注释
请注意,世纪互联运营的 Microsoft Azure不支持 passkey。
可以在用户登录时引导他们设置通行密钥或 Microsoft Authenticator。 用户定期登录,照常执行多重身份验证(MFA),然后提示用户设置目标身份验证方法。 您可以纳入或排除用户或组,以控制哪些用户或组会收到引导,并创建有针对性的活动,将用户从安全性较低的身份验证方法转向通行密钥或 Authenticator。
注册活动支持两种身份验证方法:
- 通行密钥 (FIDO2):提示用户注册通行密钥,其中包括同步通行密钥和设备绑定通行密钥。
- Authenticator:引导用户下载并设置 Authenticator,以接收推送通知。
注册活动一次只能以一种身份验证方法为目标。 不能在同一租户中同时为 Authenticator 和通行密钥运行活动。
还可定义用户可延迟或“推迟”微移的天数。 如果用户点击 暂时跳过 以推迟设置,那么在暂缓期限结束后的下一次 MFA 尝试时,他们会再次收到提醒。 你可以决定用户是否可以无限期推迟或最多三次推迟(之后需要注册)。
当用户进行常规登录时,用于管理安全信息注册的 Microsoft Entra 条件访问策略会先行适用,然后系统才会提示用户设置身份验证方法。 例如,如果条件访问策略要求只能在内部网络上进行安全信息更新。 除非用户位于内部网络上,否则不会提示用户。
先决条件
- 或者,您也可以在配置注册活动之前,确定已注册各种身份验证方法的用户数量。
- 必须启用多重身份验证,但没有许可证要求。
- 可以从两个身份验证活动中进行选择:
- Authenticator 活动:用户的帐户中不能已将 Authenticator 设置为接收推送通知。 在身份验证方法策略中为用户启用 Authenticator。 身份验证模式必须设置为“任意”或“推送”。 如果模式设置为无密码,则用户不会收到该提示。
- 通行密钥推广活动:必须在身份验证方法策略中启用通行密钥(FIDO2)身份验证方法。 此外,必须在密码密钥(FIDO2)方法配置中启用 “允许自助设置 ”切换。
用户体验
身份验证器活动
当你成为身份验证器注册活动的目标对象时,你将经历以下流程:
需要完成 MFA。
如果你已启用 Authenticator 推送通知,但尚未设置 Authenticator,系统会提示你设置 Authenticator,以改善你的登录体验。
其他安全功能(如无密码密码密钥、自助密码重置或安全默认值)也可能会提示你进行设置。
选择“下一步”,然后按照步骤完成 Authenticator 设置。
如果不想设置 Authenticator,可以选择“ 立即跳过 ”,以暂停最多 14 天的提示,管理员可以设置该提示。具有免费订阅和试用版订阅的用户最多可以推迟三次提示。
Passkey 活动
当系统针对你发起通行密钥注册活动时,你将经历以下流程:
需要完成 MFA。
如果为帐户启用了密钥注册,并且未注册通行密钥,系统会提示你设置通行密钥。
注释
“通行密钥提示”评估用于确定你是否拥有适用于当前设备和浏览器组合的本地通行密钥。 如果你已拥有适用于该体验的本地通行密钥,则不会再提示你。 该提示的评估是根据你使用的每一种设备和浏览器组合来进行的,而不是根据你的用户账户。
如果不想设置通行密钥,请选择 “立即跳过 ”以推迟提示。
如果在密钥注册期间遇到错误,则会看到包含跳过选项的错误屏幕。 从错误屏幕跳过不会计入有限的跳过计数,因此注册错误不会阻止登录。
使用Microsoft Entra 管理中心启用注册活动策略
若要在Microsoft Entra 管理中心中启用注册活动,请执行以下步骤:
至少以身份验证策略管理员的身份登录到 Microsoft Entra 管理中心。
转到 Entra ID>身份验证方法>注册活动,然后选择 编辑。
对于“状态”:
- 选择“已启用”,为所有用户启用注册活动。 当状态设置为 启用 时,可以配置目标身份验证方式、延后时长、延后次数上限,以及包含/排除目标。
- 选择Microsoft 管理,以使用 Microsoft 推荐的默认设置启用注册活动。 选择 Microsoft 托管后,目标身份验证方法、暂缓时长和可暂缓次数上限将自动设置,且无法配置。 你仍然可以配置包含/排除目标。 有关详细信息,请参阅 Microsoft Entra ID 中的保护身份验证方法。
注释
当状态设置为 Microsoft 托管 时,Microsoft 会根据针对你的租户的最佳实践来确定最佳活动设置。 以下更改以增量方式向租户推出:
- 目标身份验证方法 从 Authenticator 更改为密钥(FIDO2)。
- 允许稍后提醒的天数更改为一天。 此设置不再可配置。
- 稍后提醒次数有限更改为已禁用(稍后提醒次数不限)。 此设置不再可配置。
- 用户定向从语音呼叫或短信用户更改为所有支持 MFA 的用户。
如果租户在通行密钥(FIDO2)策略中针对特定 AAGUID,则目标身份验证方法在 Microsoft 托管模式下不会更新为通行密钥。 你仍然可以手动切换到 “已启用” 并配置密钥目标。 这些更改生效后,目标用户在完成多重身份验证后,会在登录过程中收到通行密钥注册提示。
如果您希望启用通行密钥,但不希望注册活动将通行密钥作为目标,则可以将状态切换为 Enabled 并将目标设置为 Authenticator。 还可以将状态设置为 “已禁用”。 有关如何设置Microsoft托管值的详细信息,请参阅 Microsoft 托管值。
如果注册活动状态设置为 已启用,则可以使用 有限的暂停次数 来配置用户体验:
- 如果将 有限次数的稍后提醒 设置为 已启用,则用户可以跳过中断提示三次,之后将被强制注册目标身份验证方法。
- 如果将 限制延后提醒次数 设置为 禁用,用户就可以无限次延后提醒,从而无需注册。
注释
当限制稍后提醒次数设置为已启用时,系统会按用户跟踪稍后提醒次数,并且在营销活动重启或配置更改(包括目标定位方法更新)后仍会保留该计数。 此设置可确保一致且可预测的注册体验。
允许推迟的天数设置两次连续中断提示之间的时间间隔。 例如,如果时间段设置为三天,则跳过注册的用户不会在三天后再次提示。
对于 身份验证方法,请选择要面向的方法:
- Microsoft Authenticator:提示用户设置 Authenticator。
- Passkey:提示用户注册通行密钥(包括同步通行密钥和设备绑定通行密钥)。
选择要从注册活动中排除的任何用户或组,然后选择“ 保存”。
局限性
在 Microsoft 托管模式下,通行密钥提示会按每个用户进行评估。 当用户登录并被纳入注册活动范围时,系统会检查其通行密钥资料是否存在限制。 如果用户的通行密钥配置文件具有以下任一限制,则在 MFA 完成后,用户将看不到提示:
- 仅同步
- 仅限于设备绑定
- 强制认证
- AAGUID 限制
常见问题
是否可以在应用内引导用户?
是的。 注册活动支持在某些应用程序中使用嵌入式浏览器视图。 该营销活动不会在开箱即用体验中,或在嵌入 Windows 设置中的浏览器视图内向用户推送引导。
是否可以在 SSO 会话期间向用户发送提示?
如果用户已使用 SSO 登录,则 nudge 不会触发。
是否可以通过移动设备向用户发送提醒?
这取决于注册活动:
移动设备不支持Microsoft Authenticator注册活动。
移动设备支持密码注册活动,包括:
- 移动设备上的基于浏览器的体验。
- 原生 iOS 移动应用。 目前尚不提供对原生 Android 移动应用的支持。
该活动持续多长时间?
您可以根据需要长期启用该营销活动。 当你想要结束该活动时,请使用管理中心或 API 将其禁用。
每个用户组是否可以有不同的暂停持续时间?
否。 提示的推迟持续时间是租户范围的设置,适用于范围内的所有组。
是否可以提示用户设置手机无密码登录?
注册活动功能支持使用 Authenticator 或注册通行密钥来推动用户设置 MFA。 无密码手机登录不是注册活动的目标方法。
使用非微软身份验证器应用登录的用户会看到该提示吗?
是的。 如果用户已启用注册活动,并且尚未设置目标身份验证方法(用于推送通知的 Authenticator 或通行密钥),则会提示该用户进行设置。
仅设置了 Authenticator 来接收基于时间的一次性密码代码的用户会看到此提醒吗?
是的。 如果某个用户已启用 Authenticator 注册活动,并且尚未在 Authenticator 中设置推送通知,系统将提示该用户使用 Authenticator 设置推送通知。
已经拥有通行密钥的用户是否会看到该提示?
通行密钥提示用于评估用户是否拥有适用于其当前设备和浏览器组合的本地通行密钥。 如果用户在该使用场景中已拥有本地通行密钥,则不会再收到提示。 因此,用户可能会在一台设备上收到提示,而在另一台设备上则不会。
是否可以同时为 Authenticator 和 passkey 运行注册活动?
否。 注册活动一次只能以一种身份验证方法为目标。 您可以选择以 Authenticator 或 passkeys 为目标,但不能在同一租户中同时以两者为目标。
如果用户刚刚完成 MFA 注册流程,他们是否会在同一次登录会话中收到提示?
否。 为了提供良好的用户体验,系统不会在用户注册其他身份验证方法的同一会话期间提示其设置身份验证器。
是否可以提示用户再注册一种身份验证方法?
是的。 注册引导活动支持引导用户设置 Authenticator 或注册通行密钥(FIDO2)。 配置营销活动时,请选择目标身份验证方式。
我是否有办法隐藏暂停选项并强制用户设置 Authenticator?
将 延后次数有限 设置为 “已启用”,以便用户最多可将应用设置流程延后 3 次,之后必须完成设置。
如果我未使用 Microsoft Entra MFA,是否仍可提示我的用户?
否。 该提示仅适用于通过 Microsoft Entra MFA 进行多重身份验证的用户。
我的租户中的来宾/B2B 用户会收到提示吗?
如果他们被纳入 Authenticator 的注册活动中,就会收到提醒。 如果用户被纳入通行密钥注册活动,则不会收到相关引导,因为目前尚不支持来宾用户使用通行密钥。
如果用户关闭浏览器,该怎么办?
关闭浏览器就等于稍后提醒。 如果用户在推迟三次后需要设置,则下次登录时,用户将被提醒。
为什么在已针对“注册安全信息”配置条件访问策略时,某些用户看不到提示?
如果用户属于阻止访问注册安全信息页面的条件访问策略的适用范围,则不会显示提示。
当登录过程中出现使用条款页面时,用户会看到提示吗?
如果在登录过程中出现使用条款屏幕,则不会显示提示。
当条件访问自定义控件适用于登录过程时,用户是否会看到提示?
如果用户因 条件访问自定义控件 设置而在登录过程中被重定向,则不会显示提示。