Jak spustit registrační kampaň pro nastavení aplikace Microsoft Authenticator

Během přihlašování můžete uživatele posunout a nastavit Microsoft Authenticator. Uživatelé procházejí běžným přihlášením, provádějí vícefaktorové ověřování jako obvykle a pak se zobrazí výzva k nastavení aplikace Microsoft Authenticator. Můžete zahrnout nebo vyloučit uživatele nebo skupiny, abyste mohli určit, kdo se při nastavování aplikace posune. To umožňuje cílovým kampaním přesouvat uživatele z méně zabezpečených metod ověřování na Authenticator.

Můžete také definovat, kolik dní může uživatel odložit nebo "odložit". Pokud uživatel klepne na Přeskočit, aby odložil nastavení aplikace, po uplynutí doby trvání odloží další pokus vícefaktorového ověřování. Můžete se rozhodnout, jestli uživatel může po neomezenou dobu nebo až třikrát odložit (po které se vyžaduje registrace).

Poznámka:

Když uživatelé projdou běžným přihlašováním, platí zásady podmíněného přístupu, které řídí registraci bezpečnostních údajů, než se uživateli zobrazí výzva k nastavení authenticatoru. Pokud například zásady podmíněného přístupu vyžadují aktualizace bezpečnostních údajů, můžou nastat jenom v interní síti, uživatelé nebudou vyzváni k nastavení authenticatoru, pokud nejsou v interní síti.

Požadavky

  • Vaše organizace musí povolit vícefaktorové ověřování Microsoft Entra. Každá edice Microsoft Entra ID zahrnuje vícefaktorové ověřování Microsoft Entra. Pro kampaň registrace není nutná žádná jiná licence.
  • Uživatelé si ještě nemůžou nastavit aplikaci Authenticator pro nabízená oznámení ve svém účtu.
  • Správci musí uživatelům povolit aplikaci Authenticator pomocí jedné z těchto zásad:
    • Zásady registrace vícefaktorového ověřování: Uživatelé budou muset povolit oznámení prostřednictvím mobilní aplikace.
    • Zásady metod ověřování: Uživatelé budou muset povolit aplikaci Authenticator a režim ověřování nastavený na Jakýkoli nebo Nasdílení změn. Pokud je zásada nastavená na bez hesla, nebude mít uživatel nárok na posun. Další informace o tom, jak nastavit režim ověřování, naleznete v tématu Povolení přihlašování bez hesla pomocí aplikace Microsoft Authenticator.

Uživatelské prostředí

  1. Nejprve je potřeba úspěšně ověřit pomocí vícefaktorového ověřování Microsoft Entra (MFA).

  2. Pokud jste povolili nabízená oznámení Authenticatoru a ještě je nemáte nastavená, zobrazí se výzva k nastavení authenticatoru, abyste zlepšili své přihlašovací prostředí.

    Poznámka:

    Další funkce zabezpečení, jako je heslo bez hesla, samoobslužné resetování hesla nebo výchozí nastavení zabezpečení, můžou také zobrazit výzvu k nastavení.

    Snímek obrazovky s vícefaktorovým ověřováním

  3. Klepněte na Další a projděte si nastavení aplikace Authenticator.

  4. Nejdřív si stáhněte aplikaci.

    Snímek obrazovky se stažením aplikace Microsoft Authenticator

    1. Podívejte se, jak nastavit aplikaci Authenticator.

      Snímek obrazovky Microsoft Authenticatoru

    2. Naskenujte kód QR.

      Snímek obrazovky s kódem QR

    3. Ověřte svou identitu.

      Snímek obrazovky Ověření identity

    4. Schválení testovacího oznámení na vašem zařízení

      Snímek obrazovky s testovacím oznámením

    5. Aplikace Authenticator je teď úspěšně nastavená.

      Snímek obrazovky s dokončenou instalací

  5. Pokud nechcete aplikaci Authenticator nainstalovat, můžete klepnutím na Přeskočit tuto výzvu odložit až na 14 dní, kterou může nastavit správce. Uživatelé s bezplatným a zkušebním předplatným můžou výzvu třikrát odložit.

    Snímek obrazovky s možností odložit

Povolení zásad registrační kampaně pomocí Centra pro správu Microsoft Entra

Pokud chcete povolit registrační kampaň v Centru pro správu Microsoft Entra, proveďte následující kroky:

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce zásad ověřování.

  2. Přejděte do kampaně Registrace metod>ověřování ochrany>a klikněte na Upravit.

  3. Pro stav:

    • Výběrem možnosti Povoleno povolíte registrační kampaň pro všechny uživatele.
    • Pokud chcete povolit registrační kampaň jenom pro uživatele hlasových hovorů nebo textových zpráv, vyberte Microsoft. Nastavení spravované Microsoftem umožňuje Microsoftu nastavit výchozí hodnotu. Další informace naleznete v tématu Ochrana metod ověřování v Microsoft Entra ID.

    Pokud je stav registrační kampaně nastavený na povolenou nebo spravovanou službou Microsoft, můžete prostředí pro koncové uživatele nakonfigurovat pomocí omezeného počtu snoozů:

    • Pokud je povolený omezený počet snoozů , můžou uživatelé přeskočit výzvu přerušení 3krát, po které budou nuceni zaregistrovat Authenticator.
    • Pokud je omezený počet snoozů je zakázán, uživatelé mohou odložit neomezený početkrát a vyhnout se registraci authenticatoru.

    Dny povolené odložit nastaví období mezi dvěma po sobě jdoucími výzvami k přerušení. Pokud je například nastavená na 3 dny, uživatelé, kteří registraci přeskočili, se znovu nezobrazí výzva až po 3 dnech.

    Snímek obrazovky s povolením registrační kampaně

  4. Vyberte všechny uživatele nebo skupiny, které chcete vyloučit z registrační kampaně, a klikněte na tlačítko Uložit.

Povolení zásad registrační kampaně pomocí Graph Exploreru

Kromě používání Centra pro správu Microsoft Entra můžete také povolit zásady registrační kampaně pomocí Graph Exploreru. Pokud chcete povolit zásady registrační kampaně, musíte použít zásady metod ověřování pomocí rozhraní Graph API. Ti, kteří mají přiřazenou alespoň roli Správce zásad ověřování, mohou zásadu aktualizovat.

Konfigurace zásad pomocí Graph Exploreru:

  1. Přihlaste se k Graph Exploreru a ujistěte se, že souhlasíte s oprávněními Policy.Read.All a Policy.ReadWrite.AuthenticationMethod .

    Otevření panelu Oprávnění:

    Snímek obrazovky s Průzkumníkem grafů

  2. Načtěte zásady metod ověřování:

    GET https://graph.microsoft.com/v1.0/policies/authenticationmethodspolicy
    
  3. Aktualizujte část zásad registrationEnforcement a authenticationMethodsRegistrationCampaign, aby se povolilo posunutí uživatele nebo skupiny.

    Snímek obrazovky s odpovědí rozhraní API

    Pokud chcete zásadu aktualizovat, proveďte patch pro zásady metod ověřování pouze s aktualizovanou částí registrationEnforcement:

    PATCH https://graph.microsoft.com/v1.0/policies/authenticationmethodspolicy
    

Následující tabulka uvádí vlastnosti authenticationMethodsRegistrationCampaign .

Název Možné hodnoty Popis
snoozeDurationInDays Rozsah: 0 až 14 Definuje počet dní, než se uživatel znovu posune.
Pokud je hodnota 0, uživatel se při každém pokusu o vícefaktorové ověřování posune.
Výchozí hodnota: 1 den
enforceRegistrationAfterAllowedSnoozes "true"
"false"
Určuje, jestli je uživatel nutný k provedení nastavení po 3 snoozech.
Pokud je hodnota true, uživatel se musí zaregistrovat.
Pokud je false, uživatel může nekonečně odložit.
Výchozí: true
state "povoleno"
"zakázáno"
"default"
Umožňuje povolit nebo zakázat funkci.
Výchozí hodnota se použije, když konfigurace nebyla explicitně nastavena a použije výchozí hodnotu ID Microsoft Entra pro toto nastavení. Výchozí stav je povolený pro uživatele hlasových hovorů a textových zpráv ve všech tenantech.
Podle potřeby změňte stav tak, aby byl povolený (pro všechny uživatele) nebo zakázán.
excludeTargets Umožňuje vyloučit z této funkce jiné uživatele a skupiny, které chcete vynechat. Pokud je uživatel ve skupině, která je vyloučená a která je zahrnutá, bude uživatel z této funkce vyloučen.
includeTargets Umožňuje zahrnout různé uživatele a skupiny, na které chcete tuto funkci cílit.

Následující tabulka obsahuje vlastnostiTargets .

Název Možné hodnoty Popis
targetType "uživatel"
"group"
Typ entity, na který cílí.
ID Identifikátor guid ID cílového uživatele nebo skupiny.
targetedAuthenticationMethod "microsoftAuthenticator" Uživateli metody ověřování se zobrazí výzva k registraci. Jedinou povolenou hodnotou je microsoftAuthenticator.

V následující tabulce jsou uvedeny vlastnosti excludeTargets .

Název Možné hodnoty Popis
targetType "uživatel"
"group"
Typ entity, na který cílí.
ID Řetězec ID cílového uživatele nebo skupiny.

Příklady

Tady je několik ukázkových sítí JSON, které můžete použít k zahájení práce.

  • Zahrnout všechny uživatele

    Pokud chcete do svého tenanta zahrnout všechny uživatele, aktualizujte následující příklad JSON příslušnými identifikátory GUID uživatelů a skupin. Potom ho vložte do Graph Exploreru a spusťte PATCH ho na koncovém bodu.

    {
    "registrationEnforcement": {
            "authenticationMethodsRegistrationCampaign": {
                "snoozeDurationInDays": 1,
                "enforceRegistrationAfterAllowedSnoozes": true,
                "state": "enabled",
                "excludeTargets": [],
                "includeTargets": [
                    {
                        "id": "all_users",
                        "targetType": "group",
                        "targetedAuthenticationMethod": "microsoftAuthenticator"
                    }
                ]
            }
        }
    }
    
  • Zahrnout konkrétní uživatele nebo skupiny uživatelů

    Pokud chcete do tenanta zahrnout určité uživatele nebo skupiny, aktualizujte následující příklad JSON příslušnými identifikátory GUID uživatelů a skupin. Pak vložte JSON v Graph Exploreru a spusťte PATCH ho na koncovém bodu.

    {
    "registrationEnforcement": {
          "authenticationMethodsRegistrationCampaign": {
              "snoozeDurationInDays": 1,
              "enforceRegistrationAfterAllowedSnoozes": true,
              "state": "enabled",
              "excludeTargets": [],
              "includeTargets": [
                  {
                      "id": "*********PLEASE ENTER GUID***********",
                      "targetType": "group",
                      "targetedAuthenticationMethod": "microsoftAuthenticator"
                  },
                  {
                      "id": "*********PLEASE ENTER GUID***********",
                      "targetType": "user",
                      "targetedAuthenticationMethod": "microsoftAuthenticator"
                  }
              ]
          }
      }
    }  
    
  • Zahrnutí a vyloučení konkrétních uživatelů nebo skupin

    Pokud chcete zahrnout a vyloučit určité uživatele nebo skupiny ve vašem tenantovi, aktualizujte následující příklad JSON příslušnými identifikátory GUID uživatelů a skupin. Potom ho vložte do Graph Exploreru a spusťte PATCH ho na koncovém bodu.

    {
    "registrationEnforcement": {
            "authenticationMethodsRegistrationCampaign": {
                "snoozeDurationInDays": 1,
                "enforceRegistrationAfterAllowedSnoozes": true,
                "state": "enabled",
                "excludeTargets": [
                    {
                        "id": "*********PLEASE ENTER GUID***********",
                        "targetType": "group"
                    },
                  {
                        "id": "*********PLEASE ENTER GUID***********",
                        "targetType": "user"
                    }
                ],
                "includeTargets": [
                    {
                        "id": "*********PLEASE ENTER GUID***********",
                        "targetType": "group",
                        "targetedAuthenticationMethod": "microsoftAuthenticator"
                    },
                    {
                        "id": "*********PLEASE ENTER GUID***********",
                        "targetType": "user",
                        "targetedAuthenticationMethod": "microsoftAuthenticator"
                    }
                ]
            }
        }
    }
    

Identifikace identifikátorů GUID uživatelů, které se mají vložit do sítí JSONs

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce zásad ověřování.

  2. V okně Spravovat klepněte na Uživatelé.

  3. Na stránce Uživatelé určete konkrétního uživatele, kterého chcete cílit.

  4. Když klepnete na konkrétního uživatele, zobrazí se JEHO ID objektu, což je identifikátor GUID uživatele.

    ID objektu uživatele

Identifikace identifikátorů GUID skupin, které se mají vložit do sítí JSONs

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce zásad ověřování.

  2. V okně Spravovat klepněte na Skupiny.

  3. Na stránce Skupiny určete konkrétní skupinu, na kterou chcete cílit.

  4. Klepněte na skupinu a získejte ID objektu.

    Posunutí skupiny

Omezení

Posun se nezobrazí na mobilních zařízeních, na kterých běží Android nebo iOS.

Nejčastější dotazy

Je registrační kampaň dostupná pro MFA Server?

Ne, registrační kampaň je k dispozici pouze pro uživatele používající vícefaktorové ověřování Microsoft Entra.

Můžou být uživatelé posunuti v rámci aplikace?

Ano, v určitých aplikacích podporujeme vložená zobrazení prohlížeče. Neposouvejte uživatele v prostředích mimo okno ani v zobrazeních prohlížeče vložených v nastaveních Windows.

Můžou být uživatelé na mobilním zařízení posunuti?

Registrační kampaň není dostupná na mobilních zařízeních.

Jak dlouho kampaň běží?

Kampaň můžete povolit tak dlouho, jak chcete. Kdykoli chcete kampaň spustit, zakažte kampaň pomocí Centra pro správu nebo rozhraní API.

Může mít každá skupina uživatelů jinou dobu odsunutí?

Ne. Doba trvání výzvy je nastavení pro celou tenanta a vztahuje se na všechny skupiny v oboru.

Můžou být uživatelé nahánění, aby si mohli nastavit přihlášení k telefonu bez hesla?

Cílem této funkce je umožnit správcům, aby si uživatelé nastavili vícefaktorové ověřování pomocí aplikace Authenticator, a ne přihlašování přes telefon bez hesla.

Uvidí uživatel, který se přihlásí pomocí ověřovací aplikace třetí strany, posun?

Ano. Pokud má uživatel povolenou registrační kampaň a nemá nastavenou aplikaci Microsoft Authenticator pro nabízená oznámení, uživatel se posune, aby nastavil Authenticator.

Uvidí uživatel, který má aplikaci Authenticator nastavenou jenom pro kódy TOTP, posun?

Ano. Pokud je pro kampaň registrace povolený uživatel a aplikace Authenticator není nastavená pro nabízená oznámení, uživatel se posune a nastaví nabízené oznámení pomocí Authenticatoru.

Pokud uživatel právě prošel registrací vícefaktorového ověřování, posune se do stejné přihlašovací relace?

Ne. Aby bylo možné zajistit dobré uživatelské prostředí, nebudou uživatelé naháněni, aby nastavili Authenticator ve stejné relaci, ve které zaregistrovali jiné metody ověřování.

Můžu uživatele posunout, aby si zaregistrovali jinou metodu ověřování?

Ne. Cílem této funkce je prozatím posunout uživatele tak, aby nastavili jenom aplikaci Authenticator.

Existuje způsob, jak skrýt možnost snooze a vynutit, aby moji uživatelé nastavili aplikaci Authenticator?

Nastavte omezený počet snoozů na Povoleno tak, aby uživatelé mohli odložit nastavení aplikace až třikrát, po kterém se vyžaduje nastavení.

Budu moct uživatele posunout, pokud nepoužívám vícefaktorové ověřování Microsoft Entra?

Ne. Posun funguje jenom pro uživatele, kteří vícefaktorové ověřování používají vícefaktorovou službu Microsoft Entra.

Budou uživatelé typu host/B2B v mém tenantovi nahánění?

Ano. Pokud byly vymezeny na posun pomocí zásad.

Co když uživatel zavře prohlížeč?

Je to stejné jako snoozování. Pokud se nastavení vyžaduje pro uživatele, jakmile se třikrát zoozí, zobrazí se uživateli výzva při příštím přihlášení.

Proč se některým uživatelům nezobrazuje posun, když existují zásady podmíněného přístupu pro registraci informací o zabezpečení?

Posun se nezobrazí, pokud je uživatel v oboru zásad podmíněného přístupu, která blokuje přístup na stránku Registrovat informace o zabezpečení.

Zobrazují se uživatelům při přihlašování obrazovka s podmínkami použití (ToU)?

Posun se nezobrazí, pokud se uživateli během přihlašování zobrazí obrazovka s podmínkami použití (ToU ).

Zobrazují se uživatelům posun, když jsou pro přihlášení použitelné vlastní ovládací prvky podmíněného přístupu?

Posun se nezobrazí, pokud se uživatel během přihlašování přesměruje kvůli nastavení vlastních ovládacích prvků podmíněného přístupu.

Existují nějaké plány, jak ukončit sms a hlas jako metody použitelné pro vícefaktorové ověřování?

Ne, takové plány neexistují.

Další kroky

Povolení bezheslového přihlašování pomocí aplikace Microsoft Authenticator