使用 Microsoft Authenticator 來啟用無密碼登入

  • 文章

Microsoft Authenticator 可用來登入任何 Microsoft Entra 帳戶,而不需使用密碼。 Microsoft Authenticator 會使用密鑰型驗證來啟用系結至裝置的用戶認證,其中裝置會使用 PIN 或生物特徵辨識。 Windows Hello 企業版 使用類似的技術。

此驗證技術可用於任何裝置平臺上,包括行動裝置。 這項技術也可以與與 Microsoft 驗證連結庫整合的任何應用程式或網站搭配使用。

此螢幕快照顯示瀏覽器登入的範例,要求使用者核准登入。

從 Microsoft Authenticator 啟用電話登入的 人員 會看到一則訊息,要求他們在應用程式中點選號碼。 系統不會要求使用者名稱或密碼。 若要完成應用程式中的登入程式,使用者接下來必須採取下列動作:

  1. 在 [Microsoft Authenticator] 對話框中,輸入他們在登入畫面上看到的數位。
  2. 選擇 [ 核准]。
  3. 提供其 PIN 或生物特徵辨識。

iOS 上的多個帳戶

您可以在任何支援的 iOS 裝置上,為 Microsoft Authenticator 中的多個帳戶啟用無密碼電話登入。 Microsoft Entra ID 中具有多個帳戶的顧問、學生和其他帳戶,可以將每個帳戶新增至 Microsoft Authenticator,並針對所有帳戶使用相同的 iOS 裝置使用無密碼電話登入。

先前,系統管理員可能不需要對具有多個帳戶的用戶進行無密碼登入,因為它需要他們攜帶更多裝置進行登入。 藉由從裝置移除一位使用者登入的限制,系統管理員可以更自信地鼓勵用戶註冊無密碼手機登入,並將其作為其默認登入方法。

Microsoft Entra 帳戶可以位於相同的租使用者或不同的租使用者中。 一部裝置的多個帳戶登入不支援來賓帳戶。

必要條件

若要搭配 Microsoft Authenticator 使用無密碼電話登入,必須符合下列必要條件:

  • 建議:Microsoft Entra 多重要素驗證,並允許推播通知做為驗證方法。 將推播通知傳送到您的智慧型手機或平板電腦,可協助驗證器應用程式防止未經授權的帳戶存取,並停止詐騙交易。 Authenticator 應用程式會在設定為執行推播通知時自動產生程式碼。 使用者具有備份登入方法,即使其裝置沒有連線能力也一樣。
  • 在執行 iOS 或 Android 的裝置上安裝最新版本的 Microsoft Authenticator。
  • 針對Android,執行 Microsoft Authenticator 的裝置必須向個別用戶註冊。 我們正積極努力在Android上啟用多個帳戶。
  • 針對 iOS,裝置必須向用來登入的每個租用戶註冊。 例如,下列裝置必須向 Contoso 和 Wingtiptoys 註冊,以允許所有帳戶登入:
    • balas@contoso.com
    • balas@wingtiptoys.com 和 bsandhu@wingtiptoys

若要在 Microsoft Entra ID 中使用無密碼驗證,請先啟用合併的註冊體驗,然後啟用無密碼方法的使用者。

啟用無密碼電話登入驗證方法

提示

本文中的步驟可能會根據您從開始的入口網站稍有不同。

Microsoft Entra ID 可讓您選擇在登入程序進行期間可以使用的驗證方法。 然後,使用者便可註冊其想要使用的方法。 Microsoft Authenticator 驗證方法原則會同時管理傳統的推送 MFA 方法和無密碼驗證方法。

注意

如果您使用PowerShell啟用 Microsoft Authenticator 無密碼登入,則會針對整個目錄啟用它。 如果您使用這個新方法啟用,則會取代 PowerShell 原則。 建議您透過新的 [驗證方法] 功能表為租使用者中的所有使用者啟用 ,否則不在新原則中的使用者無法在沒有密碼的情況下登入。

若要啟用無密碼電話登入的驗證方法,請完成下列步驟:

  1. 以至少驗證原則 管理員 istrator 身分登入 Microsoft Entra 系統管理中心

  2. 流覽至 [保護>驗證方法>原則]。

  3. 在 [Microsoft Authenticator] 下,選擇下列選項:

    1. 啟用 - 是或否
    2. 目標 - 所有使用者或選取使用者

  4. 默認會啟用每個新增的群組或使用者,以在無密碼和推播通知模式中使用 Microsoft Authenticator (“Any” 模式)。 若要變更模式,請針對 [驗證] 模式的每個數據列選擇 [任何][密碼]。 選擇 [推送] 可防止使用無密碼手機登入認證。

  5. 若要套用新的原則,請按一下 [儲存]

    注意

    如果您在嘗試儲存時看到錯誤,原因可能是因為新增的使用者或群組數目。 因應措施是,將您嘗試新增的使用者和群組取代為相同作業中的單一群組,然後再次選取 [ 儲存 ]。

用戶註冊

使用者自行註冊 Microsoft Entra ID 的無密碼驗證方法。 對於已註冊 Microsoft Authenticator 應用程式以進行 多重要素驗證的使用者,請跳至下一節, 啟用手機登入

直接電話登入註冊

使用者可以直接在 Microsoft Authenticator 應用程式中註冊無密碼手機登入,而不需要先向其帳戶註冊 Microsoft Authenticator,而一律永遠不會獲得密碼。 方法如下:

  1. 從您的 管理員 或組織取得暫時存取權。
  2. 在您的行動裝置上下載並安裝 Microsoft Authenticator 應用程式。
  3. 開啟 Microsoft Authenticator,然後按兩下 [ 新增帳戶 ],然後選擇 [ 公司或學校帳戶]。
  4. 選擇 [登入]。
  5. 請遵循指示,使用您 管理員 或組織所提供的暫時存取傳遞,以使用您的帳戶登入。
  6. 登入之後,請繼續遵循其他步驟來設定手機登入。

使用我的登入進行引導式註冊

注意

如果 Microsoft Authenticator 驗證模式為 [任何] 或 [推送],則使用者只能透過合併註冊來註冊 Microsoft Authenticator。

若要註冊 Microsoft Authenticator 應用程式,請遵循下列步驟:

  1. 瀏覽至 https://aka.ms/mysecurityinfo
  2. 登入,然後選取 [新增方法>Authenticator] 應用程式>[新增] 以新增 Microsoft Authenticator。
  3. 請依照指示在您的裝置上安裝及設定 Microsoft Authenticator 應用程式。
  4. 選取 [完成] 以完成 Microsoft Authenticator 設定。

啟用手機登入

使用者自行註冊 Microsoft Authenticator 應用程式之後,他們必須啟用手機登入:

  1. Microsoft Authenticator 中,選取已註冊的帳戶。
  2. 選取 [ 啟用手機登入]。
  3. 依照應用程式中的指示完成註冊無密碼手機登入的帳戶。

組織可以指示其使用者使用手機登入,而不需使用密碼。 如需設定 Microsoft Authenticator 並啟用電話登入的進一步協助,請參閱 使用 Microsoft Authenticator 應用程式登入您的帳戶。

注意

原則不允許使用手機登入的用戶將無法再於 Microsoft Authenticator 內啟用。

使用無密碼認證登入

完成下列所有動作之後,使用者就可以開始使用無密碼登入:

  • 系統管理員已啟用使用者的租使用者。
  • 使用者已將 Microsoft Authenticator 新增為登入方法。

使用者第一次啟動電話登入程式時,用戶會執行下列步驟:

  1. 在登入頁面上輸入其名稱。
  2. 選取 [ 下一步]。
  3. 如有必要,請選取 [其他登入方式]。
  4. 選取 [在我的驗證器應用程式上核准要求]。

然後,使用者會看到數位。 應用程式會提示使用者輸入適當的號碼來進行驗證,而不是輸入密碼。

當使用者使用無密碼手機登入之後,應用程式會繼續引導使用者完成此方法。 不過,使用者會看到選擇另一種方法的選項。

顯示使用 Microsoft Authenticator 應用程式登入瀏覽器範例的螢幕快照。

暫時存取通行證

如果租用戶系統管理員已啟用自助式密碼重設 (SSPR),且使用者第一次使用暫時存取密碼來設定驗證器應用程式的無密碼登入,則應該遵循下列步驟:

  1. 用戶應該在行動裝置或桌面上開啟瀏覽器,並流覽至 mySecurity 資訊頁面。
  2. 用戶必須將 Authenticator 應用程式註冊為其登入方法。 此動作會將用戶帳戶連結至應用程式。
  3. 然後,用戶應返回其行動裝置,並透過 Authenticator 應用程式啟用無密碼登入。

管理

驗證方法原則是管理 Microsoft Authenticator 的建議方式。 驗證原則 管理員 istrators 可以編輯此原則來啟用或停用 Microsoft Authenticator。 管理員 可以包含或排除特定使用者和群組,使其無法使用。

管理員 也可以設定參數,以更妥善地控制 Microsoft Authenticator 的使用方式。 例如,他們可以將位置或應用程式名稱新增至登入要求,讓使用者在核准之前擁有更大的內容。

全域 管理員 istrators 也可以使用舊版 MFA 和 SSPR 原則,在租用戶範圍內管理 Microsoft Authenticator。 這些原則可讓租使用者中的所有使用者啟用或停用 Microsoft Authenticator。 沒有任何選項可包含或排除任何人,或控制 Microsoft Authenticator 如何用於登入。

已知問題

下列已知問題存在。

看不到無密碼手機登入的選項

在一個案例中,使用者可以有擱置中未接聽的無密碼手機登入驗證。 如果用戶嘗試再次登入,他們可能只會看到輸入密碼的選項。

若要解決此案例,請遵循下列步驟:

  1. 開啟 Microsoft Authenticator。
  2. 回應任何通知提示。

然後,用戶可以繼續使用無密碼手機登入。

不支援 AuthenticatorAppSignInPolicy

AuthenticatorAppSignInPolicy 是 Microsoft Authenticator 不支援的舊版原則。 若要讓使用者使用 Authenticator 應用程式進行推播通知或無密碼電話登入,請使用 驗證方法原則

同盟帳戶

當使用者啟用任何無密碼認證時,Microsoft Entra 登入程式會停止使用 login_hint。 因此,此程式不會再將使用者加速至同盟登入位置。

此邏輯通常會防止混合式租使用者中的用戶導向 Active Directory 同盟服務 (AD FS) 進行登入驗證。 不過,使用者會保留按兩下 [改用密碼] 的選項。

內部部署使用者

用戶可透過內部部署識別提供者啟用多重要素驗證。 使用者仍然可以建立並使用單一無密碼手機登入認證。

如果用戶嘗試使用無密碼手機登入認證升級 Microsoft Authenticator 的多個安裝(5+),這項變更可能會導致錯誤。

下一步

若要瞭解 Microsoft Entra 驗證和無密碼方法,請參閱下列文章: