كيفية تشغيل حملة تسجيل لإعداد تطبيق Microsoft Authenticator - Microsoft Authenticator

  • مقالة
  • قراءة خلال 6 دقائق

يمكنك حث المستخدمين على إعداد Microsoft Authenticator أثناء تسجيل الدخول. سيخضع المستخدمون لعمليات تسجيل الدخول العادية الخاصة بهم، ويقومون بإجراء مصادقة متعددة العوامل كالمعتاد، ثم يُطلب منهم إعداد Microsoft Authenticator. يمكنك تضمين أو استبعاد المستخدمين أو المجموعات للتحكم في من يتم تنبيهه لإعداد التطبيق. يسمح هذا للحملات المستهدفة بنقل المستخدمين من أساليب المصادقة الأقل أمانًا إلى Microsoft Authenticator.

بالإضافة إلى اختيار من يمكن تنبيهه، يمكنك تحديد عدد الأيام التي يمكن للمستخدم فيها تأجيل التنبيه أو "تأجيله". إذا نقر المستخدم على ليس الآن لتأجيل إعداد التطبيق، فسيتم دفعه مرة أخرى في محاولة المصادقة متعددة العوامل (MFA) التالية بعد انقضاء مدة الغفوة.

المتطلبات الأساسية

  • يجب أن تكون مؤسستك قد قامت بتمكين Azure MFA. كل نسخة من Azure AD تتضمن المصادقة متعددة العوامل لـ Azure. لا حاجة إلى ترخيص إضافي لحملة التسجيل.
  • يجب ألا يكون المستخدم قد قام بالفعل بإعداد Microsoft Authenticator لإرسال الإشعارات الفورية على حسابه.
  • يحتاج المسؤولون إلى تمكين المستخدمين لـ Microsoft Authenticator باستخدام أحد هذه السياسات:
    • سياسة تسجيل MFA: سيحتاج المستخدمون إلى تمكين الإعلام من خلال تطبيق الجوال .
    • نهج أساليب المصادقة: سيحتاج المستخدمون إلى تمكين Microsoft Authenticator وتعيين وضع المصادقة على أي أو دفع . إذا تم تعيين السياسة على Passwordless ، فلن يكون المستخدم مؤهلاً للدفع. لمزيد من المعلومات حول كيفية تعيين وضع المصادقة، راجع تمكين تسجيل الدخول بدون كلمة مرور باستخدام تطبيق Microsoft Authenticator.

تجربة المستخدم

  1. ينفذ المستخدم MFA بنجاح باستخدام Azure MFA.

  2. يشاهد المستخدم مطالبة بإعداد تطبيق Microsoft Authenticator لتحسين تجربة تسجيل الدخول. ملاحظة: سيرى المطالبة فقط المستخدمين المسموح لهم باستخدام إشعارات Microsoft Authenticator وليس لديهم الإعداد حاليًا.

    User performs multifactor authentication

  3. ينقر المستخدم على التالي والخطوات خلال إعداد Microsoft Authenticator.

    1. قم أولاً بتنزيل التطبيق.

      User downloads Microsoft Authenticator

    2. تعرف على كيفية إعداد Microsoft Authenticator.

      User sets up Microsoft Authenticator

    3. امسح رمز الاستجابة السريعة.

      User scans QR Code

    4. وافق على الحصول على إخطار بشأن الاختبار.

      User approves the test notification

    5. تمت الموافقة على الإخطار.

      Confirmation of approval

    6. تم الآن إعداد تطبيق Authenticator بنجاح كطريقة تسجيل دخول افتراضية للمستخدم.

      Installation complete

  4. إذا رغب أحد المستخدمين في عدم تثبيت Microsoft Authenticator، فيمكنه النقر فوق ليس الآن لتأجيل المطالبة لمدة تصل إلى 14 يوماً، والتي يمكن تعيينها بواسطة المسؤول.

    Snooze installation

تمكين نهج حملة التسجيل باستخدام المدخل

لتمكين حملة تسجيل في مدخل Azure AD، أكمل الخطوات التالية:

  1. في مدخل Azure AD، انقر فوق أمان>أساليب المصادقة>حملة التسجيل.

  2. بالنسبة للحالة، انقر فوق Enabled، حدد أي مستخدمين أو مجموعات لاستبعادها من حملة التسجيل، ثم انقر فوق Save.

    Screenshot of enabling a registration campaign.

تمكين نهج حملة التسجيل باستخدام Graph Explorer

بالإضافة إلى استخدام مدخل Azure، يمكنك أيضاً تمكين نهج حملة التسجيل باستخدام Graph Explorer. لتمكين نهج حملة التسجيل، يجب استخدام نهج أساليب المصادقة باستخدام واجهات برمجة التطبيقات Graph. يمكن للمسؤولين العموميين و مسؤولي نهج أسلوب المصادقة تحديث السياسة.

لتكوين النهج باستخدام مستكشف Graph:

  1. سجّل الدخول إلى Graph Explorer وتأكد من موافقتك على أذونات Policy.Read.All و Policy.ReadWrite.AuthenticationMethod .

    لفتح لوحة الأذونات، عليك اتباع الخطوات التالية:

    Screenshot of Graph Explorer

  2. استرداد نهج أساليب المصادقة: GET https://graph.microsoft.com/beta/policies/authenticationmethodspolicy

  3. قم بتحديث قسم "حملة تسجيل أساليب المصادقة وفرض التسجيل" في السياسة لتمكين التنبيه على مستخدم أو مجموعة.

    Campaign section

لتحديث النهج، قم بإجراء تصحيح على نهج أساليب المصادقة مع قسم فرض التسجيل المحدث فقط: PATCH https://graph.microsoft.com/beta/policies/authenticationmethodspolicy

يسرد الجدول التالي خصائص AuthenticationMethodsRegistrationCampaign .

الاسم القيم الممكنة الوصف
حالة "ممكن"
"معطل"
"افتراضي"		 يسمح لك بتمكين الميزة أو تعطيلها.
يتم استخدام القيمة الافتراضية عندما لا يتم تعيين التكوين بشكل صريح وستستخدم القيمة الافتراضية Microsoft Azure Active Directory لهذا الإعداد. الخرائط الخاضعة للتعطيل في الوقت الحالي.
قم بتغيير الحالات إلى إما ممكّن أو معطل حسب الحاجة.
مدة التأجيل بالأيام النطاق: من 0 إلى 14 يُحدد عدد الأيام قبل تحريك المُستخدِّم مرةً أخرى.
إذا كانت القيمة 0، يتم تنبيه المستخدم في أثناء كل محاولة MFA.
افتراضي: يوم واحد
إدراج الأهداف غير متوفر يسمح لك بتضمين مستخدمين ومجموعات مختلفة تريد أن تستهدفها الميزة.
استثناء الأهداف غير متوفر يسمح لك باستبعاد مستخدمين ومجموعات مختلفة تريد حذفها من الميزة. إذا كان المستخدم في مجموعة مستبعدة ومجموعة مدرجة، فسيتم استبعاد المستخدم من الميزة.

يسرد الجدول التالي خصائص includeTargets .

الاسم القيم الممكنة الوصف
نوع الهدف "مستخدم"
"مجموعة"		 نوع الكيان المستهدف.
المعرّف معرف المعرف الفريد معرف المستخدم أو المجموعة المستهدفة.
أسلوب المصادقة المستهدف "Microsoft Authenticator" يُطلب من مستخدم أسلوب المصادقة التسجيل. القيمة الوحيدة المسموح بها هي "Microsoft Authenticator".

يسرد الجدول التالي خصائص excludeTargets.

الاسم القيم الممكنة الوصف
نوع الهدف "مستخدم"
"مجموعة"		 نوع الكيان المستهدف.
المعرّف سلسلة معرف المستخدم أو المجموعة المستهدفة.

أمثلة

إليك بعض نماذج JSONs التي يمكنك استخدامها للبدء!

  • إدراج جميع المستخدمين

    إذا كنت تريد تضمين جميع المستخدمين في المستأجر الخاص بك، فما عليك سوى تنزيل JSON هذا ولصقه في Graph Explorer وتشغيله PATCH في نقطة النهاية.

    {
"registrationEnforcement": {
        "authenticationMethodsRegistrationCampaign": {
            "snoozeDurationInDays": 0,
            "state": "enabled",
            "excludeTargets": [],
            "includeTargets": [
                {
                    "id": "all_users",
                    "targetType": "group",
                    "targetedAuthenticationMethod": "microsoftAuthenticator"
                }
            ]
        }
    }
}

  • بتضمين مستخدمين محددين أو مجموعات مستخدمين

    إذا كنت ترغب في تضمين مستخدمين أو مجموعات معينة في المستأجر الخاص بك، قم بتنزيل JSON هذا وقم بتحديثه بمعرفات GUID ذات الصلة للمستخدمين والمجموعات. ثم الصق JSON في Graph Explorer وقم بتشغيل PATCH في نقطة النهاية.

    {
"registrationEnforcement": {
      "authenticationMethodsRegistrationCampaign": {
          "snoozeDurationInDays": 0,
          "state": "enabled",
          "excludeTargets": [],
          "includeTargets": [
              {
                  "id": "*********PLEASE ENTER GUID***********",
                  "targetType": "group",
                  "targetedAuthenticationMethod": "microsoftAuthenticator"
              },
              {
                  "id": "*********PLEASE ENTER GUID***********",
                  "targetType": "user",
                  "targetedAuthenticationMethod": "microsoftAuthenticator"
              }
          ]
      }
  }

  • تضمين واستبعاد مستخدمين محددين / مجموعات مستخدمين

    إذا كنت تريد تضمين واستبعاد مستخدمين / مجموعات معينة من المستخدمين في المستأجر الخاص بك، قم بتنزيل JSON هذا والصقه في Graph Explorer وتشغيله PATCH في نقطة النهاية. أدخل المعرفات الفريدة الصحيحة للمستخدمين والمجموعات.

    {
"registrationEnforcement": {
        "authenticationMethodsRegistrationCampaign": {
            "snoozeDurationInDays": 0,
            "state": "enabled",
            "excludeTargets": [
                {
                    "id": "*********PLEASE ENTER GUID***********",
                    "targetType": "group"
                },
              {
                    "id": "*********PLEASE ENTER GUID***********",
                    "targetType": "user"
                }
            ],
            "includeTargets": [
                {
                    "id": "*********PLEASE ENTER GUID***********",
                    "targetType": "group",
                    "targetedAuthenticationMethod": "microsoftAuthenticator"
                },
                {
                    "id": "*********PLEASE ENTER GUID***********",
                    "targetType": "user",
                    "targetedAuthenticationMethod": "microsoftAuthenticator"
                }
            ]
        }
    }
}

التعرف على المعرفات الفريدة للمستخدمين لإدراجها في JSONs

  1. انتقل إلى مدخل Microsoft Azure.

  2. انقر فوق Microsoft Azure Active Directory .

  3. في جزء الإدارة ، انقر على المستخدمون .

  4. في صفحة المستخدمون ، حدد المستخدم المحدد الذي تريد استهدافه.

  5. عندما تنقر على المستخدم المحدد، سترى معرف الكائن ، وهو GUID للمستخدم.

    User object ID

حدد المعرفات الفريدة للمجموعات لإدراجها في JSONs

  1. انتقل إلى مدخل Microsoft Azure.

  2. انقر فوق Microsoft Azure Active Directory .

  3. في جزء الإدارة ، انقر على المجموعات .

  4. في صفحة المجموعات ، حدد المجموعة المحددة التي تريد استهدافها.

  5. انقر فوق المجموعة واحصل على معرف الكائن .

    Nudge group

التقييدات

لن يظهر التنبيه على الأجهزة المحمولة التي تعمل بنظام Android أو iOS.

الأسئلة المتداولة

هل حملة التسجيل متاحة لخادم مصادقة متعددة العوامل (MFA)؟

كلا. ستكون هذه الميزة متاحة فقط للمستخدمين الذين يستخدمون مصادقة متعددة العوامل Azure.

هل يمكن تحريك المستخدمين داخل التطبيق؟

التحريك متاح فقط على المتصفحات وليس على التطبيقات.

ما المدة التي ستستغرقها الحملة؟

يمكنك استخدام واجهات برمجة التطبيقات لتمكين الحملة للمدة التي تريدها. عندما تريد أن تنتهي من تشغيل الحملة، ما عليك سوى استخدام واجهات برمجة التطبيقات لتعطيل الحملة.

هل يمكن أن تكون لكل مجموعة مستخدمين مدة تأجيل مختلفة؟

كلا. مدة التأجيل للمطالبة هي إعداد على مستوى المستأجر وتنطبق على جميع المجموعات في النطاق.

هل يمكن حث المستخدمين على إعداد تسجيل الدخول عبر الهاتف بدون كلمة مرور؟

تهدف الميزة إلى تمكين المسؤولين من إعداد المستخدمين باستخدام MFA باستخدام تطبيق Authenticator وليس تسجيل الدخول عبر الهاتف بدون كلمة مرور.

هل سيرى المستخدم الذي لديه إعداد تطبيق جهة خارجية للمصادقة التنبيه؟

إذا لم يكن لدى هذا المستخدم تطبيق Microsoft Authenticator مُعد للإشعارات الفورية وتم تمكينه له من خلال السياسة، نعم، سيرى المستخدم التنبيه.

هل سيظهر التنبيه للمستخدم الذي لديه تطبيق Microsoft Authenticator الذي تم إعداده لرموز TOTP فقط؟ 

نعم إذا لم يتم إعداد تطبيق Microsoft Authenticator للإشعارات الفورية وتم تمكين المستخدم له من خلال السياسة، نعم، فسيرى المستخدم التنبيه.

إذا اجتاز المستخدم عملية تسجيل MFA، فهل سيتم دفعه في جلسة تسجيل الدخول نفسها؟

كلا. لتوفير تجربة مستخدم جيدة، لن يتم حث المستخدمين على إعداد Authenticator في نفس الجلسة التي سجلوا فيها طرق المصادقة الأخرى.

هل يمكنني حث المستخدمين على تسجيل طريقة مصادقة أخرى؟

كلا. تهدف الميزة، في الوقت الحالي، إلى حث المستخدمين على إعداد تطبيق Microsoft Authenticator فقط.

هل هناك طريقة تتيح لي إخفاء خيار الغفوة وإجبار المستخدمين على إعداد تطبيق Authenticator؟

لا توجد طريقة لإخفاء خيار الغفوة عند التنبيه. يمكنك ضبط مدة الغفوة على 0، مما يضمن رؤية المستخدمين للدفع في أثناء كل محاولة MFA.

هل سأتمكن من تنبيه المستخدمين إذا لم أكن أستخدم Azure MFA؟

كلا. سيعمل التنبيه فقط للمستخدمين الذين يقومون بإجراء MFA باستخدام خدمة Azure MFA.

هل سيتم تنبيه مستخدمي الضيوف/ B2B في مستأجري؟

نعم إذا تم تحديد نطاق التنبيه باستخدام السياسة.

ماذا لو أغلق المستخدم المتصفح؟

إنه نفس التأجيل.

الخطوات التالية

تمكين تسجيل الدخول بدون كلمة مرور باستخدام تطبيق Microsoft Authenticator