在合并注册之前,用户分别注册了用于Microsoft Entra多重身份验证和自助密码重置(SSPR)的身份验证方法。 让人们感到困惑的是,多重身份验证和 SSPR 使用的方法相似,但他们却不得不同时注册这两个功能。 现在,通过合并注册,用户只需注册一次,便可同时获得多重身份验证和 SSPR 带来的好处。
在启用新体验之前,请查看以管理员为中心的文档和以用户为中心的文档,以确保你了解此功能的作用和效果。 以用户文档为基础对用户进行培训,让他们为新的体验做好准备,并帮助确保成功推出。
合并注册将推出给Azure中的所有客户。 租户迁移到合并注册后,会删除允许从旧注册切换到合并注册体验的门户控件。
“我的帐户”页面根据访问该页面的计算机的语言设置进行本地化。 Microsoft存储浏览器缓存中使用的最新语言,因此后续尝试访问页面将继续以使用的最后一种语言呈现。 如果清除缓存,则页面将重新呈现。
如果要强制使用特定语言,你可以将 ?lng=<language> 添加到 URL 末尾,其中 <language> 是你想呈现的语言的代码。
合并注册中的可用方法
合并注册支持下表中的身份验证方法和操作。
| 方法 | 注册 | 更改 | 删除 |
|---|---|---|---|
| Microsoft Authenticator | 是(最多为 5) | 否 | 是 |
| 其他验证器应用 | 是(最多为 5) | 否 | 是 |
| 硬件令牌 | 否 | 否 | 是 |
| 手机 | 是(最多为 2) | 是 | 是 |
| 备用号码 | 是 | 是 | 是 |
| 办公电话* | 是 | 是 | 是 |
| 是 | 是 | 是 | |
| 安全性问题 | 是 | 否 | 是 |
| 密码 | 否 | 是 | 否 |
| 应用密码* | 是 | 否 | 是 |
注意
如果在身份验证方法策略中为无密码身份验证模式启用Microsoft Authenticator,用户还需要在 Authenticator 应用中启用无密码登录。
备用电话只能在“安全信息”上的“管理模式”下注册,并且需要在身份验证方法策略中启用“语音呼叫”。
只有在用户设置了 Business phone 属性时,Office 电话才能注册为 中断模式。 办公电话可由用户在安全信息中的管理模式下添加,无需此要求。
应用密码仅适用于已启用每用户多重身份验证的用户。 应用密码不适用于通过条件访问策略启用Microsoft Entra多重身份验证的用户。
用户可以将以下选项之一设置为默认多重身份验证方法。
- Microsoft Authenticator - 推送通知或无密码
- Authenticator 应用或硬件令牌 - 验证码
- 电话呼叫
- 短信
注意
语音呼叫或短信消息不支持虚拟电话号码。
第三方验证器应用不提供推送通知。 随着我们继续向Microsoft Entra ID添加更多身份验证方法,这些方法可在合并注册中使用。
合并注册模式
合并注册分为两种模式:
- 中断模式是一种类似于向导的体验,当用户在登录期间注册或刷新其安全信息时,会向用户显示此模式。
- 管理模式是用户配置文件的一部分,使用户能够管理其安全信息。
对于这两种模式,以前注册的方法可用于Microsoft Entra多重身份验证的用户需要执行多重身份验证,然后才能访问其安全信息。 用户必须确认其信息,然后才能继续使用以前注册的方法。
中断模式
如果同时为你的租户启用了多重身份验证和 SSPR 策略,则合并注册会同时遵守这两个策略。 这些策略控制在登录期间用户是否被中断以便注册,以及哪些方法可用于注册。 如果仅启用 SSPR 策略,则用户将能够跳过(无限期)注册中断并在以后完成。
下面是可能提示用户注册或刷新其安全信息的示例应用场景:
- 通过按用户设置的多重身份验证强制执行多重身份验证注册:用户在登录时必须进行注册。 他们会注册多因素身份验证方法以及 SSPR 方法(如果用户启用了 SSPR)。
- 通过条件访问或其他策略强制执行多重身份验证注册:要求用户在使用需要多重身份验证的资源时进行注册。 他们注册多因素身份验证方法和 SSPR 方法(如果用户已启用 SSPR)。
- 强制执行 SSPR 注册:要求用户在登录时进行注册。 他们只注册 SSPR 方法。
- 强制执行 SSPR 刷新:需要用户在管理员设置的时间间隔内检查其安全信息。用户会看到其信息,并可以确认当前信息或在需要时做出更改。
强制执行注册时,将向用户显示符合多重身份验证和 SSPR 策略所需的最低方法数量(从最安全到最不安全)。 用户在执行同时强制 MFA 和 SSPR 注册的过程时,SSPR 策略要求使用两种方法:首先必须将 MFA 方法注册为第一种方法,然后可以选择另一种 MFA 或 SSPR 特定的方法作为第二种注册方法(例如电子邮件、安全问题等)。
请考虑以下示例场景:
- 已为用户启用 SSPR。 SSPR 策略要求使用两种方法来重置,并支持使用 Microsoft Authenticator 应用、电子邮件和电话。
- 当用户选择注册时,需要两种方法:
- 默认情况下,向用户显示 Microsoft Authenticator 应用程序和手机。
- 用户可以选择注册电子邮件,而不是验证器应用或电话。
设置Microsoft Authenticator时,用户可以选择我想设置其他方法注册其他身份验证方法。 可用方法的列表由租户的身份验证方法策略决定。
以下流程图描述了在登录期间中断以进行注册时向用户显示的方法:
如果同时启用了多重身份验证和 SSPR,建议强制执行多重身份验证注册。
如果 SSPR 策略要求用户定期检查其安全信息,则用户会在登录期间被中断,并会看到所有注册方法。 他们可以确认当前信息是否是最新的,也可以在需要时进行更改。 用户必须执行多重身份验证才能访问此页面。
管理模式
用户可以前往“安全信息”,也可以从“我的帐户”中选择“安全信息”。 在该页面上,用户可以添加方法,删除或更改现有方法,更改默认方法等。
合并注册的会话控件
默认情况下,合并注册会强制所有支持 MFA 的用户在注册或管理其安全信息之前进行强身份验证。 如果用户当前已登录,并且以前作为有效会话的一部分完成了 MFA,则默认情况下不需要其他 MFA,除非用户尝试添加或修改通行密钥 (FIDO2) 方法。 添加或修改密钥 (FIDO2) 方法要求用户在过去 5 分钟内进行强身份验证。 如果 MFA 在过去 5 分钟内尚未完成,系统会要求用户登录并完成新的 MFA。 组织可以通过定义条件访问策略以保护安全信息注册的安全来修改身份验证要求。
合并注册会话的有效期仅为 15 分钟。 如果用户的注册或管理操作的持续时间超过此时间段,会话将过期,系统将要求用户重新登录以继续。
主要使用场景
在 MySignIns 中更改密码
用户导航到“安全信息”。 登录后,用户可以更改其密码。 如果用户使用密码和多重身份验证方法进行身份验证,他们将能够使用增强的用户体验更改密码,而无需输入现有密码。 完成后,用户将在“安全信息”页面上更新新密码。 除非用户知道其现有密码,否则临时访问密码 (TAP) 等身份验证方法不支持密码更改。
注意
如果有任何链接指向旧更改密码体验,请将其更新为以下转发链接,以将用户定向到新的“我的登录更改密码”体验:https://go.microsoft.com/fwlink/?linkid=2224198。
使用条件访问保护安全信息注册过程
若要确保用户何时以及如何注册 Microsoft Entra 多重身份验证和自助密码重置,您可以在条件访问策略中利用用户操作。 组织希望用户在中心位置(例如在 HR 入职流程中的受信任网络位置)注册 Microsoft Entra 多重身份验证和 SSPR 时,可能会启用此功能。 详细了解如何配置 用于保护安全信息注册的常见条件访问策略。
在登录过程中设置安全信息
管理员强制注册。
用户尚未设置所有必需的安全信息,然后转到 Microsoft Entra 管理中心。 用户输入用户名和密码后,系统会提示用户设置安全信息。 然后,用户按照向导中显示的步骤来设置所需的安全信息。 如果设置允许,用户可以选择设置默认显示的方法以外的方法。 完成向导后,用户应查看他们设置的方法及其用于多重身份验证的默认方法。 若要完成设置过程,用户确认信息,然后继续进入 Microsoft Entra 管理中心。
从“我的帐户”中设置安全信息
管理员尚未强制执行注册。
尚未设置全部所需安全信息的用户转到 https://mysignins.windowsazure.cn。 用户选择左侧窗格中的“安全信息”。 在该页面上,用户可以选择添加方法,选择可用的任何方法,然后按照步骤设置该方法。 完成后,用户会看到在“安全信息”页面上设置的方法。
在部分注册后设置其他方法
如果用户由于用户或管理员执行的现有身份验证方法注册而部分满足 MFA 或 SSPR 注册,则只有在需要注册时,才会要求用户注册身份验证方法策略设置允许的其他信息。 如果用户可以选择和注册多个其他身份验证方法,则会显示标题 为“我想设置另一种方法 ”的注册体验选项,并允许用户设置其所需的身份验证方法。
从“我的帐户”中删除安全信息
之前至少设置了一个方法的用户导航到“安全信息”。 用户选择删除以前注册的方法之一。 完成后,用户将不会再在“安全信息”页面上看到该方法。
从“我的帐户”中更改默认方法
之前至少设置了一个可用于多重身份验证的方法的用户导航到“安全信息”。 用户将当前默认方法更改为其他默认方法。 完成后,用户会在“安全信息”页面上看到新的默认方法。
切换目录
外部标识(例如 B2B 用户)可能需要切换目录,以更改第三方租户的安全注册信息。 此外,当访问资源租户的用户更改主租户中的设置但在资源租户中未看到相应的更改时,他们可能会感到困惑。
例如,用户将Microsoft Authenticator应用推送通知设置为登录到主租户的主要身份验证,并将 SMS/Text 设置为另一个选项。 此用户还在资源租户上配置了短信/文本选项。 如果此用户取消将短信/文本作为其主租户的身份验证选项之一,则在访问资源租户并被要求回复短信/文本消息时,他们会感到困惑。
若要切换Microsoft Entra 管理中心中的目录,请选择右上角的用户帐户名称,然后选择 Switch 目录。
或者,可以通过 URL 指定租户来访问安全信息。
https://mysignins.windowsazure.cn/security-info?tenant=<Tenant Name>
https://mysignins.windowsazure.cn/security-info/?tenantId=<Tenant ID>
注意
尝试通过合并注册或“我的登录”页注册或管理安全信息的客户应使用新式浏览器,例如Microsoft Edge。
IE11 在应用程序中创建 Web 视图或浏览器不受正式支持,因为它在所有方案中都无法按预期工作。
未更新且仍在使用依赖于旧 Web 视图的Azure AD 身份验证库(ADAL)的应用程序可以回退到旧版Internet Explorer。 在这些情况下,当用户定向到“我的登录”页面时,会遇到空白页。 若要解决此问题,请切换到新式浏览器。
后续步骤
若要开始,请参阅启用自助密码重置和启用Microsoft Entra多重身份验证教程。
了解如何在租户中启用合并注册或强制用户重新注册身份验证方法。
还可以查看 Microsoft Entra 多重身份验证和 SSPR 的可用方法。