Вход без пароля с помощью Microsoft Authenticator — Azure Active Directory — Microsoft Entra
- Статья
- Чтение занимает 6 мин
Microsoft Authenticator позволяет войти в любую учетную запись Azure AD, не используя пароль. В приложении Microsoft Authenticator проверка подлинности выполняется на основе ключей для того, чтобы разрешить использование учетных данных пользователя, привязанных к устройству, когда на устройстве используется PIN-код или биометрические данные. В службе Windows Hello для бизнеса используется аналогичная технология.
Эту технологию проверки подлинности можно использовать на любой платформе устройств, включая мобильные устройства.
Эта технология также может использоваться с любым приложением или веб-сайтом, которые интегрированы с библиотеками проверки подлинности Майкрософт.
Пользователи, которые включили вход с помощью телефона из приложения Microsoft Authenticator, получают сообщение, предлагающее коснуться определенного числа в приложении. Имя пользователя или пароль не запрашиваются. Чтобы завершить процесс входа в приложение, пользователь должен выполнить следующие действия.
- Введите число, отображаемое на экране входа, в диалоговом окне Microsoft Authenticator.
- Нажмите Утвердить.
- Предоставить PIN-код или биометрические данные.
Несколько учетных записей на устройстве iOS (предварительная версия)
Вы можете включить вход без пароля для нескольких учетных записей в Microsoft Authenticator на любом поддерживаемом устройстве iOS. Консультанты, учащиеся и другие пользователи с несколькими учетными записями в Azure AD могут добавить каждую учетную запись в Microsoft Authenticator и использовать вход без пароля с одного устройства iOS для всех учетных записей.
Ранее администраторы могли не требовать вход без пароля для пользователей с несколькими учетными записями, так как для выполнения входа требовалось больше устройств. Удаляя ограничение на вход одного пользователя с устройства, администраторы могут более уверенно поощрять пользователей регистрировать вход без пароля и использовать его в качестве метода входа по умолчанию.
Учетные записи Azure AD могут находиться в одном и том же арендаторе или в разных арендаторах. Гостевые учетные записи не поддерживаются для входа с несколькими учетными записями с одного устройства.
Примечание
Функция использования нескольких учетных записей на устройстве iOS в настоящее время предоставляется в предварительной версии. Некоторые функции могут не поддерживаться или их возможности могут быть ограничены. См. подробные сведения о дополнительных условиях использования предварительных выпусков Microsoft Azure.
Предварительные требования
Чтобы использовать приложение Microsoft Authenticator для входа без пароля с помощью телефона, нужно выполнить следующие условия:
Рекомендуется.
Многофакторная идентификация Azure AD с Push-уведомлениями разрешается в качестве метода проверки. Приложение Microsoft Authenticator помогает предотвратить несанкционированный доступ к учетным записям и остановить мошеннические транзакции, отправляя уведомления на смартфон или планшет. Приложение Microsoft Authenticator автоматически создает коды при настройке для отправки push-уведомлений, чтобы у пользователя был резервный метод входа, даже если устройства не подключены.Последняя версия Microsoft Authenticator, установленная на устройствах под управлением iOS или Android.
Для Android устройство, на котором работает Microsoft Authenticator, должно быть зарегистрировано для отдельного пользователя. Мы активно работаем над включением поддержки нескольких учетных записей на Android.
Для iOS устройство должно быть зарегистрировано в каждом арендаторе, в котором оно используется для входа. Например, следующее устройство должно быть зарегистрировано в Contoso и Wingtiptoys для разрешения входа всем учетным записям:
- balas@contoso. com
- [email protected] и bsandhu@wingtiptoys.
- balas@contoso.
Для iOS рекомендуется включить в Microsoft Authenticator параметр, разрешающий Майкрософт собирать данные об использовании. По умолчанию он отключен. Чтобы включить этот параметр в Microsoft Authenticator, перейдите в раздел Параметры>Данные об использовании.
Многофакторная идентификация Azure AD с Push-уведомлениями разрешается в качестве метода проверки. Приложение Microsoft Authenticator помогает предотвратить несанкционированный доступ к учетным записям и остановить мошеннические транзакции, отправляя уведомления на смартфон или планшет. Приложение Microsoft Authenticator автоматически создает коды при настройке для отправки push-уведомлений, чтобы у пользователя был резервный метод входа, даже если устройства не подключены.
comЧтобы использовать проверку подлинности без пароля в Azure AD, сначала включите процедуру объединенной регистрации, а затем включите для пользователей беспарольный метод.
Azure AD позволяет выбирать методы проверки подлинности, которые могут использоваться во время входа в систему. Затем пользователи регистрируются для использования методов, которые они предпочитают. Политика способа проверки подлинности Microsoft Authenticator
управляет как методом MFA в виде традиционных push-уведомлений, так и способом проверки подлинности без пароля.Примечание
При включении для Microsoft Authenticator возможности выполнения входа без пароля с помощью Azure AD PowerShell такой вход должен быть включен для всего каталога.
Этот новый метод заменяет политику PowerShell при использовании. Рекомендуется включить этот метод для всех пользователей в арендаторе с помощью нового меню Способы проверки подлинности, в противном случае пользователи, не учтенные в новой политике, не смогут выполнить вход без пароля.
Чтобы включить метод проверки подлинности для входа без пароля с помощью телефона, выполните следующие действия.
Войдите на портал Azure, используя учетную запись администратора политики проверки подлинности
Найдите и выберите Azure Active Directory, затем последовательно перейдите по следующим элементам: Безопасность>Методы проверки подлинности>Политики.
В разделе Microsoft Authenticatorвыберите следующие параметры:
- Включить — да или нет
- Целевой объект — все пользователи или выбранные пользователи
Для каждой добавленной группы или для каждого пользователя по умолчанию включается использование Microsoft Authenticator как в режиме без пароля, так и в режимах push-уведомлений (режим «любой»).
Чтобы изменить это условие, выполните для каждой строки следующие действия:- Перейти к элементу …>Настройка.
- Выберите для режима проверки подлинности необходимое значение: Любой или Без пароля. Выбор значения Push-уведомление предотвращает использование учетных данных для входа без пароля с помощью телефона.
Чтобы применить новую политику, нажмите Сохранить.
Примечание
Если при попытке сохранения появляется сообщение об ошибке, причиной может быть число добавляемых пользователей или групп. В качестве обходного решения замените пользователей и группы, которые вы пытаетесь добавить, одной группой в той же операции, а затем нажмите кнопку Сохранить еще раз.
Чтобы изменить это условие, выполните для каждой строки следующие действия:Регистрация и администрирование пользователей Microsoft Authenticator
Чтобы использовать беспарольный метод проверки подлинности Azure AD, пользователи должны выполнить самостоятельно регистрацию в виде следующих действий.
- Перейдите по адресу https://aka.ms/mysecurityinfo.
- Войдите, а затем щелкните Добавить метод>Приложение Authenticator>Добавить, чтобы добавить Microsoft Authenticator.
- Следуйте инструкциям по установке и настройке приложения Microsoft Authenticator на устройстве.
- Нажмите кнопку Готово, чтобы завершить настройку приложения Authenticator.
- В приложении Microsoft Authenticator выберите в раскрывающемся меню для зарегистрированной учетной записи параметр Включить вход с помощью телефона.
- Следуйте инструкциям в приложении, чтобы завершить регистрацию учетной записи для включения входа без пароля с помощью телефона.
Теперь организация может предоставить своим пользователям вход без использования пароля с помощью их телефонов. Дополнительные сведения о настройке Microsoft Authenticator и включении входа с помощью телефона см.
Примечание
Пользователи, которым политика не разрешает использовать вход с помощью телефона, больше не смогут включить его в Microsoft Authenticator.
Пользователь может начать использовать вход без пароля после того, как будут выполнены все следующие действия:
- Администратор включил клиент пользователя.
- Пользователь добавил Microsoft Authenticator в качестве метода входа.
При первом запуске процесса входа в систему пользователю нужно выполнить следующие действия.
- Ввести свое имя на странице входа.
- Нажать кнопку Далее.
- При необходимости выбирать элемент Другие способы входа.
- Выбрать пункт Утвердить запрос в приложении Authenticator.
После этого пользователю будет предоставлено некоторое число. Приложение запрашивает пользователя подтвердить подлинность путем ввода соответствующего числа, вместо того чтобы вводить пароль.
После того как пользователь использует вход без пароля с помощью телефона, приложение продолжит предоставлять пользователю указания по использованию этого метода. Однако пользователю предоставляется возможность выбрать другой метод.
Известные проблемы
Известно о наличии следующих проблем.
Не отображается вариант входа без пароля с помощью телефона
Возможен сценарий, когда у пользователя операция проверки при входе без пароля осталась без ответа и находится в режиме ожидания. Но пользователь может повторить попытку входа. В таком случае пользователю предоставляется только вариант с вводом пароля.
Чтобы устранить эту проблему, можно выполнить следующие действия:
- Откройте Microsoft Authenticator.
- Ответьте на все уведомления с запросами.
После этого пользователь сможет продолжить использование входа без пароля с помощью телефона.
Федеративные учетные записи
Если пользователь включил использование учетных данных без пароля, в процессе входа в Azure AD перестанет появляться запрос на ввод имени для входа.
