Microsoft Entra 的合并安全信息注册概述
在进行合并注册之前,用户分别注册了 Microsoft Entra 多重身份验证和自助式密码重置 (SSPR) 的身份验证方法。 让人们感到困惑的是,多重身份验证和 SSPR 使用的方法相似,但他们却不得不同时注册这两个功能。 现在,通过合并注册,用户只需注册一次,便可同时获得多重身份验证和 SSPR 带来的好处。
在启用新体验之前,请查看以管理员为中心的文档和以用户为中心的文档,以确保你了解此功能的作用和效果。 根据用户文档方面的培训,让用户准备好适应新的体验,并帮助确保成功推出。
“我的帐户”页面根据访问该页面的计算机的语言设置进行本地化。 Microsoft 会存储浏览器缓存中使用的最新语言,因此后续尝试访问页面时将继续以最后使用的语言呈现。 如果清除缓存,则页面将重新呈现。
如果要强制使用特定语言,你可以将 ?lng=<language>
添加到 URL 末尾,其中 <language>
是你想呈现的语言的代码。
合并注册中的可用方法
合并注册支持下表中的身份验证方法和操作。
方法 | 注册 | 更改 | 删除 |
---|---|---|---|
Microsoft Authenticator | 是(最多为 5) | 否 | 是 |
其他验证器应用 | 是(最多为 5) | 否 | 是 |
硬件令牌 | 否 | No | 是 |
手机 | 是(最多为 2) | 是 | 是 |
备用号码 | 是 | 是 | 是 |
办公电话* | 是 | 是 | 是 |
电子邮件 | 是 | 是 | 是 |
安全性问题 | 是 | No | 是 |
密码 | 否 | 是 | 否 |
应用密码* | 是 | No | 是 |
注意
如果在身份验证方法策略中为无密码身份验证模式启用 Microsoft Authenticator,用户还需要在 Authenticator 应用中启用无密码登录。
备用电话只能在“安全信息”上的“管理模式”下注册,并且需要在身份验证方法策略中启用“语音呼叫”。
如果设置了用户“业务电话”属性,则只能在“中断模式”下注册办公电话。 办公电话可由用户在从“安全信息中的托管模式下添加,而无需此要求。
“应用密码”仅适用于已强制执行每用户 MFA 的用户。 应用密码不适用于通过条件访问策略启用 Microsoft Entra 多重身份验证的用户。
用户可以将以下选项之一设置为默认多重身份验证方法。
- Microsoft Authenticator - 推送通知或无密码
- Authenticator 应用或硬件令牌 - 验证码
- 电话呼叫
- 短信
注意
语音呼叫或短信消息不支持虚拟电话号码。
第三方验证器应用不提供推送通知。 随着我们不断向 Microsoft Entra ID 添加更多身份验证方法,这些方法可用于合并注册。
合并注册模式
合并注册分为两种模式:
- 中断模式是一种类似于向导的体验,当用户在登录期间注册或刷新其安全信息时,会向用户显示此模式。
- 管理模式是用户配置文件的一部分,使用户能够管理其安全信息。
对于这两种模式,以前注册了可用于 Microsoft Entra 多重身份验证的方法的用户需要先执行多重身份验证,然后才能访问其安全信息。 用户必须确认其信息,然后才能继续使用以前注册的方法。
中断模式
如果同时为你的租户启用了多重身份验证和 SSPR 策略,则合并注册会同时遵守这两个策略。 这些策略控制在登录期间用户是否被中断以便注册,以及哪些方法可用于注册。 如果仅启用了 SSPR 策略,则用户将能够(无限期)跳过注册中断并在稍后完成注册。
下面是可能提示用户注册或刷新其安全信息的示例应用场景:
- 通过每用户的多重身份验证强制执行多重身份验证注册:要求用户在登录期间进行注册。 他们注册多重身份验证方法和 SSPR 方法(如果为用户启用了 SSPR)。
- 通过条件访问或其他策略强制执行多重身份验证注册:要求用户在使用需要多重身份验证的资源时进行注册。 他们注册多重身份验证方法和 SSPR 方法(如果为用户启用了 SSPR)。
- 强制执行 SSPR 注册:要求用户在登录时进行注册。 他们只注册 SSPR 方法。
- 强制执行 SSPR 刷新:需要用户在管理员设置的时间间隔内检查其安全信息。用户会看到其信息,并可以确认当前信息或在需要时做出更改。
强制执行注册时,将向用户显示符合多重身份验证和 SSPR 策略所需的最低方法数量(从最安全到最不安全)。 对于在强制执行 MFA 和 SSPR 注册且 SSPR 策略需要两种方法的情况下进行组合注册的用户,首先需要注册一种 MFA 方法作为第一种方法,然后可以选择另一种 MFA 或 SSPR 特定方法作为第二种注册方法(例如电子邮件、安全问题等)
请考虑以下示例场景:
- 已为用户启用 SSPR。 SSPR 策略需要两种方法来重置并已启用 Microsoft Authenticator 应用、电子邮件和电话。
- 当用户选择注册时,需要两种方法:
- 默认情况下会为用户显示验证器应用和电话。
- 用户可以选择注册电子邮件,而不是验证器应用或电话。
设置 Microsoft Authenticator 时,用户可以单击“我想设置其他方法”来注册其他身份验证方法。 可用方法的列表由租户的身份验证方法策略决定。
以下流程图描述了在登录期间中断以进行注册时向用户显示的方法:
如果同时启用了多重身份验证和 SSPR,建议强制执行多重身份验证注册。
如果 SSPR 策略要求用户定期检查其安全信息,则用户会在登录期间被中断,并会看到所有注册方法。 他们可以确认当前信息是否是最新的,也可以在需要时进行更改。 用户必须执行多重身份验证才能访问此页面。
管理模式
用户可以前往“安全信息”,也可以从“我的帐户”中选择“安全信息”。 在该页面上,用户可以添加方法,删除或更改现有方法,更改默认方法等。
合并注册的会话控件
默认情况下,合并注册会强制所有支持 MFA 的用户在注册或管理其安全信息之前进行强身份验证。 如果用户当前已登录并且以前已完成 MFA 作为有效会话的一部分,则默认情况下不需要其他 MFA,除非用户尝试添加或修改密钥 (FIDO2) 方法。 添加或修改密钥 (FIDO2) 方法要求用户在过去 5 分钟内进行强身份验证。 如果过去 5 分钟内尚未完成 MFA,系统会要求用户登录并完成新的 MFA。 组织可以通过定义条件访问策略以保护安全信息注册的安全来修改身份验证要求。
合并注册会话的有效期仅为 15 分钟。 如果用户注册或管理操作的时间长于此时间,则会话将过期,并且系统会要求用户重新登录以继续。
主要使用场景
在 MySignIns 中更改密码
用户导航到“安全信息”。 登录后,用户可以更改其密码。 如果用户使用密码和多重身份验证方法进行身份验证,他们将能够使用增强的用户体验更改密码,而无需输入现有密码。 完成后,用户将在“安全信息”页面上更新新密码。 除非用户知道其现有密码,否则临时访问密码 (TAP) 等身份验证方法不支持密码更改。
注意
如果有任何链接指向旧更改密码体验,请将其更新为以下转发链接,以将用户定向到新的“我的登录更改密码”体验:https://go.microsoft.com/fwlink/?linkid=2224198。
使用条件访问保护安全信息注册
为了确保用户注册 Microsoft Entra 多重身份验证和自助式密码重置的安全,可以在条件访问策略中使用用户操作。 对于希望用户在 HR 入职期间从中心位置(例如受信任的网络位置)注册 Microsoft Entra 多重身份验证和 SSPR 的组织,可以启用此功能。 详细了解如何配置 用于保护安全信息注册的常见条件访问策略。
在登录过程中设置安全信息
管理员已强制执行注册。
用户在尚未设置全部所需安全信息的情况下转到了 Microsoft Entra 管理中心。 用户输入用户名和密码后,系统会提示用户设置安全信息。 然后,用户按照向导中显示的步骤来设置所需的安全信息。 如果设置允许,用户可以选择设置默认显示的方法以外的方法。 完成向导后,用户应查看他们设置的方法及其用于多重身份验证的默认方法。 为了完成设置过程,用户在确认相关信息后继续访问 Microsoft Entra 管理中心。
从“我的帐户”中设置安全信息
管理员尚未强制执行注册。
尚未设置全部所需安全信息的用户转到 https://mysignins.windowsazure.cn。 用户选择左侧窗格中的“安全信息”。 在该页面上,用户可以选择添加方法,选择可用的任何方法,然后按照步骤设置该方法。 完成后,用户会看到在“安全信息”页面上设置的方法。
在部分注册后设置其他方法
如果用户由于用户或管理员执行了现有身份验证方法注册而部分满足 MFA 或 SSPR 注册,则只有在需要注册时,才会要求用户注册身份验证方法策略设置允许的其他信息。 如果有多个其他身份验证方法可供用户选择和注册,则会在注册体验中显示名为“我想设置另一种方法”的选项,并允许用户设置其所需的身份验证方法。
从“我的帐户”中删除安全信息
之前至少设置了一个方法的用户导航到“安全信息”。 用户选择删除以前注册的方法之一。 完成后,用户将不会再在“安全信息”页面上看到该方法。
从“我的帐户”中更改默认方法
之前至少设置了一个可用于多重身份验证的方法的用户导航到“安全信息”。 用户将当前默认方法更改为其他默认方法。 完成后,用户会在“安全信息”页面上看到新的默认方法。
切换目录
外部标识(例如 B2B 用户)可能需要切换目录,以更改第三方租户的安全注册信息。 此外,当访问资源租户的用户更改其主租户的设置,但未在资源租户中看到相应更改时,他们可能会感到困惑。
例如,某用户将 Microsoft Authenticator 应用推送通知设置为登录主租户时的主要身份验证,同时将短信/文本设置为另一种验证选择。 此用户还在资源租户上配置了短信/文本选项。 如果此用户取消将短信/文本作为其主租户的身份验证选项之一,则在访问资源租户并被要求回复短信/文本消息时,他们会感到困惑。
若要在 Microsoft Entra 管理中心内切换目录,请单击右上角的用户帐户名称,然后单击“切换目录”。
或者,可以通过 URL 指定租户来访问安全信息。
https://mysignins.windowsazure.cn/security-info?tenant=<Tenant Name>
https://mysignins.windowsazure.cn/security-info/?tenantId=<Tenant ID>
注意
尝试通过合并注册或“我的登录”页注册或管理安全信息的客户应使用 Microsoft Edge 等新式浏览器。
IE11 并不正式支持在应用程序中创建 Web 视图或浏览器,因为它无法在所有情况下按预期工作。
尚未更新并且仍在使用依赖于旧版 Web 视图的 Azure AD 身份验证库 (ADAL) 的应用程序可以回退到旧版 Internet Explorer。 在这些情况下,当用户定向到“我的登录”页时,会出现空白页。 若要解决此问题,请切换到新式浏览器。
后续步骤
若要开始,请参阅启用自助式密码重置和启用 Microsoft Entra 多重身份验证教程。
了解如何在租户中启用合并注册或强制用户重新注册身份验证方法。