Hantera metoder för användarautentisering för Microsoft Entra-multifaktorautentisering

  • Så här gör du

Användare i Microsoft Entra ID har två olika uppsättningar med kontaktinformation:

  • Kontaktinformation för offentlig profil, som hanteras i användarprofilen och är synlig för medlemmar i din organisation. För användare som synkroniseras från lokal Active Directory hanteras den här informationen i lokala Windows Server Active Directory-domän Services.
  • Autentiseringsmetoder, som alltid hålls privata och endast används för autentisering, inklusive multifaktorautentisering. Administratörer kan hantera dessa metoder på en användares autentiseringsmetodblad och användarna kan hantera sina metoder på sidan Säkerhetsinformation i MyAccount.

När du hanterar Microsoft Entra multifaktorautentiseringsmetoder för dina användare kan autentiseringsadministratörer:

  • Lägg till autentiseringsmetoder för en specifik användare, inklusive telefonnummer som används för MFA.
  • Återställ en användares lösenord.
  • Kräv att en användare registrerar om för MFA.
  • Återkalla befintliga MFA-sessioner.
  • Ta bort en användares befintliga applösenord

Kommentar

Skärmbilderna i det här avsnittet visar hur du hanterar metoder för användarautentisering med hjälp av en uppdaterad upplevelse i administrationscentret för Microsoft Entra. Det finns också en äldre upplevelse och administratörer kan växla mellan de två med hjälp av en banderoll i administrationscentret. Den moderna upplevelsen har full paritet med den äldre upplevelsen och hanterar moderna metoder som Tillfälligt åtkomstpass, nycklar och andra inställningar. Den äldre upplevelsen i administrationscentret för Microsoft Entra dras tillbaka från och med den 31 oktober 2024. Organisationer måste inte vidta några åtgärder innan de går i pension.

Förutsättningar

Microsoft Entra multifaktorautentisering, som är aktiverad som standard.

Lägga till eller ändra autentiseringsmetoder för en användare

Du kan lägga till eller ändra autentiseringsmetoder för en användare med hjälp av administrationscentret för Microsoft Entra eller Microsoft Graph PowerShell. I administrationscentret för Microsoft Entra dras leagcy-metoden för hantering av användarautentiseringsmetoder tillbaka efter den 31 oktober 2024.

Kommentar

Av säkerhetsskäl bör fält för kontaktinformation för offentliga användare inte användas för att utföra MFA. I stället bör användarna fylla i sina autentiseringsmetodnummer som ska användas för MFA.

Skärmbild av hur du lägger till autentiseringsmetoder från administrationscentret för Microsoft Entra.

Så här lägger du till eller ändrar autentiseringsmetoder för en användare i administrationscentret för Microsoft Entra:

  1. Logga in på administrationscentret för Microsoft Entra som minst autentiseringsadministratör.
  2. Gå till Identitet>Användare>Alla användare.
  3. Välj den användare som du vill lägga till eller ändra en autentiseringsmetod för och välj Autentiseringsmetoder.
  4. Längst upp i fönstret väljer du + Lägg till autentiseringsmetod.
    • Välj en metod (telefonnummer eller e-post). E-post kan användas för självlösenordsåterställning men inte autentisering. När du lägger till ett telefonnummer väljer du en telefontyp och anger telefonnummer med giltigt format (till exempel +1 4255551234).
    • Markera Lägga till.

Användare kan lägga till eller redigera sina egna autentiseringsmetoder i Mina inloggningar | Säkerhetsinformation. Om du till exempel vill ändra telefonnumret väljer du Telefonnummer och trycker på Ändra.

Hantera metoder med PowerShell

Installera PowerShell-modulen Microsoft.Graph.Identity.Signins med hjälp av följande kommandon.

Install-module Microsoft.Graph.Identity.Signins
Connect-MgGraph -Scopes "User.Read.all","UserAuthenticationMethod.Read.All","UserAuthenticationMethod.ReadWrite.All"
Select-MgProfile -Name beta

List phone based authentication methods for a specific user.

Get-MgUserAuthenticationPhoneMethod -UserId balas@contoso.com

Create a mobile phone authentication method for a specific user.

New-MgUserAuthenticationPhoneMethod -UserId balas@contoso.com -phoneType "mobile" -phoneNumber "+1 7748933135"

Remove a specific phone method for a user

Remove-MgUserAuthenticationPhoneMethod -UserId balas@contoso.com -PhoneAuthenticationMethodId 00aa00aa-bb11-cc22-dd33-44ee44ee44ee

Authentication methods can also be managed using Microsoft Graph APIs. For more information, see Authentication and authorization basics.

Hantera alternativ för användarautentisering

Dricks

Stegen i den här artikeln kan variera något beroende på vilken portal du börjar från.

Autentiseringsadministratörer kan kräva att andra användare återställer sitt lösenord, registrerar om för MFA eller återkallar befintliga MFA-sessioner från användarobjektet. Användare kan inte uppdatera sina egna användarobjekt. Om du vill ändra eller återställa sina egna säkerhetsmetoder kan användarna gå till Säkerhetsinformation eller gå till självbetjäning av lösenordsåterställning för att återställa sitt lösenord. Utför följande steg för att hantera andra användares inställningar:

  1. Logga in på administrationscentret för Microsoft Entra som minst autentiseringsadministratör.

  2. Gå till Identitet>Användare>Alla användare.

  3. Välj den användare som du vill utföra en åtgärd på och välj Autentiseringsmetoder. Överst i fönstret väljer du sedan något av följande alternativ för användaren:

    • Återställ lösenordet återställer användarens lösenord och tilldelar ett tillfälligt lösenord som måste ändras vid nästa inloggning.
    • Kräv omregistrering av MFA inaktiverar användarens maskinvaru-OATH-token och tar bort följande autentiseringsmetoder från den här användaren: telefonnummer, Microsoft Authenticator-appar och OATH-token för programvara. Om det behövs uppmanas användaren att konfigurera en ny MFA-autentiseringsmetod nästa gång de loggar in.
    • Återkalla MFA-sessioner rensar användarens ihågkomna MFA-sessioner och kräver att de utför MFA nästa gång det krävs av principen på enheten.

    Skärmbild av hantera autentiseringsmetoder från administrationscentret för Microsoft Entra.

Ta bort användarnas befintliga applösenord

För användare som har definierat applösenord kan administratörer också välja att ta bort dessa lösenord, vilket gör att äldre autentisering misslyckas i dessa program. Dessa åtgärder kan vara nödvändiga om du behöver hjälp med en användare eller behöver återställa deras autentiseringsmetoder. Appar som inte är webbläsarappar som har associerats med dessa applösenord slutar fungera tills ett nytt applösenord har skapats.

Utför följande steg för att ta bort en användares applösenord:

  1. Logga in på administrationscentret för Microsoft Entra som minst autentiseringsadministratör.

  2. Gå till Identitet>Användare>Alla användare.

  3. Välj Multifaktorautentisering. Du kan behöva rulla åt höger för att se det här menyalternativet. Välj skärmbilden nedan för att se hela fönstret och menyplatsen: Skärmbild av välj multifaktorautentisering från fönstret Användare i Microsoft Entra-ID.

  4. Markera kryssrutan bredvid den användare eller de användare som du vill hantera. En lista med snabbstegsalternativ visas till höger.

  5. Välj Hantera användarinställningar och markera sedan kryssrutan Ta bort alla befintliga applösenord som genererats av de valda användarna, som du ser i följande exempel: Skärmbild av att ta bort alla befintliga applösenord.

  6. Välj Spara och stäng sedan.

Relaterat innehåll