Metody uwierzytelniania w usłudze Microsoft Entra ID — aplikacja Microsoft Authenticator

Aplikacja Microsoft Authenticator zapewnia dodatkowy poziom zabezpieczeń konta służbowego firmy Microsoft lub konta służbowego firmy Microsoft oraz jest dostępny dla systemów Android i iOS. Aplikacja Microsoft Authenticator może być używana przez użytkowników podczas logowania do uwierzytelniania się bez hasła lub jako dodatkowa opcja weryfikacji podczas samoobsługowego resetowania hasła lub zdarzeń uwierzytelniania wieloskładnikowego.

Użytkownicy mogą otrzymywać powiadomienia za pośrednictwem aplikacji mobilnej, aby zatwierdzić lub odrzucić, albo użyć aplikacji Authenticator do wygenerowania kodu weryfikacyjnego OATH, który można wprowadzić w interfejsie logowania. Jeśli włączysz zarówno powiadomienie, jak i kod weryfikacyjny, użytkownicy rejestrujący aplikację Authenticator mogą użyć jednej z metod w celu zweryfikowania tożsamości.

Uwaga

W ramach przygotowań do obsługi klucza dostępu w aplikacji Microsoft Authenticator użytkownicy mogą postrzegać aplikację Authenticator jako dostawcę klucza dostępu na urządzeniach z systemami iOS i Android. Hasła nie są obecnie obsługiwane w aplikacji Authenticator, ale będą obsługiwane w nadchodzącej wersji.

Aby użyć aplikacji Authenticator w wierszu polecenia logowania, a nie kombinacji nazwy użytkownika i hasła, zobacz Włączanie logowania bez hasła przy użyciu aplikacji Microsoft Authenticator.

Uwaga

  • Użytkownicy nie mają możliwości zarejestrowania aplikacji mobilnej po włączeniu samoobsługowego resetowania hasła. Zamiast tego użytkownicy mogą zarejestrować swoją aplikację mobilną na stronie https://aka.ms/mfasetup lub w ramach połączonej rejestracji informacji zabezpieczających pod adresem https://aka.ms/setupsecurityinfo.
  • Aplikacja Authenticator może nie być obsługiwana w wersjach beta systemów iOS i Android. Ponadto od 20 października 2023 r. aplikacja Authenticator w systemie Android nie obsługuje już starszych wierzchołków systemu Android Portal firmy. Użytkownicy systemu Android z Portal firmy wersjami poniżej 2111 (5.0.5333.0) nie mogą ponownie rejestrować ani rejestrować nowych wystąpień aplikacji Authenticator, dopóki nie zaktualizują aplikacji Portal firmy do nowszej wersji.

Logowanie bez hasła

Zamiast wyświetlać monit o podanie hasła po wprowadzeniu nazwy użytkownika, użytkownik, który włączył logowanie za pomocą telefonu z aplikacji Authenticator, widzi komunikat, aby wprowadzić numer w swojej aplikacji. Po wybraniu poprawnej liczby proces logowania zostanie ukończony.

Example of a browser sign-in asking for user to approve the sign-in.

Ta metoda uwierzytelniania zapewnia wysoki poziom zabezpieczeń i eliminuje potrzebę podania hasła podczas logowania.

Aby rozpocząć logowanie bez hasła, zobacz Włączanie logowania bez hasła przy użyciu aplikacji Microsoft Authenticator.

Powiadomienie przez aplikację mobilną

Aplikacja Authenticator może pomóc zapobiec nieautoryzowanemu dostępowi do kont i zatrzymać fałszywe transakcje, wypychając powiadomienie na smartfon lub tablet. Użytkownicy wyświetlają powiadomienie, a jeśli jest to uzasadnione, wybierz pozycję Weryfikuj. W przeciwnym razie mogą wybrać pozycję Odmów.

Uwaga

Począwszy od sierpnia 2023 r., nietypowe logowania nie generują powiadomień, podobnie jak w jaki sposób logowania z nieznanych lokalizacji nie generują powiadomień. Aby zatwierdzić nietypowe logowanie, użytkownicy mogą otwierać aplikację Microsoft Authenticator lub Authenticator Lite w odpowiedniej aplikacji towarzyszącej, takiej jak Outlook. Następnie mogą ściągnąć, aby odświeżyć lub nacisnąć pozycję Odśwież, a następnie zatwierdzić żądanie.

Screenshot of example web browser prompt for Authenticator app notification to complete sign-in process.

W Chinach metoda Powiadomienia za pośrednictwem aplikacji mobilnej na urządzeniach z systemem Android nie działa, ponieważ usługi Google Play (w tym powiadomienia wypychane) są blokowane w regionie. Jednak powiadomienia systemu iOS działają. W przypadku urządzeń z systemem Android alternatywne metody uwierzytelniania powinny być dostępne dla tych użytkowników.

Kod weryfikacyjny z aplikacji mobilnej

Aplikacja Authenticator może służyć jako token oprogramowania do generowania kodu weryfikacyjnego OATH. Po wprowadzeniu nazwy użytkownika i hasła wprowadź kod dostarczony przez aplikację Authenticator do interfejsu logowania. Kod weryfikacyjny stanowi drugą formę uwierzytelniania.

Uwaga

Kody weryfikacyjne OATH generowane przez wystawcę Authenticator nie są obsługiwane w przypadku uwierzytelniania opartego na certyfikatach.

Użytkownicy mogą mieć kombinację maksymalnie pięciu tokenów sprzętowych OATH lub aplikacji uwierzytelnianych, takich jak aplikacja Authenticator, skonfigurowana do użycia w dowolnym momencie.

Zgodność ze standardem FIPS 140 dla uwierzytelniania entra firmy Microsoft

Zgodnie z wytycznymi określonymi w NIST SP 800-63B, wystawcy uwierzytelnień używanych przez amerykańskie agencje rządowe są wymagane do korzystania z kryptografii zweryfikowanej przez fiPS 140. Pomaga to amerykańskim agencjom rządowym spełnić wymagania zarządu wykonawczego (EO) 14028. Ponadto pomaga to innym branżom regulowanym, takim jak organizacje opieki zdrowotnej współpracujące z elektronicznymi receptami dla substancji kontrolowanych (EPCS), spełniają swoje wymagania prawne.

FIPS 140 to amerykański standard rządowy, który definiuje minimalne wymagania dotyczące zabezpieczeń modułów kryptograficznych w produktach i systemach technologii informatycznych. Testowanie pod kątem standardu FIPS 140 jest obsługiwane przez program weryfikacji modułu kryptograficznego (CMVP).

Microsoft Authenticator dla systemu iOS

Począwszy od wersji 6.6.8, aplikacja Microsoft Authenticator dla systemu iOS używa natywnego modułu Apple CoreCrypto na potrzeby kryptografii zweryfikowanych przez standard FIPS na urządzeniach zgodnych ze standardem FIPS 140 firmy Apple. Wszystkie uwierzytelniania firmy Microsoft entra przy użyciu odpornych na wyłudzanie informacji kluczy dostępu, wypychania uwierzytelniania wieloskładnikowego (MFA), logowania bez hasła (PSI) i jednorazowych kodów dostępu (TOTP) używają kryptografii FIPS.

Aby uzyskać więcej informacji na temat zweryfikowanych modułów kryptograficznych FIPS 140 używanych i zgodnych urządzeń z systemem iOS, zobacz Certyfikaty zabezpieczeń systemu iOS firmy Apple.

Uwaga

W nowych aktualizacjach z poprzedniej wersji tego artykułu: Microsoft Authenticator nie jest jeszcze zgodny ze standardem FIPS 140 w systemie Android. Aplikacja Microsoft Authenticator w systemie Android oczekuje obecnie na certyfikację zgodności ze standardem FIPS w celu obsługi naszych klientów, którzy mogą wymagać kryptografii zweryfikowane przez standard FIPS.

Określanie typu rejestracji aplikacji Microsoft Authenticator w obszarze Moje informacje zabezpieczające

Zarządzanie i dodawanie dodatkowych rejestracji aplikacji Microsoft Authenticator może być wykonywane przez użytkowników przez uzyskanie dostępu do informacji MySecurityInfo (zobacz adresy URL w następnej sekcji) lub wybranie pozycji Informacje zabezpieczające w obszarze MyAccount. Określone ikony służą do rozróżniania, czy rejestracja w aplikacji Microsoft Authenticator jest bez hasła logowania za pomocą telefonu, czy uwierzytelniania wieloskładnikowego.

Typ rejestracji wystawcy uwierzytelniającego Ikona
Microsoft Authenticator: logowanie za pomocą telefonu bez hasła Microsoft Authenticator passwordless sign-in Capable
Microsoft Authenticator: (powiadomienie/kod) Microsoft Authenticator MFA Capable
Chmura MySecurityInfo URL
Komercyjna platforma Azure (w tym GCC) https://aka.ms/MySecurityInfo
Platforma Azure dla instytucji rządowych USA (w tym GCC High i DoD) https://aka.ms/MySecurityInfo-us

Następne kroki