- Článek
Pomocí aplikace Microsoft Authenticator se můžete přihlásit k libovolnému účtu Azure AD bez použití hesla. Microsoft Authenticator používá ověřování na základě klíčů k povolení přihlašovacích údajů uživatele, které jsou svázané se zařízením, kde zařízení používá PIN nebo biometriku. Windows Hello pro firmy používá podobnou technologii.
Tuto technologii ověřování je možné použít na libovolné platformě zařízení, včetně mobilních zařízení. Tuto technologii lze také použít s libovolnou aplikací nebo webem, které se integrují s knihovnami ověřování Microsoftu.
Lidé, kteří povolili přihlášení telefonem z aplikace Microsoft Authenticator, se zobrazí zpráva s žádostí o klepnutí na číslo ve své aplikaci. Nevyžaduje se žádné uživatelské jméno ani heslo. K dokončení procesu přihlášení v aplikaci musí uživatel dále provést následující akce:
- Zadejte číslo, které uvidí na přihlašovací obrazovce, do dialogového okna Microsoft Authenticator.
- Zvolte Schválit.
- Zadejte svůj PIN nebo biometriku.
Více účtů v iOSu
V aplikaci Microsoft Authenticator můžete povolit přihlašování telefonem bez hesla pro více účtů na libovolném podporovaném zařízení s iOSem. Konzultanti, studenti a další uživatelé s více účty v Azure AD můžou přidávat každý účet do aplikace Microsoft Authenticator a používat pro ně přihlašování telefonem bez hesla ze stejného zařízení s iOSem.
Dříve nemuseli správci vyžadovat přihlašování uživatelů s více účty bez hesla, protože to vyžaduje, aby pro přihlášení nesli více zařízení. Když ze zařízení odeberete omezení přihlášení jednoho uživatele, můžou správci uživatele s větší jistotou vyzvat, aby si zaregistrovali přihlašování telefonem bez hesla a používali ho jako výchozí metodu přihlašování.
Účty Azure AD můžou být ve stejném tenantovi nebo v různých tenantech. Účty hostů nejsou podporované pro přihlášení k více účtům z jednoho zařízení.
Požadavky
Pokud chcete používat přihlašování telefonem bez hesla pomocí aplikace Microsoft Authenticator, musí být splněny následující požadavky:
Doporučeno: Azure AD vícefaktorové ověřování s povolenými nabízenými oznámeními jako metodou ověření. Nabízená oznámení z vašeho smartphonu nebo tabletu pomáhají aplikaci Authenticator zabránit neoprávněnému přístupu k účtům a zastavit podvodné transakce. Aplikace Authenticator automaticky generuje kódy, když je nastavená na nabízená oznámení. Uživatel má záložní metodu přihlášení, i když jeho zařízení nemá připojení.
(Video) Microsoft Azure MFA - PasswordlessNa zařízeních s iOSem nebo Androidem je nainstalovaná nejnovější verze aplikace Microsoft Authenticator.
V případě Androidu musí být zařízení se spuštěnou aplikací Microsoft Authenticator zaregistrované pro jednotlivé uživatele. Aktivně pracujeme na povolení více účtů na Androidu.
V případě iOSu musí být zařízení zaregistrované v každém tenantovi, ve kterém se používá k přihlášení. Například následující zařízení musí být zaregistrované ve službách Contoso a Wingtiptoys, aby se mohly přihlásit všechny účty:
See AlsoSign in to your accounts using the Microsoft Authenticator appPřihlaste se ke svým účtům pomocí aplikace Microsoft Authenticator.- balas@contoso.com
- balas@wingtiptoys.com a bsandhu@wingtiptoys
Pro iOS doporučujeme povolit v aplikaci Microsoft Authenticator možnost, která microsoftu umožní shromažďovat data o využití. Ve výchozím nastavení není povolená. Pokud ho chcete povolit v aplikaci Microsoft Authenticator, přejděte na Nastavení>Data o využití.
Pokud chcete v Azure AD používat ověřování bez hesla, nejprve povolte kombinované prostředí registrace a pak povolte uživatelům metodu bez hesla.
Povolení metod ověřování přihlašování telefonem bez hesla
Azure AD vám umožní zvolit, které metody ověřování se dají použít během procesu přihlašování. Uživatelé si pak zaregistrují metody, které chtějí používat. Zásady metody ověřování Microsoft Authenticator spravují tradiční metodu nabízeného vícefaktorového ověřování i metodu ověřování bez hesla.
Poznámka
Pokud jste povolili přihlašování microsoft Authenticator bez hesla pomocí Azure AD PowerShellu, bylo povoleno pro celý adresář. Pokud tuto novou metodu povolíte, nahradí zásady PowerShellu. Doporučujeme povolit pro všechny uživatele ve vašem tenantovi prostřednictvím nové nabídky Metody ověřování , jinak se uživatelé, kteří nejsou v nových zásadách, nebudou moct přihlásit bez hesla.
Pokud chcete povolit metodu ověřování pro přihlašování telefonem bez hesla, proveďte následující kroky:
Přihlaste se k Azure Portal pomocí účtu správce zásad ověřování.
Vyhledejte a vyberte Azure Active Directory a pak přejděte naZásadymetod>ověřování zabezpečení>.
V části Microsoft Authenticator zvolte následující možnosti:
- Povolit – Ano nebo Ne
- Cíl – všichni uživatelé nebo vybrat uživatele
Každá přidaná skupina nebo uživatel má ve výchozím nastavení povoleno používání aplikace Microsoft Authenticator v režimu bez hesla i v režimu nabízených oznámení (režim Libovolný). Pokud chcete změnit režim, zvolte pro každý řádek Režim ověřovánímožnost Libovolný nebo Bez hesla. Když zvolíte Nabízené , zabráníte tomu, aby se přihlašovací údaje telefonu bez hesla používaly.
Pokud chcete použít novou zásadu, klikněte na Uložit.
Poznámka
Pokud se při pokusu o uložení zobrazí chyba, příčinou může být počet přidaných uživatelů nebo skupin. Jako alternativní řešení nahraďte uživatele a skupiny, které se pokoušíte přidat, jednou skupinou ve stejné operaci a pak znovu vyberte Uložit .
Registrace uživatele
Uživatelé se sami registrují k metodě ověřování Azure AD bez hesla. Pro uživatele, kteří už zaregistrovali aplikaci Microsoft Authenticator pro vícefaktorové ověřování, přejděte k další části povolení přihlašování telefonem.
Registrace přihlášení přes přímý telefon
Uživatelé se můžou registrovat k přihlašování telefonem bez hesla přímo v aplikaci Microsoft Authenticator, aniž by museli nejprve zaregistrovat Aplikaci Microsoft Authenticator pomocí svého účtu, a to bez toho, aby nikdy nenabídli heslo. Jak na to:
- Získejte dočasný přístupový klíč od Správa nebo organizace.
- Stáhněte a nainstalujte si aplikaci Microsoft Authenticator na mobilní zařízení.
- Otevřete Aplikaci Microsoft Authenticator, klikněte na Přidat účet a pak zvolte Pracovní nebo školní účet.
- Zvolte Přihlásit se.
- Postupujte podle pokynů a přihlaste se pomocí svého účtu pomocí dočasného přístupového passu, který vám poskytl Správa nebo organizace.
- Po přihlášení pokračujte podle dalších kroků a nastavte přihlašování telefonem.
Registrace s asistencí pro moje přihlášení
Aplikaci Microsoft Authenticator zaregistrujete takto:
- Přejděte na adresu https://aka.ms/mysecurityinfo.
- Přihlaste se a pak vyberte Přidat metodu>Aplikace> AuthenticatorPřidat a přidejte Microsoft Authenticator.
- Podle pokynů nainstalujte a nakonfigurujte aplikaci Microsoft Authenticator na svém zařízení.
- Výběrem možnosti Hotovo dokončete konfiguraci aplikace Microsoft Authenticator.
Povolit přihlášení telefonem
Jakmile se uživatelé zaregistrují do aplikace Microsoft Authenticator, musí povolit přihlášení telefonem:
- V aplikaci Microsoft Authenticator vyberte zaregistrovaný účet.
- Vyberte Povolit přihlášení telefonem.
- Podle pokynů v aplikaci dokončete registraci účtu pro přihlašování telefonem bez hesla.
Organizace může nasměrovat své uživatele, aby se přihlašovali pomocí svých telefonů bez použití hesla. Další pomoc s konfigurací aplikace Microsoft Authenticator a povolením přihlašování telefonem najdete v tématu Přihlášení k účtům pomocí aplikace Microsoft Authenticator.
Poznámka
Uživatelé, kterým zásady nepovolují používat přihlašování telefonem, už ho nebudou moct povolit v aplikaci Microsoft Authenticator.
Přihlášení pomocí přihlašovacích údajů bez hesla
Po dokončení všech následujících akcí může uživatel začít používat přihlašování bez hesla:
- Správce povolil tenanta uživatele.
- Uživatel přidal aplikaci Microsoft Authenticator jako metodu přihlášení.
Při prvním spuštění procesu přihlašování pomocí telefonu provede uživatel následující kroky:
- Na přihlašovací stránce zadá jméno příslušného uživatele.
- Vybere Další.
- V případě potřeby vybere Další způsoby přihlášení.
- Vybere Schválit žádost v aplikaci Authenticator.
Uživateli se pak zobrazí číslo. Aplikace vyzve uživatele k ověření tak, že místo zadání hesla zadá příslušné číslo.
Poté, co uživatel využívá přihlašování telefonem bez hesla, aplikace bude uživatele dál tímto způsobem provádět. Uživateli se ale zobrazí možnost zvolit jinou metodu.
Správa
Doporučeným způsobem správy aplikace Microsoft Authenticator je zásada Metod ověřování. Správci zásad ověřování můžou tuto zásadu upravit a povolit nebo zakázat aplikaci Microsoft Authenticator. Správci můžou zahrnout nebo vyloučit konkrétní uživatele a skupiny, aby ho mohli používat.
Správci také můžou konfigurovat parametry, aby lépe ovládli, jak se dá Microsoft Authenticator používat. Můžou například do žádosti o přihlášení přidat místo nebo název aplikace, aby uživatelé měli před schválením větší kontext.
Globální správci můžou také spravovat Microsoft Authenticator v rámci celého tenanta pomocí starších zásad MFA a SSPR. Tyto zásady umožňují povolit nebo zakázat aplikaci Microsoft Authenticator pro všechny uživatele v tenantovi. Neexistují žádné možnosti, jak někoho zahrnout nebo vyloučit, ani určit, jak se dá Microsoft Authenticator používat pro přihlašování.
Známé problémy
Existují následující známé problémy.
Nezobrazuje se možnost pro přihlášení telefonem bez hesla
V jednom scénáři může mít uživatel nezodpovězené ověření přihlášení pomocí hesla pomocí telefonu, které čeká na vyřízení. Pokud se uživatel pokusí znovu přihlásit, může se mu zobrazit pouze možnost zadat heslo.
Pokud chcete tento scénář vyřešit, postupujte takto:
- Otevřete Microsoft Authenticator.
- Reagujte na všechny výzvy k oznámení.
Uživatel pak může dál používat přihlašování telefonem bez hesla.
AuthenticatorAppSignInPolicy není podporováno.
AuthenticatorAppSignInPolicy je starší zásada, kterou Microsoft Authenticator nepodporuje. Pokud chcete uživatelům povolit nabízená oznámení nebo přihlašování telefonem bez hesla pomocí aplikace Authenticator, použijte zásady Metody ověřování.
Federované účty
Když uživatel povolí jakékoli přihlašovací údaje bez hesla, proces přihlášení Azure AD přestane používat login_hint. Proto už proces nezrychluje uživatele směrem k federovaným přihlašovacím místům.
Tato logika obecně brání tomu, aby byl uživatel v hybridním tenantovi přesměrován na službu Active Directory Federated Services (AD FS) za účelem ověření přihlášení. Uživatel si ale zachová možnost místo toho použít heslo.
Místní uživatelé
Koncovému uživateli je možné povolit vícefaktorové ověřování (MFA) prostřednictvím místního zprostředkovatele identity. Uživatel stále může vytvořit a používat jedno přihlašovací přihlašovací údaje telefonu bez hesla.
Pokud se uživatel pokusí upgradovat více instalací (5+) aplikace Microsoft Authenticator s přihlašovacími údaji telefonu bez hesla, může tato změna způsobit chybu.
Další kroky
Informace o ověřování Azure AD a metodách bez hesla najdete v následujících článcích:
- Informace o tom, jak funguje ověřování bez hesla
- Informace o registraci zařízení
- Informace o vícefaktorovém ověřování Azure AD
FAQs
Is Microsoft authenticator linked to Microsoft account? ›
The Microsoft Authenticator app backs up your account credentials and related app settings, such as the order of your accounts, to the cloud. Important: You need a personal Microsoft account to act as your recovery account. iOS users must also have an iCloud account.
How do I verify my Microsoft account with the Authenticator app? ›The authenticator app asks for a verification code as a test. From the Microsoft Authenticator app, scroll down to your work or school account, copy and paste the 6-digit code from the app into the Step 2: Enter the verification code from the mobile app box on your computer, and then select Verify.
How do I activate Microsoft authenticator app? ›- Sign in to your work or school account and then go to your My Account portal.
- Select Security info in the left menu or by using the link in the Security info pane. ...
- On the Add a method page, select Authenticator app from the list, and then select Add.
there isn't anyway to recover or reset MFA without Authenticator app access. every login ways are related to the app (notification or code).
What is the difference between Authenticator app and Microsoft authenticator? ›What Are The Differences? Microsoft Authenticator can support one account on multiple devices while Google Authenticator doesn't. Microsoft Authenticator has a feature that lets you hide the code useful to protect your account.
Can Microsoft authenticator see my browsing history? ›The Microsoft authenticator does not track you and it does not log location data. It will list your logins to MCC-protected resources as a method for you to recognize unauthorized access attempts.
How do I get my 6 digit code from Authenticator? ›You need to install the Google Authenticator app on your smart phone or tablet devices. It generates a six-digit number, which changes every 30 seconds. With the app, you don't have to wait a few seconds to receive a text message.
Why can't i login Microsoft account Authenticator? ›What you have to do is go to https://mysignins.microsoft.com and under security and info you can manage log in verification methods. just delete Microsoft authenticator as an option and then re add it and it will allow you back in!!!
How do I reset my Microsoft authenticator? ›Go to the security settings of your Microsoft account, either on a web browser or on a different device. Click on the "Security info" option and sign in to your account. Under the "Security info" section, locate the "Authenticator app" and click on "Manage". Click on the "Remove" option next to the lost device.
How do I log into Microsoft Authenticator app without code? ›Open the Microsoft Authenticator app, go to your work or school account, and turn on phone sign-in. When you tap the account tile, you see a full screen view of the account. If you see Phone sign-in enabled that means you are fully set up to sign in without your password.
Can I have Microsoft Authenticator on two devices? ›
Microsoft Authenticator app can be installed on a second mobile device such as an iPad or other smartphone and used when your primary smartphone is unavailable.
What is Microsoft Authenticator app used for? ›The Microsoft Authenticator app helps you sign in to your accounts when you're using two-step verification. Two-step verification helps you to use your accounts more securely because passwords can be forgotten, stolen, or compromised.
What happens if I lose access to Microsoft authenticator? ›If you have access to an alternative email address or phone number that is associated with your Microsoft account, use that to receive a verification code and reset your password. 3. If you're unable to reset your password, you may need to create a new Microsoft account and transfer your data to the new account.
How do I recover my lost Authenticator account? ›Can I recover my Google Authenticator? You can't recover Google Authenticator from a lost phone because the secret keys Google Authenticator generates are specific to the device. If you lose the phone, you lose access to the secret keys.
What if I lose my Authenticator app? ›If the loss of the authenticator blocks your account access, for example with a corporate or small public service that lacks an automatic procedure for restoring access, contact a local administrator or support service and explain what happened. You'll most likely need to prove you are the real owner of the account.
What can Microsoft authenticator see on my phone? ›- Device owner.
- Device name.
- Device serial number.
- Device model, such as Google Pixel.
- Device manufacturer, such as Microsoft.
- Operating system and version, such as iOS 12.0.1.
- Device IMEI.
- App inventory and app names, such as Microsoft Word.
- Location. ...
- Use biometric hardware. ...
- Camera. ...
- Contacts and phone. ...
- SMS. ...
- Draw over other apps. ...
- Receive data from the internet. ...
- Prevent phone from sleeping.
Microsoft Authenticator - Security & Convenience at its best
A popular program called Microsoft Authenticator lets users safeguard their accounts by adding an extra layer of authentication. Microsoft Authenticator is the best program for the two-step verification process and may be used to secure a variety of logins.
Can my employer spy on my personal phone? A: NO, your employer cannot spy on your personal phone. Your employer must obtain access to your personal phone to be able to monitor it.
Can someone see my browsing history from another phone? ›Generally, someone cannot see your browser history from another phone, but there are ways to achieve this, such as syncing your browser or using spyware. Your browser history can give someone an insight into what you have been up to while surfing the internet.
Who is tracking my internet activity? ›
Internet Service Providers (ISPs) can see everything you do online. They can track things like which websites you visit, how long you spend on them, the content you watch, the device you're using, and your geographic location.
How do I get my authenticator code without QR code? ›If your camera is unable to capture the QR code, you can manually add your account information to the Microsoft Authenticator app for two-factor verification. This works for work or school accounts and non-Microsoft accounts.
How many digits is the Microsoft authenticator code? ›Authenticator 6 and 8 digit codes - Microsoft Q&A.
How many digits is Microsoft authenticator? ›Authenticator produces 8 digit instead of six digit verification code.
How do I fix Microsoft authentication problem? ›- Restart the device and try again.
- Try change the network to see if the result is different? For example, if we use WIFI. ...
- Try to remove the account in Authenticator and try again to see if there's any different.
- Open the Microsoft Authenticator app on your phone.
- Tap the + > Work or school account.
- Use your phone to scan the QR square that is on your computer screen. Notes: ...
- Your account will be added automatically to the app and will display a six-digit code.
As an administrator, you may remove a user's current authenticator app. Go to the user's settings page, and under Account Settings > Two Factor Authentication, select Remove Current Authenticator App.
How do I turn off 2 step verification without signing in? ›First off, go to Settings and Privacy > Settings > Security and Login > Two-factor authentication on your browser-based Facebook account. You'll find a list of your authorized devices where you won't need to use a login code.
Can I transfer Microsoft authenticator from one phone to another? ›There is a similar process for Android. Make sure the authenticator is installed on the new device. On the new device in the startup, it prompts for restoring. Sign in to the recovery account, and the authenticator accounts should appear.
How do I transfer my Authenticator app to a new phone? ›- On your new phone, install the Google Authenticator app.
- In the Google Authenticator app, tap Get Started and sign in.
- Tap Menu Transfer accounts. Import accounts.
- On your old phone, create a QR code: In the Authenticator app, tap Menu Transfer accounts. Export accounts. ...
- On your new phone, tap Scan QR code.
How do I add another phone to my Microsoft authenticator? ›
On the device you want to trust, go to the Security settings page and sign in to your Microsoft account. You'll be prompted to verify your identity. Choose whether to receive the code through email, text, or an authenticator app. Once you have the code, enter it in the text box.
How do I sync my Microsoft Authenticator with my account? ›- Open the Microsoft Authenticator app on your old phone.
- Tap on the three-dotted icon located at the top right and go to Settings.
- Toggle-on Cloud backup for Android or iCloud backup for iPhone.
- Install Microsoft Authenticator on your new phone.
If you have access to an alternative email address or phone number that is associated with your Microsoft account, use that to receive a verification code and reset your password. 3. If you're unable to reset your password, you may need to create a new Microsoft account and transfer your data to the new account.
Is My Microsoft account linked to my product key? ›First, you'll need to find out if your Microsoft account (What is a Microsoft account?) is linked to your Windows 10 digital license. To find out, select the Start button, then select Settings > Update & Security and then select Activation . The activation status message will tell you if your account is linked.
Is Microsoft Authenticator part of Office 365? ›If your organization is using multi-factor authentication (MFA) for Microsoft 365, the easiest verification method to use is the Microsoft Authenticator smart phone app. It's just one click instead of typing in a 6-digit code.