Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
W tym artykule opisano problemy, które użytkownicy mogą zobaczyć podczas korzystania z kluczy dostępu w aplikacji Authenticator i możliwych sposobów ich rozwiązywania przez administratorów.
Przechowywanie kluczy dostępu w profilach systemu Android
Klucze dostępu na Androidzie są używane tylko z profilu, w którym są przechowywane. Jeśli klucz dostępu jest przechowywany w profilu służbowym systemu Android, jest używany z tego profilu. Jeśli klucz dostępu jest przechowywany w profilu osobistym systemu Android, jest używany z tego profilu. Aby upewnić się, że użytkownicy mogą uzyskiwać dostęp do potrzebnego klucza dostępu i korzystać z niego, użytkownicy z profilem osobistym systemu Android i profilem służbowym systemu Android powinni utworzyć swoje klucze dostępu w aplikacji Authenticator dla każdego profilu.
Obejścia
Skorzystaj z poniższych obejść w przypadku problemów z kluczem dostępu aplikacji Authenticator.
Obejścia pętli w polityce dostępu warunkowego odnoszących się do siły uwierzytelniania
Użytkownicy mogą utknąć w pętli podczas próby dodania klucza dostępu w aplikacji Authenticator, jeżeli zasady dostępu warunkowego wymagają uwierzytelnienia odpornego na wyłudzanie informacji, aby uzyskać dostęp do Wszystkich zasobów (wcześniej "Wszystkie aplikacje w chmurze"). Na przykład:
- Warunek: wszystkie urządzenia (Windows, Linux, macOS, Windows, Android)
- Zasób docelowy: wszystkie zasoby (dawniej "Wszystkie aplikacje w chmurze")
- Przyznaj kontrolę: Siła uwierzytelniania – wymagaj klucza dostępu w aplikacji Authenticator
Zasady wymuszają na użytkownikach używanie klucza dostępu do logowania się do wszystkich aplikacji w chmurze, w tym aplikacji Authenticator. Wymaga to od użytkowników użycia klucza dostępu podczas próby dodania klucza dostępu w aplikacji Authenticator w systemie Android lub iOS.
Oto kilka obejść:
Możesz filtrować aplikacje i przenosić cel zasad z obszaru Wszystkie zasoby (wcześniej "Wszystkie aplikacje w chmurze") do określonych aplikacji. Zacznij od przeglądu aplikacji używanych w środowisku dzierżawcy. Użyj filtrów, aby oznaczyć aplikację Authenticator i inne aplikacje.
Aby jeszcze bardziej zmniejszyć koszty pomocy technicznej, możesz uruchomić wewnętrzną kampanię, aby ułatwić użytkownikom wdrażanie kluczy dostępu przed ich wymuszeniem. Gdy wszystko będzie gotowe do wymuszenia użycia klucza dostępu, utwórz dwie zasady dostępu warunkowego:
- Zasady dla wersji systemu operacyjnego (OS) dla urządzeń przenośnych
- Polityka dla wersji systemu operacyjnego dla komputerów stacjonarnych
Wymagaj innej siły uwierzytelniania dla każdej zasady i skonfiguruj inne ustawienia zasad wymienione w poniższej tabeli. Możesz włączyć Tymczasową przepustkę dostępu (TAP) dla użytkowników lub włączyć inne metody uwierzytelniania, aby ułatwić użytkownikom rejestrowanie klucza dostępu.
Funkcja TAP ogranicza czas rejestrowania klucza dostępu przez użytkowników. Można je zaakceptować tylko na platformach mobilnych, na których zezwalasz na rejestrację klucza dostępu.
Zasady dostępu warunkowego System operacyjny dla komputerów stacjonarnych System operacyjny dla urządzeń przenośnych Nazwisko Wymagaj klucza dostępu w aplikacji Authenticator, aby uzyskać dostęp do systemu operacyjnego dla komputerów stacjonarnych. Wymagaj interfejsu TAP, poświadczenia odpornego na wyłudzanie informacji lub dowolnej innej określonej metody uwierzytelniania w celu uzyskania dostępu do mobilnego systemu operacyjnego. Stan Określone urządzenia (systemy operacyjne pulpitu). Określone urządzenia (systemy operacyjne urządzeń przenośnych). Urządzenia N/A. Android, iOS. Wyklucz urządzenia Android, iOS. N/A. Zasób docelowy Wszystkie zasoby. Wszystkie zasoby. Przyznaj kontrolę Siła uwierzytelniania. Siła uwierzytelniania.1 Metody Klucz dostępu w aplikacji Authenticator. TAP, klucz dostępu w aplikacji Authenticator. Wynik polityki Użytkownicy, którzy nie mogą zalogować się przy użyciu klucza dostępu w aplikacji Authenticator, są przekierowywani do trybu kreatora Moje logowania. Po rejestracji zostanie wyświetlony monit o zalogowanie się do aplikacji Authenticator na urządzeniu przenośnym. Użytkownicy logujący się do aplikacji Authenticator przy użyciu interfejsu TAP lub innej dozwolonej metody mogą zarejestrować klucz dostępu bezpośrednio w aplikacji Authenticator. Nie występuje pętla, ponieważ użytkownik spełnia wymagania dotyczące uwierzytelniania. 1Aby użytkownicy mogli rejestrować nowe metody logowania, kontrola nad przyznawaniem uprawnień dla polityki mobilnej musi być zgodna z zasadami dostępu warunkowego, aby zarejestrować Informacje zabezpieczające.
Uwaga
Z dowolnym obejściem problemu, użytkownicy muszą również spełnić wszelkie zasady dostępu warunkowego, które dotyczą rejestrowania informacji zabezpieczających, lub nie mogą zarejestrować klucza dostępu. Jeśli masz inne warunki skonfigurowane przy użyciu Wszystkie zasoby zasad, te warunki muszą zostać spełnione podczas rejestrowania klucza dostępu.
Użytkownicy, którzy nie mogą zarejestrować kluczy dostępu z powodu opcji Wymagaj zatwierdzonej aplikacji klienckiej lub Wymagaj zasad ochrony aplikacji Kontroli udzielania dostępu warunkowego
Użytkownicy nie mogą rejestrować kluczy dostępu w aplikacji Authenticator, jeśli są one uwzględnione w następujących zasadach dostępu warunkowego:
- Warunek: wszystkie urządzenia (Windows, Linux, macOS, Windows, Android)
- Zasób docelowy: wszystkie zasoby (dawniej "Wszystkie aplikacje w chmurze")
- Udzielanie kontroli: Wymagaj zatwierdzonej aplikacji klienckiej lub Wymagaj zasad ochrony aplikacji
Zasady wymuszają na użytkownikach logowanie się do wszystkich aplikacji w chmurze przy użyciu aplikacji obsługującej zasad ochrony aplikacji usługi Microsoft Intune. Aplikacja Authenticator nie obsługuje tych zasad w systemie Android lub iOS.
Oto kilka obejść:
Możesz filtrować aplikacje i przenosić cel zasad z obszaru Wszystkie zasoby (wcześniej "Wszystkie aplikacje w chmurze") do określonych aplikacji. Zacznij od przeglądu aplikacji używanych w środowisku dzierżawcy. Użyj filtrów, aby oznaczyć odpowiednie aplikacje.
Możesz użyć zarządzania urządzeniami przenośnymi (MDM) i kontroli Wymagaj, aby urządzenie było oznaczone jako zgodne. Aplikacja Authenticator może spełnić tę kontrolę dostępu, jeśli rozwiązanie MDM w pełni zarządza urządzeniem i jest zgodne z wymaganiami. Na przykład:
- Warunek: wszystkie urządzenia (Windows, Linux, macOS, Windows, Android)
- Zasób docelowy: wszystkie zasoby (dawniej "Wszystkie aplikacje w chmurze")
- Udzielanie kontroli: Wymagaj zatwierdzonej aplikacji klienckiejlub Wymagaj zasad ochrony aplikacjilub Wymagaj, aby urządzenie było oznaczone jako zgodne
Możesz udzielić użytkownikom tymczasowego wykluczenia z zasad dostępu warunkowego. Zalecamy użycie co najmniej jednej kontrolki wyrównywjącej:
- Zezwalaj na wykluczenie tylko przez ograniczony okres. Poinformuj użytkownika, kiedy może zarejestrować klucz bezpieczeństwa. Usuń wykluczenie po upływie okresu. Następnie skieruj użytkowników do działu pomocy technicznej, jeśli przegapili swój termin.
- Użyj innych zasad dostępu warunkowego, aby wymagać, aby użytkownicy rejestrowali się tylko z określonej lokalizacji sieciowej lub zgodnego urządzenia.
Uwaga
W przypadku dowolnego proponowanego obejścia użytkownicy muszą również spełnić wszelkie zasady dostępu warunkowego, które są przeznaczone rejestrowanie informacji zabezpieczających lub nie mogą zarejestrować klucza dostępu. Jeśli masz inne warunki skonfigurowane względem zasad Wszystkie zasoby, muszą również zostać spełnione, zanim użytkownicy będą mogli zarejestrować hasło dostępu.
Ogranicz użycie Bluetooth tylko do kluczy dostępu w aplikacji Authenticator
Niektóre organizacje ograniczają użycie protokołu Bluetooth, co obejmuje korzystanie z kluczy dostępu. W takich przypadkach organizacje mogą zezwalać na użycie kluczy dostępu, zezwalając wyłącznie na parowanie Bluetooth z autentykatorami FIDO2 obsługującymi klucz dostępu. Aby uzyskać więcej informacji na temat konfigurowania użycia protokołu Bluetooth tylko dla kluczy dostępu, zobacz Passkeys in Bluetooth-restricted environments (Klucze dostępu w środowiskach z ograniczeniami Bluetooth).
Powiązana zawartość
- Aby uzyskać więcej informacji na temat kluczy dostępu w aplikacji Authenticator, zobacz Metoda uwierzytelniania microsoft Authenticator.
- Aby włączyć klucze dostępu w aplikacji Authenticator jako metodę logowania użytkowników, zobacz Włączanie kluczy dostępu w usłudze Microsoft Authenticator.