Często zadawane pytania dotyczące uwierzytelniania wieloskładnikowego w usłudze Microsoft Entra

W przypadku serwera Multi-Factor Authentication dane użytkownika są przechowywane tylko na serwerach lokalnych. Żadne trwałe dane użytkowników nie są przechowywane w chmurze. Gdy użytkownik przeprowadza weryfikację dwuetapową, serwer Multi-Factor Authentication wysyła dane do usługi microsoft Entra multifactor authentication w chmurze na potrzeby uwierzytelniania. Komunikacja między serwerem Multi-Factor Authentication i usługą w chmurze uwierzytelniania wieloskładnikowego korzysta z protokołu Secure Sockets Layer (SSL) lub Transport Layer Security (TLS) za pośrednictwem portu 443 wychodzącego.

Gdy żądania uwierzytelniania są wysyłane do usługi w chmurze, dane są zbierane na potrzeby raportów uwierzytelniania i użycia. Następujące pola danych znajdują się w dziennikach weryfikacji dwuetapowej:

• Unikatowy identyfikator (nazwa użytkownika lub lokalny identyfikator serwera usługi Multi-Factor Authentication)
• Imię i nazwisko (opcjonalnie)
• Adres e-mail (opcjonalnie)
• Telefon numer (w przypadku korzystania z uwierzytelniania za pomocą połączenia głosowego lub wiadomości SMS)
• Token urządzenia (w przypadku korzystania z uwierzytelniania aplikacji mobilnej)
• Tryb uwierzytelniania
• Wynik uwierzytelniania
• Nazwa serwera usługi Multi-Factor Authentication
• Adres IP serwera usługi Multi-Factor Authentication
• Adres IP klienta (jeśli jest dostępny)

Opcjonalne pola można skonfigurować na serwerze usługi Multi-Factor Authentication.

Wynik weryfikacji (powodzenie lub odmowa) i przyczyna odmowy jest przechowywana z danymi uwierzytelniania. Te dane są dostępne w raportach uwierzytelniania i użycia.

Aby uzyskać więcej informacji, zobacz Data residency and customer data for Microsoft Entra multifactor authentication (Dane dotyczące rezydencji danych i danych klientów na potrzeby uwierzytelniania wieloskładnikowego firmy Microsoft).

W Stany Zjednoczone używamy następujących krótkich kodów:

• 97671
• 69829
• 51789
• 99399

W Kanadzie używamy następujących krótkich kodów:

• 759731
• 673801

Nie ma gwarancji, że komunikat tekstowy lub wieloskładnikowy oparty na głosie monit o uwierzytelnianie wieloskładnikowe są dostarczane przez ten sam numer. W interesie naszych użytkowników możemy w dowolnym momencie dodawać lub usuwać krótkie kody, ponieważ wprowadzamy korekty tras w celu zwiększenia możliwości dostarczania wiadomości SMS.

Nie obsługujemy krótkich kodów dla krajów lub regionów oprócz Stany Zjednoczone i Kanady.

Tak, w niektórych przypadkach, które zwykle obejmują powtarzające się żądania uwierzytelniania w krótkim czasie, uwierzytelnianie wieloskładnikowe firmy Microsoft ogranicza próby logowania użytkowników w celu ochrony sieci telekomunikacyjnych, łagodzenia ataków w stylu zmęczenia uwierzytelniania wieloskładnikowego i ochrony własnych systemów z korzyścią dla wszystkich klientów.

Chociaż nie udostępniamy określonych limitów ograniczania przepustowości, są one oparte na rozsądnym użyciu.

Nie, nie są naliczane opłaty za poszczególne połączenia telefoniczne umieszczone ani wiadomości SMS wysyłane do użytkowników za pośrednictwem uwierzytelniania wieloskładnikowego firmy Microsoft. Jeśli używasz dostawcy uwierzytelniania wieloskładnikowego, opłaty są naliczane za każde uwierzytelnianie, ale nie dla używanej metody.

Użytkownicy mogą być obciążani opłatami za połączenia telefoniczne lub wiadomości SMS, które otrzymują, zgodnie z ich osobistą usługą telefoniczną.

Rozliczenia są oparte na liczbie użytkowników skonfigurowanych do korzystania z uwierzytelniania wieloskładnikowego, niezależnie od tego, czy wykonali weryfikację dwuetapową w tym miesiącu.

Podczas tworzenia dostawcy usługi MFA dla poszczególnych użytkowników lub uwierzytelniania subskrypcja platformy Azure w organizacji jest rozliczana co miesiąc na podstawie użycia. Ten model rozliczeń jest podobny do sposobu naliczania opłat za korzystanie z maszyn wirtualnych i usługi Web Apps na platformie Azure.

W przypadku zakupu subskrypcji dla uwierzytelniania wieloskładnikowego firmy Microsoft Organizacja płaci tylko roczną opłatę licencyjną dla każdego użytkownika. Licencje usługi MFA i pakiety Microsoft 365, Microsoft Entra ID P1 lub P2 lub Enterprise Mobility + Security są rozliczane w ten sposób.

Aby uzyskać więcej informacji, zobacz Jak uzyskać uwierzytelnianie wieloskładnikowe firmy Microsoft.

Wartości domyślne zabezpieczeń można włączyć w warstwie Bezpłatna identyfikator firmy Microsoft. W przypadku ustawień domyślnych zabezpieczeń wszyscy użytkownicy są włączeni na potrzeby uwierzytelniania wieloskładnikowego przy użyciu aplikacji Microsoft Authenticator. Nie ma możliwości używania wiadomości SMS ani weryfikacji telefonu z domyślnymi ustawieniami zabezpieczeń— tylko aplikacji Microsoft Authenticator.

Aby uzyskać więcej informacji, zobacz Co to są wartości domyślne zabezpieczeń?

Jeśli organizacja kupuje uwierzytelnianie wieloskładnikowe jako autonomiczną usługę z rozliczeniami opartymi na użyciu, podczas tworzenia dostawcy uwierzytelniania wieloskładnikowego należy wybrać model rozliczeniowy. Nie można zmienić modelu rozliczeniowego po utworzeniu dostawcy usługi MFA.

Jeśli dostawca usługi MFA nie jest połączony z dzierżawą usługi Microsoft Entra lub łączysz nowego dostawcę usługi MFA z inną dzierżawą usługi Microsoft Entra, ustawieniami użytkownika i opcjami konfiguracji nie są przenoszone. Ponadto istniejące serwery uwierzytelniania wieloskładnikowego muszą zostać ponownie aktywowane przy użyciu poświadczeń aktywacji wygenerowanych za pośrednictwem nowego dostawcy usługi MFA. Ponowne aktywowanie serwerów usługi MFA w celu ich połączenia z nowym dostawcą usługi MFA nie wpływa na uwierzytelnianie za pośrednictwem połączeń telefonicznych i wiadomości SMS, ale powiadomienia w aplikacji mobilnej przestaną działać dla wszystkich użytkowników do momentu, w którym ponownie aktywują aplikację mobilną.

Dowiedz się więcej o dostawcach uwierzytelniania wieloskładnikowego w artykule Wprowadzenie do dostawcy uwierzytelniania wieloskładnikowego platformy Azure.

W niektórych przypadkach tak.

Jeśli katalog ma dostawcę uwierzytelniania wieloskładnikowego firmy Microsoft firmy Microsoft, możesz dodać licencje uwierzytelniania wieloskładnikowego. Użytkownicy z licencjami nie są liczone w rozliczeniach opartych na użyciu poszczególnych użytkowników. Użytkownicy bez licencji nadal mogą być włączeni dla uwierzytelniania wieloskładnikowego za pośrednictwem dostawcy usługi MFA. Jeśli kupujesz i przypisujesz licencje dla wszystkich użytkowników skonfigurowanych do korzystania z uwierzytelniania wieloskładnikowego, możesz usunąć dostawcę uwierzytelniania wieloskładnikowego firmy Microsoft. Zawsze możesz utworzyć innego dostawcę uwierzytelniania wieloskładnikowego dla poszczególnych użytkowników, jeśli masz więcej użytkowników niż licencje w przyszłości.

Jeśli katalog ma dostawcę uwierzytelniania wieloskładnikowego firmy Microsoft entra, zawsze są naliczane opłaty za każde uwierzytelnianie, o ile dostawca usługi MFA jest połączony z subskrypcją. Możesz przypisać licencje usługi MFA do użytkowników, ale nadal będą naliczane opłaty za każde żądanie weryfikacji dwuetapowej, niezależnie od tego, czy pochodzi ona od osoby z przypisaną licencją uwierzytelniania wieloskładnikowego, czy nie.

Jeśli Organizacja korzysta z modelu rozliczeń opartego na użyciu, identyfikator Entra firmy Microsoft jest opcjonalny, ale nie jest wymagany. Jeśli dostawca usługi MFA nie jest połączony z dzierżawą firmy Microsoft Entra, możesz wdrożyć tylko lokalny serwer usługi Azure Multi-Factor Authentication.

Identyfikator Entra firmy Microsoft jest wymagany dla modelu licencji, ponieważ licencje są dodawane do dzierżawy firmy Microsoft Entra podczas zakupu i przypisywania ich do użytkowników w katalogu.

Użytkownicy muszą próbować maksymalnie pięć razy w ciągu 5 minut, aby uzyskać połączenie telefoniczne lub wiadomość SMS na potrzeby uwierzytelniania. Firma Microsoft używa wielu dostawców do dostarczania połączeń i wiadomości SMS. Jeśli takie podejście nie zadziała, otwórz zgłoszenie do pomocy technicznej, aby rozwiązać problem.

Aplikacje zabezpieczeń innych firm mogą również blokować wiadomość SMS z kodem weryfikacyjnym lub rozmowę telefoniczną. Jeśli korzystasz z aplikacji zabezpieczeń innej firmy, spróbuj wyłączyć ochronę, a następnie zażądaj wysłania innego kodu weryfikacyjnego uwierzytelniania wieloskładnikowego.

Jeśli powyższe kroki nie działają, sprawdź, czy użytkownicy są skonfigurowani dla więcej niż jednej metody weryfikacji. Spróbuj zalogować się ponownie, ale wybierz inną metodę weryfikacji na stronie logowania.

Aby uzyskać więcej informacji, zobacz przewodnik rozwiązywania problemów z użytkownikiem końcowym.

Konto użytkownika można zresetować, ponownie przechodząc przez proces rejestracji. Dowiedz się więcej o zarządzaniu ustawieniami użytkowników i urządzeń za pomocą uwierzytelniania wieloskładnikowego firmy Microsoft w chmurze.

Aby zapobiec nieautoryzowanemu dostępowi, usuń wszystkie hasła aplikacji użytkownika. Gdy użytkownik ma urządzenie zastępcze, może odtworzyć hasła. Dowiedz się więcej o zarządzaniu ustawieniami użytkowników i urządzeń za pomocą uwierzytelniania wieloskładnikowego firmy Microsoft w chmurze.

Jeśli twoja organizacja nadal używa starszych klientów i zezwoliła na używanie haseł aplikacji, użytkownicy nie mogą logować się do tych starszych klientów przy użyciu nazwy użytkownika i hasła. Zamiast tego muszą skonfigurować hasła aplikacji. Użytkownicy muszą wyczyścić (usunąć) informacje logowania, ponownie uruchomić aplikację, a następnie zalogować się przy użyciu nazwy użytkownika i hasła aplikacji zamiast zwykłego hasła.

Jeśli Twoja organizacja nie ma starszych klientów, nie należy zezwalać użytkownikom na tworzenie haseł aplikacji.

Dostarczanie wiadomości tekstowych nie jest gwarantowane, ponieważ niekontrolowane czynniki mogą mieć wpływ na niezawodność usługi. Czynniki te obejmują kraj docelowy lub region, operatora telefonu komórkowego i siłę sygnału.

Aplikacje zabezpieczeń innych firm mogą również blokować wiadomość SMS z kodem weryfikacyjnym lub rozmowę telefoniczną. Jeśli korzystasz z aplikacji zabezpieczeń innej firmy, spróbuj wyłączyć ochronę, a następnie zażądaj wysłania innego kodu weryfikacyjnego uwierzytelniania wieloskładnikowego.

Jeśli użytkownicy często mają problemy z niezawodnym odbieraniem wiadomości SMS, poinformuj ich, aby zamiast tego korzystały z aplikacji Microsoft Authenticator lub metody połączenia telefonicznego. Aplikacja Microsoft Authenticator może odbierać powiadomienia zarówno za pośrednictwem połączeń komórkowych, jak i Wi-Fi. Ponadto aplikacja mobilna może generować kody weryfikacyjne nawet wtedy, gdy urządzenie w ogóle nie ma sygnału. Aplikacja Microsoft Authenticator jest dostępna dla systemów Android, iOS i Windows Phone.

W niektórych przypadkach, tak.

W przypadku jednokierunkowej wiadomości SMS z serwerem MFA w wersji 7.0 lub nowszej można skonfigurować ustawienie limitu czasu, ustawiając klucz rejestru. Po wysłaniu wiadomości SMS przez usługę MFA w chmurze kod weryfikacyjny (lub jednorazowy kod dostępu) jest zwracany do serwera usługi MFA. Serwer MFA domyślnie przechowuje kod w pamięci przez 300 sekund. Jeśli użytkownik nie wprowadzi kodu przed upływem 300 sekund, jego uwierzytelnianie zostanie odrzucone. Wykonaj następujące kroki, aby zmienić domyślne ustawienie limitu czasu:

1. Przejdź do HKLM\Software\Wow6432Node\Positive Networks\PhoneFactor.
2. Utwórz klucz rejestru DWORD o nazwie pfsvc_pendingSmsTimeoutSeconds i ustaw czas w sekundach, przez który serwer MFA ma przechowywać jednorazowe kody dostępu.

Jeśli użytkownicy nie odpowiadają na wiadomość SMS w określonym przedziale czasu, ich uwierzytelnianie zostanie odrzucone.

W przypadku jednokierunkowego programu SMS z uwierzytelnianiem wieloskładnikowym firmy Microsoft w chmurze (w tym adapterem AD FS lub rozszerzeniem serwera zasad sieciowych) nie można skonfigurować ustawienia limitu czasu. Identyfikator Entra firmy Microsoft przechowuje kod weryfikacyjny przez 180 sekund.

Jeśli używasz serwera Multi-Factor Authentication, możesz zaimportować tokeny jednorazowego hasła (TOTP) innej firmy, korzystając z uwierzytelniania open authentication (OATH), a następnie użyć ich do weryfikacji dwuetapowej.

Możesz użyć tokenów ActiveIdentity, które są tokenami OATH TOTP, jeśli umieścisz klucz tajny w pliku CSV i zaimportujesz do serwera Multi-Factor Authentication. Tokeny OATH można używać z usługami Active Directory Federation Services (ADFS), uwierzytelnianiem opartym na formularzach internetowego serwera informacji (IIS) oraz uwierzytelnianiem zdalnym w usłudze użytkownika (RADIUS), o ile system kliencki może zaakceptować dane wejściowe użytkownika.

Tokeny OATH TOTP innych firm można zaimportować z następującymi formatami:

• Przenośny kontener kluczy symetrycznych (PSKC)
• CSV, jeśli plik zawiera numer seryjny, klucz tajny w formacie Base 32 i interwał czasu

Tak, ale jeśli używasz systemu Windows Server 2012 R2 lub nowszego, możesz zabezpieczyć usługi terminalowe tylko przy użyciu bramy usług pulpitu zdalnego (brama usług pulpitu zdalnego).

Zmiany zabezpieczeń w systemie Windows Server 2012 R2 zmieniły sposób łączenia serwera Multi-Factor Authentication z pakietem zabezpieczeń urzędu zabezpieczeń lokalnych (LSA) w systemie Windows Server 2012 i starszych wersjach. W przypadku wersji usług terminalowych w systemie Windows Server 2012 lub starszym można zabezpieczyć aplikację przy użyciu uwierzytelniania systemu Windows. Jeśli używasz systemu Windows Server 2012 R2, potrzebujesz bramy usług pulpitu zdalnego.

Gdy połączenia uwierzytelniania wieloskładnikowego są umieszczane za pośrednictwem publicznej sieci telefonicznej, czasami są one kierowane przez przewoźnika, który nie obsługuje identyfikatora rozmówcy. Ze względu na to zachowanie operatora identyfikator obiektu wywołującego nie jest gwarantowany, mimo że system uwierzytelniania wieloskładnikowego zawsze go wysyła.

Istnieje kilka powodów, dla których użytkownicy mogą być monitowani o zarejestrowanie informacji zabezpieczających:

• Użytkownik został włączony dla uwierzytelniania wieloskładnikowego przez administratora w usłudze Microsoft Entra ID, ale nie ma jeszcze zarejestrowanych informacji zabezpieczających dla swojego konta.
• Użytkownik został włączony na potrzeby samoobsługowego resetowania hasła w usłudze Microsoft Entra ID. Informacje zabezpieczające pomogą im zresetować swoje hasło w przyszłości, jeśli kiedykolwiek o tym zapomną.
• Użytkownik uzyskał dostęp do aplikacji, która ma zasady dostępu warunkowego, aby wymagać uwierzytelniania wieloskładnikowego i nie została wcześniej zarejestrowana w usłudze MFA.
• Użytkownik rejestruje urządzenie w usłudze Microsoft Entra ID (w tym dołączenie do firmy Microsoft Entra), a Organizacja wymaga uwierzytelniania wieloskładnikowego na potrzeby rejestracji urządzeń, ale użytkownik nie został wcześniej zarejestrowany w usłudze MFA.
• Użytkownik generuje Windows Hello dla firm w systemie Windows 10 (co wymaga uwierzytelniania wieloskładnikowego) i nie został wcześniej zarejestrowany w usłudze MFA.
• Organizacja utworzyła i włączyła zasady rejestracji uwierzytelniania wieloskładnikowego, które zostały zastosowane do użytkownika.
• Użytkownik wcześniej zarejestrował się w usłudze MFA, ale wybrał metodę weryfikacji, którą administrator od tego czasu wyłączył. W związku z tym użytkownik musi ponownie przejść przez rejestrację usługi MFA, aby wybrać nową domyślną metodę weryfikacji.

Poproś użytkownika o wykonanie poniższej procedury w celu usunięcia konta z aplikacji Microsoft Authenticator, a następnie dodaj je ponownie:

1. Przejdź do profilu konta i zaloguj się przy użyciu konta organizacyjnego.
2. Wybierz pozycję Dodatkowa weryfikacja zabezpieczeń.
3. Usuń istniejące konto z aplikacji Microsoft Authenticator.
4. Kliknij przycisk Konfiguruj, a następnie postępuj zgodnie z instrukcjami, aby ponownie skonfigurować aplikację Microsoft Authenticator.

Błąd 0x800434D4L występuje podczas próby zalogowania się do aplikacji spoza przeglądarki zainstalowanej na komputerze lokalnym, która nie działa z kontami, które wymagają weryfikacji dwuetapowej.

Obejściem tego błędu jest posiadanie oddzielnych kont użytkowników na potrzeby operacji związanych z administratorem i niezwiązanych z administratorem. Później możesz połączyć skrzynki pocztowe między kontem administratora i kontem niebędącym administratorem, aby można było zalogować się do programu Outlook przy użyciu konta innego niż administrator. Aby uzyskać więcej informacji na temat tego rozwiązania, dowiedz się, jak przyznać administratorowi możliwość otwierania i wyświetlania zawartości skrzynki pocztowej użytkownika.

Błąd 1073741715 = Niepowodzenie logowania stanu —> próba logowania jest nieprawidłowa. Jest to spowodowane nieprawidłową nazwą użytkownika lub uwierzytelnianiem.

Prawdopodobną przyczyną tego błędu: jeśli wprowadzone poświadczenia podstawowe są poprawne, może wystąpić niezgodność między obsługiwaną wersją NTLM na serwerze usługi MFA i kontrolerem domeny. Serwer MFA obsługuje tylko serwer NTLMv1 (LmCompatabilityLevel=1 z 4), a nie NTLMv2 (LmCompatabilityLevel=5).

Następne kroki

Jeśli w tym miejscu nie udzielono odpowiedzi na twoje pytanie, dostępne są następujące opcje pomocy technicznej:

• Wyszukaj w bazie wiedzy pomoc techniczna firmy Microsoft rozwiązania typowych problemów technicznych.
• Wyszukaj i przeglądaj pytania techniczne i odpowiedzi od społeczności lub zadaj własne pytanie w witrynie Microsoft Entra Q&A.
• Skontaktuj się z specjalistą firmy Microsoft za pośrednictwem pomocy technicznej serwera Multi-Factor Authentication. Jeśli skontaktujesz się z nami, warto dołączyć jak najwięcej informacji o problemie. Informacje, które można podać, obejmują stronę, na której został wyświetlony błąd, określony kod błędu, określony identyfikator sesji i identyfikator użytkownika, który widział błąd.
• Jeśli jesteś starszym klientem Telefon Factor i masz pytania lub potrzebujesz pomocy przy resetowaniu hasła, użyj phonefactorsupport@microsoft.com adresu e-mail, aby otworzyć zgłoszenie do pomocy technicznej.