Omówienie połączonej rejestracji informacji zabezpieczających dla firmy Microsoft Entra

Przed połączeniem rejestracji użytkownicy zarejestrowali metody uwierzytelniania dla uwierzytelniania wieloskładnikowego firmy Microsoft i samoobsługowego resetowania hasła (SSPR) oddzielnie. Osoby mylić, że podobne metody były używane do uwierzytelniania wieloskładnikowego i samoobsługowego resetowania hasła, ale musieli zarejestrować się w obu funkcjach. Teraz w połączeniu rejestracji użytkownicy mogą rejestrować się raz i uzyskiwać korzyści zarówno z uwierzytelniania wieloskładnikowego, jak i samoobsługowego resetowania hasła. Zalecamy to wideo dotyczące włączania i konfigurowania samoobsługowego resetowania hasła w identyfikatorze Entra firmy Microsoft.

My Account showing registered Security info for a user

Przed włączeniem nowego środowiska zapoznaj się z dokumentacją skoncentrowaną na administratorach i dokumentacją skoncentrowaną na użytkownikach, aby upewnić się, że rozumiesz funkcjonalność i wpływ tej funkcji. Na podstawie dokumentacji użytkownika przygotuj użytkowników do nowego środowiska i pomóż zapewnić pomyślne wdrożenie.

Rejestracja połączonych informacji zabezpieczających firmy Microsoft Entra ID jest dostępna dla platformy Azure US Government, ale nie platformy Microsoft Azure obsługiwanej przez firmę 21Vianet.

Strony Moje konto są zlokalizowane na podstawie ustawień językowych komputera, który uzyskuje dostęp do strony. Firma Microsoft przechowuje najnowszy język używany w pamięci podręcznej przeglądarki, dlatego kolejne próby uzyskania dostępu do stron będą nadal renderowane w ostatnim języku. W przypadku wyczyszczenia pamięci podręcznej strony są ponownie renderowane.

Jeśli chcesz wymusić określony język, możesz dodać ?lng=<language> go na końcu adresu URL, gdzie <language> to kod języka, który chcesz renderować.

Set up SSPR or other security verification methods

Metody dostępne w połączonej rejestracji

Rejestracja połączona obsługuje metody i akcje uwierzytelniania w poniższej tabeli.

Metoda Zarejestruj Zmień Delete
Microsoft Authenticator Tak (maksymalnie 5) Nie. Tak
Inna aplikacja wystawcy uwierzytelniającego Tak (maksymalnie 5) Nie. Tak
Token sprzętowy Nie Nie. Tak
Phone Tak Tak Tak
Alternatywny telefon Tak Tak Tak
Telefon biurowy* Tak Tak Tak
Email Tak Tak Tak
Pytania zabezpieczające Tak Nie Tak
Passwords Nie. Tak Nie.
Hasła aplikacji* Tak Nie Tak
Klucze zabezpieczeń FIDO2* Tak Nie Tak

Uwaga

Jeśli włączysz aplikację Microsoft Authenticator dla trybu uwierzytelniania bez hasła w zasadach Metod uwierzytelniania, użytkownicy muszą również włączyć logowanie bez hasła w aplikacji Authenticator.

Alternatywny telefon można zarejestrować tylko w trybie zarządzania i https://aka.ms/mysecurityinfo wymaga włączenia połączeń głosowych w zasadach Metody uwierzytelniania.

Telefon office można zarejestrować tylko w trybie przerwania, jeśli właściwość telefonu służbowego użytkowników została ustawiona. Telefon office może być dodawany przez użytkowników w trybie zarządzanym bez https://aka.ms/mysecurityinfo tego wymagania.

Hasła aplikacji są dostępne tylko dla użytkowników, którzy zostali wymusieni dla uwierzytelniania wieloskładnikowego dla poszczególnych użytkowników. Hasła aplikacji nie są dostępne dla użytkowników, którzy są włączeni na potrzeby uwierzytelniania wieloskładnikowego firmy Microsoft za pomocą zasad dostępu warunkowego.

Klucze zabezpieczeń FIDO2 można dodawać tylko w trybie zarządzania w systemie https://aka.ms/mysecurityinfo.

Użytkownicy mogą ustawić jedną z następujących opcji jako domyślną metodę uwierzytelniania wieloskładnikowego.

  • Microsoft Authenticator — powiadomienie wypychane lub bez hasła
  • Token aplikacji Authenticator lub sprzętu — kod
  • Rozmowa telefoniczna
  • Wiadomość tekstowa

Uwaga

Wirtualne numery telefonów nie są obsługiwane w przypadku połączeń głosowych ani wiadomości SMS.

Aplikacje uwierzytelniania innych firm nie udostępniają powiadomień wypychanych. W miarę dodawania kolejnych metod uwierzytelniania do identyfikatora Entra firmy Microsoft te metody stają się dostępne w połączonej rejestracji.

Tryby rejestracji połączonej

Istnieją dwa tryby rejestracji połączonej: przerwanie i zarządzanie.

  • Tryb przerwania to środowisko przypominające kreatora, prezentowane użytkownikom podczas rejestrowania lub odświeżania informacji zabezpieczających podczas logowania.
  • Tryb zarządzania jest częścią profilu użytkownika i umożliwia użytkownikom zarządzanie informacjami zabezpieczającymi.

W obu trybach użytkownicy, którzy wcześniej zarejestrowali metodę, która może być używana w przypadku uwierzytelniania wieloskładnikowego firmy Microsoft, muszą wykonać uwierzytelnianie wieloskładnikowe, zanim będą mogli uzyskać dostęp do informacji zabezpieczających. Użytkownicy muszą potwierdzić swoje informacje przed kontynuowaniem korzystania z poprzednio zarejestrowanych metod.

Tryb przerwania

Rejestracja połączona jest zgodna zarówno z uwierzytelnianiem wieloskładnikowym, jak i zasadami samoobsługowego resetowania hasła, jeśli obie są włączone dla dzierżawy. Te zasady określają, czy użytkownik jest przerywany na potrzeby rejestracji podczas logowania i które metody są dostępne do rejestracji. Jeśli włączono tylko zasady samoobsługowego resetowania hasła, użytkownicy będą mogli pominąć (na czas nieokreślony) przerwę w rejestracji i zakończyć ją w późniejszym czasie.

Poniżej przedstawiono przykładowe scenariusze, w których użytkownicy mogą być monitowani o zarejestrowanie lub odświeżenie informacji zabezpieczających:

  • rejestracja uwierzytelniania wieloskładnikowego wymuszana za pośrednictwem usługi Identity Protection: użytkownicy są proszeni o zarejestrowanie się podczas logowania. Rejestrują metody uwierzytelniania wieloskładnikowego i metody samoobsługowego resetowania hasła (jeśli użytkownik jest włączony na potrzeby samoobsługowego resetowania hasła).
  • Rejestracja uwierzytelniania wieloskładnikowego wymuszana za pomocą uwierzytelniania wieloskładnikowego dla poszczególnych użytkowników: użytkownicy są proszeni o zarejestrowanie się podczas logowania. Rejestrują metody uwierzytelniania wieloskładnikowego i metody samoobsługowego resetowania hasła (jeśli użytkownik jest włączony na potrzeby samoobsługowego resetowania hasła).
  • rejestracja uwierzytelniania wieloskładnikowego wymuszana za pomocą dostępu warunkowego lub innych zasad: użytkownicy są proszeni o zarejestrowanie się w przypadku korzystania z zasobu wymagającego uwierzytelniania wieloskładnikowego. Rejestrują metody uwierzytelniania wieloskładnikowego i metody samoobsługowego resetowania hasła (jeśli użytkownik jest włączony na potrzeby samoobsługowego resetowania hasła).
  • Wymuszona rejestracja samoobsługowego resetowania hasła: użytkownicy są proszeni o zarejestrowanie się podczas logowania. Rejestrują tylko metody samoobsługowego resetowania hasła.
  • Wymuszone odświeżanie samoobsługowego resetowania hasła: użytkownicy muszą przeglądać swoje informacje zabezpieczające w odstępach czasu ustawionym przez administratora. Użytkownicy są wyświetlani ich informacje i mogą potwierdzić bieżące informacje lub w razie potrzeby wprowadzić zmiany.

Gdy rejestracja jest wymuszana, użytkownicy są wyświetlani minimalną liczbę metod wymaganych do zapewnienia zgodności zarówno z uwierzytelnianiem wieloskładnikowym, jak i zasadami samoobsługowego resetowania hasła, od większości do najmniejszego bezpieczeństwa. Użytkownicy przechodzący przez rejestrację połączoną, w której zarówno uwierzytelnianie wieloskładnikowe, jak i rejestracja samoobsługowego resetowania hasła są wymuszane, a zasady samoobsługowego resetowania hasła wymagają najpierw dwóch metod rejestrowania uwierzytelniania wieloskładnikowego jako pierwszej metody i mogą wybrać inną metodę specyficzną dla uwierzytelniania wieloskładnikowego lub samoobsługowego resetowania hasła jako drugą zarejestrowaną metodę (np. adres e-mail, pytania zabezpieczające itp.)

Rozważmy następujący scenariusz przykładowy:

  • Użytkownik jest włączony dla samoobsługowego resetowania hasła. Zasady samoobsługowego resetowania hasła wymagają dwóch metod resetowania i włączenia aplikacji Microsoft Authenticator, poczty e-mail i telefonu.
  • Gdy użytkownik zdecyduje się zarejestrować, wymagane są dwie metody:
    • Użytkownik jest domyślnie wyświetlany przez aplikację Microsoft Authenticator i telefon.
    • Użytkownik może wybrać rejestrację poczty e-mail zamiast aplikacji Authenticator lub telefonu.

Po skonfigurowaniu aplikacji Microsoft Authenticator użytkownik może kliknąć pozycję Chcę skonfigurować inną metodę rejestrowania innych metod uwierzytelniania. Lista dostępnych metod jest określana przez zasady metody uwierzytelniania dla dzierżawy. 

Screenshot of how to choose another method when you set up Microsoft Authenticator.

W poniższym schemacie blokowym opisano, które metody są wyświetlane użytkownikowi po przerwaniu rejestracji podczas logowania:

Combined security info flowchart

Jeśli masz włączone uwierzytelnianie wieloskładnikowe i samoobsługowe resetowanie hasła, zalecamy wymuszanie rejestracji uwierzytelniania wieloskładnikowego.

Jeśli zasady samoobsługowego resetowania hasła wymagają od użytkowników regularnego przeglądania informacji zabezpieczających, użytkownicy są przerywani podczas logowania i pokazywani są wszystkie zarejestrowane metody. Mogą potwierdzić bieżące informacje, jeśli są aktualne, lub mogą wprowadzać zmiany, jeśli zajdzie taka potrzeba. Aby uzyskać dostęp do tej strony, użytkownicy muszą przeprowadzić uwierzytelnianie wieloskładnikowe.

Tryb zarządzania

Użytkownicy mogą uzyskiwać dostęp do trybu zarządzania, przechodząc do pozycji Informacje zabezpieczające lub wybierając pozycję Informacje zabezpieczające w obszarze Moje konto. Z tego miejsca użytkownicy mogą dodawać metody, usuwać lub zmieniać istniejące metody, zmieniać metodę domyślną i nie tylko.

Scenariusze użycia kluczy

Aktualizowanie hasła w usłudze MySignIns (wersja zapoznawcza)

Użytkownik przechodzi do pozycji Informacje zabezpieczające. Po zalogowaniu użytkownik może zmienić swoje hasło. Jeśli użytkownik uwierzytelnia się przy użyciu hasła i metody uwierzytelniania wieloskładnikowego, będzie mógł użyć ulepszonego środowiska użytkownika do zmiany hasła bez wprowadzania istniejącego hasła. Po zakończeniu użytkownik ma nowe hasło zaktualizowane na stronie Informacje o zabezpieczeniach. Metody uwierzytelniania, takie jak dostęp tymczasowy (TAP), nie są obsługiwane w przypadku zmiany hasła, chyba że użytkownik zna istniejące hasło.

Ochrona rejestracji informacji zabezpieczających przy użyciu dostępu warunkowego

Aby zabezpieczyć, kiedy i jak użytkownicy rejestrują się na potrzeby uwierzytelniania wieloskładnikowego firmy Microsoft i samoobsługowego resetowania hasła, możesz użyć akcji użytkownika w zasadach dostępu warunkowego. Ta funkcja może być włączona w organizacjach, które chcą, aby użytkownicy rejestrowali się w celu uwierzytelniania wieloskładnikowego firmy Microsoft i samoobsługowego resetowania hasła z centralnej lokalizacji, takiej jak zaufana lokalizacja sieciowa podczas dołączania do działu kadr. Dowiedz się więcej na temat konfigurowania typowych zasad dostępu warunkowego na potrzeby zabezpieczania rejestracji informacji zabezpieczających.

Konfigurowanie informacji zabezpieczających podczas logowania

Administrator wymusił rejestrację.

Użytkownik nie skonfigurował wszystkich wymaganych informacji zabezpieczających i przechodzi do centrum administracyjnego firmy Microsoft Entra. Gdy użytkownik wprowadzi nazwę użytkownika i hasło, zostanie wyświetlony monit o skonfigurowanie informacji zabezpieczających. Następnie użytkownik wykonuje kroki przedstawione w kreatorze, aby skonfigurować wymagane informacje zabezpieczające. Jeśli zezwalają na to ustawienia, użytkownik może wybrać opcję konfigurowania metod innych niż pokazane domyślnie. Po zakończeniu pracy kreatora użytkownicy przeglądają skonfigurowane metody i ich domyślną metodę uwierzytelniania wieloskładnikowego. Aby ukończyć proces instalacji, użytkownik potwierdza informacje i kontynuuje centrum administracyjne firmy Microsoft Entra.

Konfigurowanie informacji zabezpieczających z poziomu mojego konta

Administrator nie wymusił rejestracji.

Użytkownik, który jeszcze nie skonfigurował wszystkich wymaganych informacji zabezpieczających, przechodzi do .https://myaccount.microsoft.com Użytkownik wybiera pozycję Informacje zabezpieczające w okienku po lewej stronie. W tym miejscu użytkownik decyduje się dodać metodę, wybiera dowolną z dostępnych metod i wykonuje kroki konfigurowania tej metody. Po zakończeniu użytkownik zobaczy metodę skonfigurowaną na stronie Informacje o zabezpieczeniach.

Konfigurowanie innych metod po częściowej rejestracji

Jeśli użytkownik ma częściowo satysfakcjonującą rejestrację uwierzytelniania wieloskładnikowego lub samoobsługowego resetowania hasła z powodu istniejących rejestracji metod uwierzytelniania wykonywanych przez użytkownika lub administratora, użytkownicy będą proszeni tylko o zarejestrowanie dodatkowych informacji dozwolonych przez ustawienia zasad Metod uwierzytelniania, gdy jest wymagana rejestracja. Jeśli użytkownik może wybrać i zarejestrować więcej niż jedną inną metodę uwierzytelniania, zostanie wyświetlona opcja w środowisku rejestracji zatytułowanym Chcę skonfigurować inną metodę i zezwolić użytkownikowi na skonfigurowanie żądanej metody uwierzytelniania.

Screenshot of how to set up another method.

Usuwanie informacji zabezpieczających z mojego konta

Użytkownik, który wcześniej skonfigurował co najmniej jedną metodę, przechodzi do .https://aka.ms/mysecurityinfo Użytkownik decyduje się usunąć jedną z wcześniej zarejestrowanych metod. Po zakończeniu użytkownik nie widzi już tej metody na stronie Informacje o zabezpieczeniach.

Zmienianie metody domyślnej z obszaru Moje konto

Użytkownik, który wcześniej skonfigurował co najmniej jedną metodę, która może być używana do uwierzytelniania wieloskładnikowego, przechodzi do adresu https://aka.ms/mysecurityinfo. Użytkownik zmienia bieżącą metodę domyślną na inną metodę domyślną. Po zakończeniu użytkownik zobaczy nową metodę domyślną na stronie Informacje o zabezpieczeniach.

Pozycja Przełącz katalog

Tożsamość zewnętrzna, taka jak użytkownik B2B, może wymagać przełączenia katalogu w celu zmiany informacji o rejestracji zabezpieczeń dla dzierżawy innej firmy. Ponadto użytkownicy, którzy uzyskują dostęp do dzierżawy zasobów, mogą być zdezorientowani, gdy zmieniają ustawienia w dzierżawie głównej, ale nie widzą zmian odzwierciedlonych w dzierżawie zasobów.

Na przykład użytkownik ustawia powiadomienie wypychane aplikacji Microsoft Authenticator jako uwierzytelnianie podstawowe w celu zalogowania się do dzierżawy domowej, a także ma wiadomość SMS/tekst jako inną opcję. Ten użytkownik jest również skonfigurowany z opcją SMS/Text w dzierżawie zasobów. Jeśli ten użytkownik usunie wiadomość SMS/tekst jako jedną z opcji uwierzytelniania w swojej dzierżawie macierzystej, pomyli się, gdy dostęp do dzierżawy zasobów poprosi ich o odpowiedź na wiadomość SMS/sms/sms.

Aby przełączyć katalog w centrum administracyjnym firmy Microsoft Entra, kliknij nazwę konta użytkownika w prawym górnym rogu i kliknij pozycję Przełącz katalog.

External users can switch directory.

Możesz też określić dzierżawę według adresu URL, aby uzyskać dostęp do informacji zabezpieczających.

https://mysignins.microsoft.com/security-info?tenant=<Tenant Name>

https://mysignins.microsoft.com/security-info/?tenantId=<Tenant ID>

Uwaga

Klienci próbujący zarejestrować informacje zabezpieczające lub zarządzać nimi za pośrednictwem połączonej rejestracji lub strony Moje logowania powinni używać nowoczesnej przeglądarki, takiej jak Microsoft Edge.

Program IE11 nie jest oficjalnie obsługiwany do tworzenia widoku internetowego ani przeglądarki w aplikacjach, ponieważ nie będzie działać zgodnie z oczekiwaniami we wszystkich scenariuszach.

Aplikacje, które nie zostały zaktualizowane i nadal korzystają z biblioteki Azure AD Authentication Library (ADAL), która korzysta ze starszych widoków internetowych, mogą zostać wycofane do starszych wersji programu IE. W tych scenariuszach użytkownicy będą doświadczać pustej strony po przekierowaniu do strony Moje logowania. Aby rozwiązać ten problem, przejdź do nowoczesnej przeglądarki.

Następne kroki

Aby rozpocząć, zobacz samouczki umożliwiające samoobsługowe resetowanie haseł i włączanie uwierzytelniania wieloskładnikowego firmy Microsoft.

Dowiedz się, jak włączyć rejestrację połączoną w dzierżawie lub wymusić na użytkownikach ponowne rejestrowanie metod uwierzytelniania.

Możesz również przejrzeć dostępne metody uwierzytelniania wieloskładnikowego firmy Microsoft i samoobsługowego resetowania hasła.