运行注册活动以设置 passkey 或 Microsoft Authenticator

注释

请注意,世纪互联运营的 Microsoft Azure不支持 passkey。

可以在用户登录时引导他们设置通行密钥或 Microsoft Authenticator。 用户定期登录,照常执行多重身份验证,然后提示设置目标身份验证方法。 您可以纳入或排除用户或组,以控制谁会收到引导,并创建定向活动,将用户从安全性较低的身份验证方法转向通行密钥或 Authenticator。

注册活动支持两种身份验证方法:

  • 通行密钥(FIDO2) — 提醒用户注册通行密钥,其中包括同步通行密钥和设备绑定通行密钥。
  • Microsoft Authenticator - Nudge 用户下载并设置 Authenticator 应用以推送通知。

注释

注册活动一次只能以一种身份验证方法为目标。 不能在同一租户中同时为 Microsoft Authenticator 和通行密钥运行活动。

还可定义用户可延迟或“推迟”微移的天数。 如果用户点击 暂时跳过 以推迟设置,那么在暂缓期限结束后的下一次 MFA 尝试时,他们会再次收到提醒。 你可以决定用户是否可以无限期推迟或最多三次推迟(之后需要注册)。

注释

当用户进行常规登录时,控制安全信息注册的条件访问策略会在系统提示用户设置身份验证方法之前生效。 例如,如果条件访问策略要求安全信息更新只能在内部网络上发生,则除非用户位于内部网络上,否则不会提示用户。

先决条件

  • 组织必须启用Microsoft Entra 多重身份验证。 注册活动没有许可证要求。
  • 对于 Authenticator 活动:用户的帐户尚未将 Authenticator 应用配置为接收推送通知。 在身份验证方法策略中为 Authenticator 应用启用用户。 身份验证模式必须设置为AnyPush。 如果模式设置为无密码,则用户不会收到该提示。
  • 对于通行密钥活动:必须在身份验证方法策略中启用通行密钥(FIDO2)身份验证方法。 此外,必须在密码密钥(FIDO2)方法配置中启用 “允许自助设置 ”切换。

用户体验

身份验证器活动

当你成为身份验证器注册活动的目标对象时,你将经历以下流程:

  1. 使用Microsoft Entra多重身份验证(MFA)进行身份验证。

  2. 如果已启用 Authenticator 推送通知,并且尚未设置它,系统会提示设置 Authenticator 以提高登录体验。

    注释

    其他安全功能(如无密码密码密钥、自助密码重置或安全默认值)也可能会提示你进行设置。

    Screenshot 显示注册活动提示,要求用户设置 Microsoft Authenticator.

  3. 选择“下一步”,然后按步骤完成身份验证器应用的设置。

  4. 如果不想设置 Authenticator 应用,可以选择“ 立即跳过 ”,以暂停最多 14 天的提示,管理员可以设置该提示。具有免费订阅和试用版订阅的用户最多可以推迟三次提示。

    显示“暂时跳过”选项的屏幕截图,可将注册活动提示暂时关闭。

Passkey 活动

当系统针对你发起通行密钥注册活动时,你将经历以下流程:

  1. 使用Microsoft Entra多重身份验证(MFA)进行身份验证。

  2. 如果为帐户启用了 passkey 并且尚未注册通行密钥,系统会提示你设置通行密钥。

    注释

    通行密钥提示会评估您当前是否拥有适用于您当前设备和浏览器组合的 本地通行密钥。 如果你已拥有适用于该体验的本地通行密钥,则不会再提示你。 这意味着该提示是针对每台设备/每个浏览器单独显示的,而不是在整个账户范围内统一生效。

  3. 如果不想设置通行密钥,可立即点击 “跳过 ”以推迟提示。

  4. 如果在密钥注册期间遇到错误,则会看到包含跳过选项的错误屏幕。 从错误屏幕跳过不会计入有限的跳过计数,因此注册错误不会阻止登录。

使用 Microsoft Entra 管理中心启用注册活动策略

要在 Microsoft Entra 管理中心内启用注册活动,请完成以下步骤:

  1. 至少以身份验证策略管理员的身份登录到 Microsoft Entra 管理中心

  2. 转到 Entra ID>身份验证方法>注册活动,然后选择 编辑

  3. 对于“状态”

    • 选择“已启用”,为所有用户启用注册活动。 当状态设置为 启用 时,可以配置目标身份验证方式、延后时长、延后次数上限,以及包含/排除目标。
    • 选择Microsoft 管理,以使用 Microsoft 推荐的默认设置启用注册活动。 选择 Microsoft 托管后,目标身份验证方法、暂缓时长和可暂缓次数上限将自动设置,且无法配置。 你仍然可以配置包含/排除目标。 有关详细信息,请参阅 Microsoft Entra ID 中的保护身份验证方法

    注释

    当状态设置为 Microsoft 托管 时,Microsoft 会根据针对你的租户的最佳实践来确定最佳活动设置。 以下更改以增量方式向租户推出:

    • 目标身份验证方法从 Microsoft Authenticator 更改为通行密钥 (FIDO2)。
    • 允许暂停的天数 更改为 1 天。 此设置不再可配置。
    • 暂停提醒次数有限更改为“已禁用”(暂停提醒次数不限)。 此设置不再可配置。
    • 用户定位从语音通话或短信用户更改为所有支持多重身份验证 (MFA) 的用户。

    如果你的租户在通行密钥(FIDO2)策略中将特定 AAGUID 设为目标,则被设为目标的身份验证方法在 Microsoft 托管模式下不会更新为通行密钥。 你仍然可以手动切换到 “已启用” 并配置密钥目标。 这些更改生效后,目标用户在完成多重身份验证后,会在登录时收到注册通行密钥的提示。

    如果你想启用通行密钥,但不希望注册活动将通行密钥设为目标,则可以将状态切换为 Enabled 并将 Microsoft Authenticator 设为目标,或者将状态设置为 Disabled。 有关如何设置Microsoft托管值的详细信息,请参阅 Microsoft 托管值

    如果注册活动状态设置为 Enabled,则可以使用 暂停提醒次数有限 为最终用户配置相关体验:

    • 如果已启用 有限的延后次数,则用户可以跳过中断提示消息 3 次,之后将被强制注册指定的身份验证方法。
    • 如果禁用有限的稍后提醒次数,用户可以无限次选择稍后提醒,从而避免注册。

    注释

    启用稍后提醒次数有限后,系统会按用户跟踪稍后提醒次数,并且在营销活动重启或配置更改(包括定位方法更新)后仍会保留。 这可确保一致且可预测的注册体验。

    允许推迟的天数设置两次连续中断提示之间的时间间隔。 例如,如果设置为 3 天,则跳过注册的用户在 3 天后才会再次收到提示。

  4. 对于 身份验证方法,请选择要面向的方法:

    • Microsoft Authenticator — 提醒用户设置 Microsoft Authenticator 应用。
    • Passkey — 引导用户注册通行密钥(包括同步通行密钥和设备绑定通行密钥)。

  5. 选择要从注册活动中排除的任何用户或组,然后选择“ 保存”。

    Microsoft Entra 管理中心中“注册”活动页面的屏幕截图,显示了一个已启用的通行密钥活动,其中包含身份验证方法、暂停提醒设置以及包含/排除目标。

局限性

Important

在 Microsoft 托管模式下,通行密钥提示会按每个用户进行评估。 当用户登录并被纳入注册活动范围时,系统会检查其通行密钥资料是否存在限制。 如果用户的通行密钥配置存在以下任一限制,则在完成 MFA 后,他们将不会看到相关提示:

  • 仅同步
  • 仅限于设备绑定
  • 强制认证
  • AAGUID 限制

常见问题

是否可以在应用程序内微移用户?

是的。 注册活动支持在某些应用程序中使用嵌入式浏览器视图。 该营销活动不会在开箱即用体验中,或在嵌入 Windows 设置中的浏览器视图内向用户推送引导。

是否可以在单一登录 (SSO) 会话中提示用户?

如果用户已使用 SSO 登录,则 nudge 不会触发。

是否可以在移动设备上微移用户?

注册活动在移动设备上不可用。

竞选活动运行多长时间?

可以将市场活动持续你希望的时间。 每当你想要完成市场活动的运行时,就请使用管理中心或 API 来禁用该市场活动。

每个用户组是否可以有不同的暂停持续时间?

否。 提示的推迟持续时间是租户范围的设置,适用于范围内的所有组。

是否可以引导用户设置无密码的手机登录方式?

注册活动功能支持引导用户使用 Authenticator 应用设置 MFA 或注册通行密钥。 无密码手机登录不是注册活动的目标方法。

使用第三方身份验证器应用登录的用户会看到该提示吗?

是的。 如果用户已被纳入注册活动,但尚未设置指定的身份验证方法(用于推送通知的 Microsoft Authenticator 或通行密钥),则系统会提示该用户。

是否只为 TOTP 代码设置了 Authenticator 的用户会看到提示?

是的。 如果某个用户已启用 Authenticator 注册推广活动,且 Authenticator 应用尚未设置推送通知,系统会提示该用户使用 Authenticator 设置推送通知。

已有密钥的用户是否会看到微移?

通行密钥提示会判断用户在当前设备和浏览器组合中是否拥有 本地通行密钥。 如果用户在该使用场景中已拥有本地通行密钥,则不会再收到提示。 这意味着,用户可能会在一台设备上收到提示,但在另一台设备上则不会。

是否可以同时为 Authenticator 和 passkey 运行注册活动?

否。 注册活动一次只能以一种身份验证方法为目标。 您可以选择以 Microsoft Authenticator 或通行密钥为目标,但不能在同一租户中同时使用这两者。

如果用户刚刚完成 MFA 注册,他们是否在同一登录会话中被提醒?

否。 为提供良好的用户体验,将不会在其注册了其他身份验证方法的同一会话中微移用户以安装 Authenticator。

我能否引导用户注册另一种身份验证方法?

是的。 注册活动支持推动用户设置Microsoft Authenticator或注册通行密钥(FIDO2)。 配置营销活动时,请选择目标身份验证方式。

我是否有办法隐藏暂停选项并强制用户设置 Authenticator 应用?

延迟次数限制设置为“已启用”,以便用户可以最多推迟应用设置三次,之后必须进行设置。

如果我未使用 Microsoft Entra 多重身份验证,是否仍能够向我的用户发送提醒?

否。 微移仅适用于使用 Microsoft Entra 多重身份验证服务执行 MFA 的用户。

我的租户中的来宾/B2B 用户是否会被提醒?

是的,如果这些内容包含在注册活动政策中。

如果用户关闭浏览器,该怎么办?

与推迟相同。 如果用户在推迟三次后需要设置,则下次登录时,用户将被提醒。

为什么当存在“注册安全信息”的条件访问策略时,某些用户看不到微移?

如果用户处于阻止访问“注册安全信息”页的条件访问策略范围内,则不会显示微移。

在登录期间向用户显示使用条款 (ToU) 屏幕时,用户是否会看到微移?

如果用户在登录时显示使用条款(ToU)屏幕,则不会显示提示。

条件访问自定义控件适用于登录时,用户是否会看到微移?

如果用户在登录期间由于条件访问自定义控件设置而被重定向,则不会显示提示。

是否有停止使用 SMS 和语音作为 MFA 的可用方法的计划?

否,没有这样的计划。

相关内容

  • Last updated on