk a bejelentkezéshez. Ha eltávolítja egy felhasználó bejelentkezésének korlátozását egy eszközről, a rendszergazdák magabiztosabban ösztönözhetik a felhasználókat, hogy regisztrálják a jelszó nélküli telefonos bejelentkezést, és az alapértelmezett bejelentkezési módszerként használják.

A Microsoft Entra-fiókok lehetnek ugyanabban a bérlőben vagy különböző bérlőkben. A vendégfiókok nem támogatottak több fiók bejelentkezéséhez egyetlen eszközről.

Előfeltételek

Ha jelszó nélküli telefonos bejelentkezést szeretne használni a Microsoft Authenticator használatával, a következő előfeltételeknek kell teljesülniük:

  • Ajánlott: Microsoft Entra többtényezős hitelesítés, leküldéses értesítések engedélyezése ellenőrzési módszerként. Az okostelefonra vagy táblagépre irányuló leküldéses értesítések segítenek az Authenticator alkalmazásnak a fiókokhoz való jogosulatlan hozzáférés megakadályozásában és a csalásos tranzakciók leállításában. Az Authenticator alkalmazás automatikusan generál kódokat, amikor beállítja a leküldéses értesítéseket. A felhasználó akkor is rendelkezik biztonsági mentési bejelentkezési módszerrel, ha az eszköz nem rendelkezik kapcsolattal.
  • A Microsoft Authenticator legújabb verziója iOS vagy Android rendszerű eszközökön van telepítve.
  • Android esetén a Microsoft Authenticatort futtató eszköznek regisztrálva kell lennie egy egyéni felhasználónál. Aktívan dolgozunk több fiók androidos engedélyezésén.
  • iOS esetén az eszközt regisztrálni kell minden olyan bérlőnél, ahol a bejelentkezéshez használják. Az alábbi eszközt például regisztrálni kell a Contoso és a Wingtiptoys szolgáltatásban, hogy az összes fiók bejelentkezhesse:
    • balas@contoso.com
    • balas@wingtiptoys.com és bsandhu@wingtiptoys

Ha jelszó nélküli hitelesítést szeretne használni a Microsoft Entra-azonosítóban, először engedélyezze a kombinált regisztrációs felületet, majd engedélyezze a felhasználók számára a jelszó nélküli módszert.

Jelszó nélküli telefonos bejelentkezési hitelesítési módszerek engedélyezése

Tipp.

A cikkben szereplő lépések a portáltól függően kissé eltérhetnek.

A Microsoft Entra ID segítségével kiválaszthatja, hogy a bejelentkezési folyamat során mely hitelesítési módszerek használhatók. A felhasználók ezután regisztrálhatnak a használni kívánt módszerre. A Microsoft Authenticator hitelesítési módszer szabályzata a hagyományos leküldéses MFA-metódust és a jelszó nélküli hitelesítési módszert is kezeli.

Feljegyzés

Ha engedélyezte a Microsoft Authenticator jelszó nélküli bejelentkezését a PowerShell használatával, az engedélyezve lett a teljes címtárban. Ha engedélyezi az új módszer használatát, az felülírja a PowerShell-szabályzatot. Javasoljuk, hogy a bérlő összes felhasználója számára engedélyezze az új Hitelesítési módszerek menüt, ellenkező esetben az új házirendben nem szereplő felhasználók nem tudnak jelszó nélkül bejelentkezni.

A jelszó nélküli telefonos bejelentkezés hitelesítési módszerének engedélyezéséhez hajtsa végre a következő lépéseket:

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább hitelesítési szabályzatként Rendszergazda istratorként.

  2. Keresse meg a védelmi>hitelesítési módszerek szabályzatát.>

  3. A Microsoft Authenticator területen válassza a következő beállításokat:

    1. Engedélyezés – Igen vagy Nem
    2. Cél – Minden felhasználó vagy felhasználó kiválasztása

  4. Minden hozzáadott csoport vagy felhasználó alapértelmezés szerint engedélyezi a Microsoft Authenticator használatát jelszó nélküli és leküldéses értesítési módban ("Bármely" módban). A mód módosításához a hitelesítési mód minden sorához válassza az Any vagy a Passwordless (Bármely) lehetőséget. A Leküldés beállítás megakadályozza a jelszó nélküli telefonos bejelentkezési hitelesítő adatok használatát.

  5. Az új szabályzat alkalmazásához kattintson a Mentés gombra.

    Feljegyzés

    Ha a mentés során hibaüzenet jelenik meg, az ok oka a hozzáadott felhasználók vagy csoportok száma lehet. Áthidaló megoldásként cserélje le a hozzáadni kívánt felhasználókat és csoportokat egyetlen csoportra ugyanabban a műveletben, majd válassza ismét a Mentés lehetőséget.

Felhasználói regisztráció

A felhasználók regisztrálják magukat a Microsoft Entra ID jelszó nélküli hitelesítési módszerére. Azon felhasználók számára, akik már regisztrálták a Microsoft Authenticator alkalmazást többtényezős hitelesítésre, ugorjon a következő szakaszra, és engedélyezze a telefonos bejelentkezést.

Közvetlen telefonos bejelentkezés regisztrációja

A felhasználók közvetlenül a Microsoft Authenticator alkalmazáson belül regisztrálhatnak jelszó nélküli telefonos bejelentkezésre anélkül, hogy először regisztrálniuk kellene a Microsoft Authenticatort a fiókjukkal, miközben soha nem kérnek jelszót. Ennek módja az alábbi:

  1. Szerezze be az ideiglenes hozzáférési bérletet a Rendszergazda vagy a szervezettől.
  2. Töltse le és telepítse a Microsoft Authenticator alkalmazást a mobileszközére.
  3. Nyissa meg a Microsoft Authenticatort, és kattintson a Fiók hozzáadása elemre, majd válassza a Munkahelyi vagy iskolai fiók lehetőséget.
  4. Válassza a Bejelentkezés lehetőséget.
  5. Az utasításokat követve jelentkezzen be a fiókjával a Rendszergazda vagy szervezet által biztosított ideiglenes hozzáférési bérlettel.
  6. Bejelentkezés után folytassa a telefonos bejelentkezés beállításához szükséges további lépéseket.

Irányított regisztráció saját bejelentkezésekkel

Feljegyzés

A felhasználók csak kombinált regisztrációval regisztrálhatják a Microsoft Authenticatort, ha a Microsoft Authenticator hitelesítési módja bármely vagy leküldéses.

A Microsoft Authenticator alkalmazás regisztrálásához kövesse az alábbi lépéseket:

  1. Nyissa meg a következő címet: https://aka.ms/mysecurityinfo.
  2. Jelentkezzen be, majd válassza a >Metódushitelesítő alkalmazás>hozzáadása lehetőséget a Microsoft Authenticator hozzáadásához.
  3. Kövesse az utasításokat a Microsoft Authenticator alkalmazás telepítéséhez és konfigurálásához az eszközön.
  4. Válassza a Kész lehetőséget a Microsoft Authenticator konfigurációjának befejezéséhez.

Telefonos bejelentkezés engedélyezése

Miután a felhasználók regisztrálták magukat a Microsoft Authenticator alkalmazásba, engedélyezniük kell a telefonos bejelentkezést:

  1. A Microsoft Authenticatorban válassza ki a regisztrált fiókot.
  2. Válassza a Telefonos bejelentkezés engedélyezése lehetőséget.
  3. Kövesse az alkalmazás utasításait a jelszó nélküli telefonos bejelentkezés fiók regisztrációjának befejezéséhez.

A szervezet jelszó használata nélkül utasíthatja a felhasználókat, hogy jelentkezzenek be a telefonjukkal. A Microsoft Authenticator konfigurálásával és a telefonos bejelentkezés engedélyezésével kapcsolatos további segítségért lásd : Bejelentkezés a fiókokba a Microsoft Authenticator alkalmazással.

Feljegyzés

Azok a felhasználók, akiknek a szabályzata nem engedélyezi a telefonos bejelentkezés használatát, többé nem tudják engedélyezni azt a Microsoft Authenticatorban.

Bejelentkezés jelszó nélküli hitelesítő adatokkal

A felhasználók az alábbi műveletek elvégzése után elkezdhetik használni a jelszó nélküli bejelentkezést:

  • A rendszergazda engedélyezte a felhasználó bérlőjét.
  • A felhasználó bejelentkezési módszerként hozzáadta a Microsoft Authenticatort.

Amikor egy felhasználó először indítja el a telefonos bejelentkezési folyamatot, a felhasználó végrehajtja a következő lépéseket:

  1. A bejelentkezési oldalon adja meg a nevüket.
  2. A Tovább gombot választja.
  3. Ha szükséges, válassza a Bejelentkezés egyéb módjai lehetőséget.
  4. A Kérelem jóváhagyása az Authenticator alkalmazáson jelölőnégyzetet választja.

A felhasználó ekkor megjelenik egy számmal. Az alkalmazás a jelszó megadása helyett a megfelelő szám beírásával kéri a felhasználót a hitelesítésre.

Miután a felhasználó jelszó nélküli telefonos bejelentkezést használt, az alkalmazás továbbra is végigvezeti a felhasználót ezen a módszeren. A felhasználó azonban látni fogja a másik metódus kiválasztásának lehetőségét.

A Microsoft Authenticator alkalmazással való bejelentkezést szemléltető példa képernyőképe.

Ideiglenes hozzáférési engedély

Ha a bérlői rendszergazda engedélyezte az önkiszolgáló jelszóátállítást (SSPR), és egy felhasználó először állít be jelszó nélküli bejelentkezést az Authenticator alkalmazással ideiglenes hozzáférési jelszó használatával, a következő lépéseket kell követnie:

  1. A felhasználónak meg kell nyitnia egy böngészőt egy mobileszközön vagy asztali gépen, és meg kell nyitnia a mySecurity információs oldalát.
  2. A felhasználónak regisztrálnia kell az Authenticator alkalmazást bejelentkezési módszerként. Ez a művelet összekapcsolja a felhasználó fiókját az alkalmazással.
  3. A felhasználónak ezután vissza kell térnie a mobileszközére, és aktiválnia kell a jelszó nélküli bejelentkezést az Authenticator alkalmazáson keresztül.

Menedzsment

A Hitelesítési módszerek házirendje a Microsoft Authenticator kezelésének ajánlott módja. A hitelesítési házirend Rendszergazda istratorok szerkeszthetik ezt a házirendet a Microsoft Authenticator engedélyezéséhez vagy letiltásához. Rendszergazda bizonyos felhasználókat és csoportokat tartalmazhatnak vagy zárhatnak ki a használatukból.

Rendszergazda paramétereket is konfigurálhat, hogy jobban szabályozhassa a Microsoft Authenticator használatát. Hozzáadhatnak például helyet vagy alkalmazásnevet a bejelentkezési kérelemhez, hogy a felhasználók nagyobb kontextusban legyenek a jóváhagyásuk előtt.

A globális Rendszergazda istratorok bérlőszintű alapon is kezelhetik a Microsoft Authenticatort régi MFA- és SSPR-szabályzatok használatával. Ezek a szabályzatok lehetővé teszik, hogy a Microsoft Authenticator engedélyezve legyen vagy le legyen tiltva a bérlő összes felhasználója számára. Nincs lehetőség arra, hogy bárkit belefoglaljon vagy kizárjon, vagy szabályozhatja, hogy a Microsoft Authenticator hogyan használható a bejelentkezéshez.

Ismert problémák

Az alábbi ismert problémák léteznek.

Nem látja a jelszó nélküli telefonos bejelentkezés lehetőségét

Egy esetben a felhasználó egy megválaszolatlan, jelszó nélküli telefonos bejelentkezési ellenőrzéssel rendelkezhet, amely függőben van. Ha a felhasználó újra megpróbál bejelentkezni, előfordulhat, hogy csak a jelszó megadásának lehetőségét látja.

A forgatókönyv megoldásához kövesse az alábbi lépéseket:

  1. Nyissa meg a Microsoft Authenticatort.
  2. Válaszoljon az értesítési kérésekre.

Ezután a felhasználó továbbra is használhatja a jelszó nélküli telefonos bejelentkezést.

Az AuthenticatorAppSignInPolicy nem támogatott

Az AuthenticatorAppSignInPolicy egy örökölt szabályzat, amelyet a Microsoft Authenticator nem támogat. Annak érdekében, hogy a felhasználók leküldéses értesítéseket vagy jelszó nélküli telefonos bejelentkezést engedélyezzenek az Authenticator alkalmazással, használja a Hitelesítési módszerek házirendet.

Összevont fiókok

Ha egy felhasználó engedélyezte a jelszó nélküli hitelesítő adatokat, a Microsoft Entra bejelentkezési folyamata leáll a login_hint használatával. Ezért a folyamat már nem gyorsítja fel a felhasználót egy összevont bejelentkezési hely felé.

Ez a logika általában megakadályozza, hogy egy hibrid bérlő felhasználója az Active Directory összevont szolgáltatásokhoz (AD FS) legyen irányítva a bejelentkezés ellenőrzéséhez. A felhasználó azonban továbbra is a Jelszó használata gombra kattint.

Helyszíni felhasználók

A végfelhasználók helyszíni identitásszolgáltatón keresztül engedélyezhetik a többtényezős hitelesítést. A felhasználó továbbra is létrehozhat és használhat egyetlen jelszó nélküli telefonos bejelentkezési hitelesítő adatot.

Ha a felhasználó a jelszó nélküli telefonos bejelentkezési hitelesítő adatokkal megkísérli frissíteni a Microsoft Authenticator több telepítését (5+) is, ez a módosítás hibát okozhat.

Következő lépések

A Microsoft Entra-hitelesítésről és a jelszó nélküli módszerekről az alábbi cikkekben olvashat: