I-set up ang passwordless authentication sa iyong Microsoft account

La Pagpapatotoo nang walang password para sa mga account sa Microsoft Hindi na ito futuristic o eksklusibo sa mga makabagong kapaligiran. Ngayon, kahit sino ay maaaring mag-log in sa Microsoft 365, Entra ID (dating Azure AD), o sa kanilang personal na Microsoft account gamit ang kanilang mobile phone, biometrics, o security keys, nang hindi nagta-type ng kahit isang password. Bukod sa pagiging mas maginhawa, isa rin itong mahalagang hakbang para mabawasan ang pagnanakaw ng kredensyal at mga pag-atake sa phishing.

Sa artikulong ito, titingnan natin nang detalyado, Paano gumagana ang pag-login nang walang password gamit ang Microsoft Authenticator at PasskeysTatalakayin natin kung ano ang kailangan ng inyong organisasyon para maipatupad ito, kung paano ito paganahin bilang isang administrator sa Microsoft Entra ID, kung ano ang magagawa ng mga end user, at kung anong mga limitasyon o kilalang isyu ang umiiral. Titingnan din natin kung bakit mapilit ang Microsoft na iwanan ang tradisyonal na password at kung paano ito naaayon sa isang estratehiya sa seguridad na Zero Trust.

Bakit gustong alisin ng Microsoft ang mga password

Ang mga password ay naging pangunahing vector ng pag-atake sa mga korporasyon at personal na kapaligiranGinagamit muli ang mga ito, nilalabas sa mga paglabag sa datos, hinuhulaan, ninanakaw gamit ang phishing o malware, at sa pinakamaliit na pagkakataon, nagkakaroon ng ganap na access ang isang umaatake sa mga email account, dokumento, at mahahalagang application.

Mga klasikong modelo ng seguridad batay sa "username + password" kasama ang pangalawang pangunahing salik (halimbawa, isang SMS) ay mas mainam kaysa sa isang password lamang, ngunit mayroon pa rin silang ilang mga kahinaan: maaaring maharang ang mga text message, nahuhulog pa rin ang mga user sa mga phishing website, at nagpapatuloy ang malawakang pagnanakaw ng kredensyal.

Para mabawasan ang lahat ng panganib na ito, inirerekomenda ng Microsoft ang paglipat sa mga pamamaraan ng pagpapatotoo na walang password na lumalaban sa panggagayaAng mga pamamaraang ito ay umaasa sa mga kredensyal na naka-link sa isang pisikal na device (mobile, laptop, susi, atbp.) at nangangailangan ng isang bagay na mayroon ka (ang device) at isang bagay na alam mo o alam mo (PIN, fingerprint, mukha), na tumutupad sa MFA sa isang pinagsamang paraan, nang hindi pinipilit ang user na matandaan ang kahit ano.

Bukod pa rito, mas mabilis ang mga pag-login gamit ang mga passkey o mga kredensyal ng FIDO2. Ayon sa panloob na datos ng Microsoft, Ang pagpapatotoo ng password ay maaaring tumagal nang humigit-kumulang 24 segundoSamantalang ang isang karaniwang access key ay naba-validate sa loob ng humigit-kumulang 8 segundo, at mas maikli pa (humigit-kumulang 3 segundo) kung ito ay isang passkey na naka-synchronize sa mga manager tulad ng Google Password Manager o iCloud Keychain.

Ang kumbinasyong ito ng Higit na kaligtasan at mas kaunting alitan Para sa mga end user, ito ang dahilan kung bakit isinusulong ng Microsoft ang platform nitong walang password sa Microsoft Sign In ID at sa buong ecosystem ng Microsoft 365 at Windows.

Mga opsyon sa pagpapatotoo na walang password sa Microsoft Sign In ID

Nag-aalok ang Microsoft Entra ID ng ilang paraan upang Mag-log in nang hindi naglalagay ng mga passworddinisenyo para sa parehong personal at pangkorporasyong mga device, at para sa iba't ibang uri ng mga user at mga sitwasyon. Ang mga pangunahing kategorya na kasalukuyang kinabibilangan nito ay:

Una sa lahat, mayroong mga mga passkey (FIDO2 / mga passkey)Ito ay mga kredensyal batay sa mga pamantayan ng FIDO2 na nakaimbak sa isang device (halimbawa, isang security key o isang platform passkey). Maaari itong maging mga key na naka-synchronize sa pamamagitan ng mga manager tulad ng Google Password Manager o iCloud, o mga key na batay sa pisikal na hardware tulad ng YubiKey at mga katulad na device.

Pangalawa, kasama sa Microsoft ang Windows Hello para sa negosyoAng teknolohiyang ito ay lumilikha ng isang kredensyal na naka-link sa computer na Windows, na protektado ng isang PIN o biometrics (fingerprint o facial recognition). Ito ang batayan para sa mga pag-login na walang password sa desktop ng Windows kapag ang device ay nakakonekta sa isang Microsoft Login ID o maayos na pinamamahalaan.

Ang isa pang pagpipilian ay ang Mga key sa pag-login sa Microsoft. Mag-log in sa Windows. (sa paunang bersyon) at ang mga kredensyal sa platform para sa macOS (nasa preview din). Parehong nagbibigay-daan ang operating system na pamahalaan ang mga kredensyal na walang password na direktang isinama sa Entra ID, na nagpapadali sa ligtas na pag-login sa mga modernong kapaligiran.

Sa mundo ng mobile, ang mga sumusunod ay namumukod-tangi: mga access key sa application na Microsoft AuthenticatorDito pumapasok ang pag-login gamit ang teleponong walang password: inaaprubahan ng user ang isang notification sa app, inilalagay ang numerong ipinapakita sa screen, at kinukumpirma gamit ang PIN o biometrics ng device, nang hindi na tinatype ang password ng account.

Sa wakas, patuloy na sinusuportahan ng Microsoft mga smart card at pagpapatotoo batay sa sertipikona maaaring ituring na mga kredensyal na walang password sa maraming kapaligiran ng negosyo at mahusay ding nakakayanan ang mga pagtatangka ng phishing kapag maayos na naipatupad.

Paano gumagana ang Microsoft Authenticator para mag-log in nang walang password

Application Microsoft Authenticator Ito ay isang mahalagang bahagi ng estratehiyang walang password ng Microsoft. Magagamit para sa iOS at Android, sinusuportahan nito ang parehong klasikong multi-factor authentication (MFA na may mga push notification o code) at pag-login sa dial-in nang walang password.

Sa likod ng Authenticator ay mayroong pagpapatotoo batay sa susiKaraniwan, isang kredensyal ang binubuo para sa gumagamit at iniuugnay sa isang partikular na device. Para magamit ang kredensyal na iyon, ang device ay nangangailangan ng lokal na salik sa pagpapatotoo tulad ng PIN, fingerprint, o pagkilala sa mukha. Gumagamit ang Windows Hello for Business ng halos kaparehong teknolohiya, ngunit nakatuon ito sa mismong computer ng Windows.

Ang karaniwang daloy ng paggamit ng pag-login sa telepono Napakasimple lang. Sa screen ng pag-sign-in ng Microsoft 365 o anumang app na naka-integrate sa Entra ID, ilalagay lang ng user ang kanilang username (email sa trabaho o paaralan). Pagkatapos, sa halip na i-type ang kanilang password, pipiliin nila ang opsyong aprubahan ang isang kahilingan sa Authenticator app.

Sa sandaling iyon, isang numero sa login screenMagpapakita ang mobile device ng notification ng Authenticator na humihiling ng kumpirmasyon ng access. Dapat piliin ng user ang tamang account at ilagay ang numerong ipinapakita sa website sa app. Pinipigilan ng cross-verification na ito ang isang tao na aksidenteng maaprubahan ang isang notification na hindi sa kanila.

Kapag naipasok na ang numero, itatanong ng device PIN o biometrics para mapatunayan na ang taong nag-aapruba ay ang tunay na may-ari ng mobile device. Saka lamang makukumpleto ang pag-login at maibibigay ang access sa account nang hindi pa nailalagay ang password.

Ang isang mahalagang detalye ay iyon Maaaring i-configure ang maraming Microsoft Sign-In ID account Sa parehong Authenticator app, paganahin ang passwordless phone login sa lahat ng account, basta't nakarehistro ang device sa kaukulang tenant. Gayunpaman, hindi sinusuportahan ang mga guest account para sa multi-account model sa parehong device.

Mga kinakailangan para sa paggamit ng login sa telepono na walang password

Bago ka magmadaling i-activate ang passwordless login para sa lahat, kailangan mong tiyakin na natutugunan ang ilang mga kundisyon. minimum na mga kinakailangan sa teknikal at organisasyonInirerekomenda ng Microsoft na suriin ang mga puntong ito upang maiwasan ang mga problema sa hinaharap.

Sa isang banda, lubos na ipinapayong magkaroon ng Pumasok ang Microsoft sa Multi-Factor Authentication (MFA) Naka-configure sa loob ng organisasyon, pinapayagan nito ang paggamit ng mga push notification bilang paraan ng pag-verify. Nakakatulong ang mga notification na ito na harangan ang hindi awtorisadong pag-access at mga mapanlinlang na transaksyon, at awtomatiko ring bumubuo ang Authenticator app ng mga code upang magbigay ng backup na paraan kung mawalan ng koneksyon ang device.

Bukod pa rito, ipinag-uutos na ang Ang device kung saan gagamitin ang Authenticator ay dapat nakarehistro sa bawat nangungupahan ng Entra ID. kung saan mo gustong paganahin ang pag-login sa telepono. Halimbawa, kung ang isang tao ay gumagamit ng mga account tulad ng balas@contoso.com at balas@wingtiptoys.com, ang mobile phone ay dapat na nakarehistro sa parehong tenant (Contoso at Wingtip Toys) upang payagan ang access na walang password gamit ang lahat ng mga pagkakakilanlang iyon.

Para sa seksyon ng administrasyon, mainam na i-activate muna ang tawag. pinagsamang karanasan sa pagpaparehistro sa Microsoft Sign In ID. Pinag-iisa ng karanasang ito ang pagpaparehistro ng mga pamamaraan ng seguridad (MFA, pag-reset ng password, atbp.) at pinapasimple ang onboarding ng Authenticator bilang isang pamamaraang walang password.

Mula sa perspektibo ng paglilisensya, ang katotohanan lamang ng Magrehistro at mag-log in gamit ang mga pamamaraang walang password Hindi ito nangangailangan ng isang partikular na lisensya. Gayunpaman, inirerekomenda ng Microsoft ang pagkakaroon ng kahit isang lisensya ng Microsoft Entra ID P1 upang lubos na masulit ang hanay ng mga tampok: kondisyonal na pag-access upang ipatupad ang mga kredensyal na lumalaban sa phishing, mga ulat sa paggamit ng paraan ng pagpapatotoo, atbp.

Panghuli, mahalagang matukoy ang mga pangkat ng manggagawa na magiging bahagi ng proyektoPamamahala ng pagkakakilanlan at pag-access, arkitektura ng seguridad, mga operasyon sa seguridad, pangkat ng pag-audit, teknikal na suporta, at komunikasyon sa pagitan ng mga end-user. Kung ang mga grupong ito ay hindi magkakaugnay, ang implementasyon ay maaaring hindi kumpleto o magdulot ng napakaraming insidente.

Paano paganahin ang Microsoft Authenticator nang walang password bilang administrator

Mula sa Microsoft Entra ID management console, may kakayahan ang mga administrator na tukuyin kung aling mga paraan ng pagpapatunay ang pinapayagan para sa organisasyon. Dito naka-enable ang Microsoft Authenticator para sa parehong tradisyonal na MFA at passwordless mode.

Ang panimulang punto ay ang pag-access sa Microsoft admin center Mag-sign in na may account na, kahit man lang, ay may tungkulin bilang Authentication Policy Administrator. Kapag naka-log in na, pumunta sa seksyong Login ID at mula roon, pumunta sa Authentication Methods and Policies, kung saan pinamamahalaan ang mga tuntunin sa paggamit para sa bawat pamamaraan.

Sa loob ng configuration ng method, maaari mong I-activate ang Microsoft Authenticator at magpasya kung papayagan ang klasikong pagpasok ng MFA (push notification para sa kumpirmasyon ng password) at/o pag-login sa telepono nang walang password. Maaaring i-configure ang bawat grupo ng user upang gamitin ang alinmang mode o upang paghigpitan ito ayon sa mga pangangailangan sa seguridad.

Bilang default, ang mga grupo ay karaniwang naka-configure upang gamitin ang "kahit papaano" gamit ang AuthenticatorNangangahulugan ito na maaaring mag-log in ang iyong mga miyembro sa pamamagitan ng pag-apruba ng isang karaniwang push notification o sa pamamagitan ng paggamit ng passwordless phone login, kung matagumpay nila itong nairehistro sa iyong app.

Isang karaniwang tanong sa mga administrador ay kung posible ba pilitin nang husto ang paggamit nang walang passwordPinipigilan nito ang user na muling mag-authenticate gamit ang kanilang password kahit na matapos i-configure ang lahat. Ang totoo, bagama't maaari mong lubos na isulong ang isang modelong walang password sa pamamagitan ng mga patakaran sa conditional access at mga paghihigpit sa mga pinapayagang pamamaraan, pinapanatili pa rin ng Microsoft ang opsyon na gumamit ng password sa mga partikular na sitwasyon, tulad ng para sa pagbawi o pagiging tugma sa ilang mga legacy application.

Gayunpaman, gamit ang kombinasyon ng patakaran sa mga paraan ng pagpapatunay at kondisyonal na pag-accessMaaari itong maging halos katulad ng isang senaryo kung saan ang mga bagong user, pagkatapos magparehistro sa Authenticator at makumpleto ang kanilang unang pag-login, ay halos palaging gumagamit ng telepono o iba pang mga paraan na walang password, na binabawasan ang paggamit ng password sa mga pambihirang pagkakataon.

Pagpaparehistro ng user sa Authenticator application

Kapag na-enable na ang Microsoft Authenticator bilang isang paraan sa organisasyon, oras na para tugunan ang pagpaparehistro ng end userna maaaring gawin sa dalawang pangunahing paraan: sa pamamagitan ng gabay na pagpaparehistro mula sa pahina ng Impormasyon sa Seguridad o sa pamamagitan ng paggamit ng pansamantalang access pass na ibinigay ng administrator.

Sa karaniwang guided registration, ina-access ng user ang pahina sa isang browser Impormasyon sa seguridad ng iyong accountMag-log in gamit ang iyong kasalukuyang mga kredensyal at piliin ang opsyong Magdagdag ng Paraan. Mula doon, piliin ang "Authenticator app" at sundin ang mga tagubilin upang i-install ito sa iyong device at i-link ang iyong account gamit ang QR code o katulad na pamamaraan.

Kapag nakumpleto na ang prosesong iyon, ang Authenticator ay nakarehistro nang hindi bababa sa bilang Paraan ng MFASa seksyong Impormasyon sa Seguridad ng Account, lilitaw ang isang paraan ng uri ng Microsoft Authenticator, na maaaring "walang password" o "ipasok ang MFA" depende sa kung ano ang pinapayagan at nakarehistro.

Kung nais ng organisasyon na hindi na kailangang gumamit ng password ang user sa simula, maaari itong pumili ng Direktang pagpaparehistro gamit ang pansamantalang access passSa ganitong kaso, bubuo muna ang administrator ng temporary access pass (TAP) para sa user, na nagsisilbing secure na pansamantalang kredensyal para sa unang setup.

Gamit ang pansamantalang access pass na ito, ii-install ng user ang Microsoft Authenticator sa kanilang mobile device, bubuksan ang app, pipili ng Magdagdag ng account, pipili ng work o school account, at magpapatotoo gamit ang tap button sa halip na password. Pagkatapos, kukumpletuhin nila ang mga hakbang na ipinahiwatig ng application para i-activate ang passwordless phone sign-in.

Sa mga kapaligiran kung saan ang serbisyo sa pag-reset ng password sa sariliMaaari ding gamitin ang TAP para mairehistro ng user ang Authenticator bilang paraan ng pag-login nang hindi na kailangang malaman o gumamit ng tradisyonal na password, na nagpapatibay sa ganap na walang password na pamamaraan mula pa noong una.

Paganahin ang pag-login sa telepono sa Authenticator app

Hindi sapat ang pagpaparehistro ng aplikasyon: kailangan ng gumagamit tahasang paganahin ang pag-login sa telepono na walang password para sa bawat account na gusto mong gamitin sa ganoong paraan. Madalas na hindi napapansin ang hakbang na ito, ngunit mahalaga ito.

Para i-activate ito, bubuksan ng user ang Microsoft Authenticator app sa kanilang mobile device at pipiliin ang dating nakarehistrong propesyonal o pang-edukasyon na accountKabilang sa mga magagamit na opsyon, makakakita ka ng katulad ng "I-configure ang mga kahilingan sa pag-login nang walang password" o "Paganahin ang pag-login sa telepono."

Sa pamamagitan ng pagpindot sa opsyong iyon, sisimulan ng application ang isang maikling proseso ng pag-setup na maaaring mangailangan ng kumpirmahin ang pagkakakilanlan ng gumagamit Kabilang dito ang pag-log in gamit ang isang browser, pag-apruba ng isang notification, o pag-validate ng ilang karagdagang impormasyon. Pagkatapos makumpleto ang mga hakbang na ito, mamarkahan ang account bilang karapat-dapat para sa mga pag-login sa telepono na walang password.

Mula sa sandaling iyon, kapag sinubukan ng user na mag-sign in sa Microsoft 365, Entra ID, o anumang integrated application, sa pagpasok ng kanilang username, maaari na nilang piliin ang opsyon na "Aprubahan ang isang kahilingan sa aking Authenticator app"Magpapakita ang website ng isang numero, at hihilingin ng app sa user na piliin ang numerong iyon at kumpirmahin gamit ang PIN o biometrics.

Kapag nagsimula nang mag-log ang user sa ganitong paraan, kadalasan ay panatilihin ang pamamaraang ito ayon sa gustopalaging ipinapakita ang opsyon na aprubahan ang kahilingan sa telepono, bagama't mayroon pa ring posibilidad na pumili ng ibang alternatibong paraan kung kinakailangan.

Para sa mga organisasyong gustong aktibong gabayan ang kanilang mga gumagamit, maaaring magbigay ng panloob na dokumentasyon na nagsasaad na, pagkatapos magparehistro ng Authenticator, dapat nilang i-access ang app at hayagang i-activate ang pag-login sa teleponopara malinaw kung ano ang dapat nilang gawin at mabawasan ang bilang ng mga insidente ng suporta.

Karanasan sa pag-login na walang password para sa gumagamit

Kapag na-configure na ang lahat ng elemento (naka-enable na ang tenant, nakarehistro na ang Authenticator, at na-activate na ang pag-login sa telepono), malaki ang magiging pagbabago sa karanasan ng user. Sa halip na umasa sa isang password, halos palaging ginagamit ng user ang kanilang mobile device at biometrics.

Sa unang tipikal na pagtatangka, isinusulat ng tao ang kanilang username sa panel ng pag-login mula sa Microsoft 365 o sa app na pinag-uusapan at i-tap ang Susunod. Kung hindi ito lumalabas bilang default, maaari mong i-tap ang Iba pang mga paraan para mag-sign in para piliin ang opsyong Aprubahan ang isang kahilingan sa aking Authenticator app.

Ipapakita ng screen ang isang random na numeroHalos sabay-sabay, makakatanggap ang mobile device ng user ng notification mula sa Authenticator na nag-aalerto sa kanila tungkol sa isang tangkang pag-login. Sa pagbukas ng notification, hihilingin ng app sa user na piliin ang tamang numero na ipinapakita sa kanilang PC o browser, na makakatulong upang maiwasan ang mga bulag o mapanlinlang na pag-apruba.

Sa huling hakbang, hihilingin ng sistema sa gumagamit na I-unlock ang iyong device gamit ang iyong PIN, fingerprint, o mukhaAng kombinasyon ng isang bagay na mayroon ka (ang mobile phone) at isang bagay na ikaw ay o alam mo (PIN o biometrics) ay ginagawang mabilang ang authentication bilang matatag na MFA, nang hindi umaasa sa mga code na ipinapadala sa pamamagitan ng SMS o email, na mas mahina.

Pagkatapos ng ilang pagtatangkang mag-login gamit ang pamamaraang ito, karamihan sa mga gumagamit ay napupunta sa nakakalimutan ang iyong password araw-arawdahil ang daloy ng trabaho ng Authenticator ay nagiging natural nilang paraan ng pag-log in sa Office, Teams, OneDrive, o anumang iba pang application na naka-link sa organisasyon.

Kung sakaling kailanganin ang ibang paraan sa anumang kadahilanan (halimbawa, dahil nawala ang mobile phone o naubusan ng baterya), palaging may opsyon na gumamit ng iba pang mga salik sa pagpapatunay Kung pinayagan sila ng administrator: mga passkey, FIDO2 security key, Windows Hello, smart card, o iba pang na-configure na mekanismo.

Pamamahala, kontrol, at mga pangkat na kasangkot sa proyekto nang walang password

Ang pinakarekomendadong paraan upang pamahalaan ang Microsoft Authenticator at ang iba't ibang paraan ng pagpapatotoo ay ang paggamit ng Pag-login sa Patakaran sa Mga Paraan ng Pagpapatotoo ng MicrosoftMula roon, maaaring paganahin o huwag paganahin ng mga administrador ang Authenticator, pati na rin isama o ibukod ang mga partikular na user at grupo.

Sa loob ng direktiba na iyon, maaaring tukuyin ang mga parameter upang makapagbigay ng higit pa konteksto sa mga kahilingan sa pag-loginHalimbawa, ang pagdaragdag ng tinatayang lokasyon o ang pangalan ng application na humihiling ng access, para magkaroon ng karagdagang impormasyon ang user bago i-tap ang Aprubahan o Tanggihan sa kanilang mobile device.

Mula sa pananaw ng organisasyon, mahalaga na ang pangkat ng Pamamahala ng Pagkakakilanlan at Pag-access (IAM) Ang pang-araw-araw na pagsasaayos ay pinangangasiwaan ng pangkat ng Arkitektura ng Seguridad, habang ang pangkat ng Arkitektura ng Seguridad ang nagdidisenyo ng estratehiyang walang password sa loob ng pangkalahatang balangkas ng seguridad. Ang mga Operasyon ng Seguridad, sa bahagi nito, ay sinusubaybayan ang mga kaganapan sa pagpapatunay, iniimbestigahan ang mga potensyal na banta, at nagpapatupad ng mga hakbang sa pagwawasto kapag may natukoy na mga anomalya.

Ang pangkat ng Seguridad at Audit ay responsable para sa patunayan ang pagsunod sa mga panloob at panlabas na regulasyonKabilang dito ang regular na pagsusuri sa mga proseso ng pagpapatunay, pagtatasa ng mga panganib, at pagmumungkahi ng mga pagpapabuti. Ang lahat ng ito ay kinukumpleto ng gawain ng teknikal na suporta, na tumutulong sa mga end user sa kanilang mga unang hakbang sa pagpapatotoo nang walang password at lumulutas sa mga partikular na isyu.

Sa wakas, ang lugar ng mga komunikasyon ng end user Ito ay gumaganap ng isang mahalagang papel. Ang isang pagbabagong kasinghalaga ng pag-abandona sa mga password ay nangangailangan ng malinaw na mensahe: ano ang magbabago, ano ang dapat gawin ng gumagamit, bakit ito mas ligtas, at ano ang gagawin kung mawala nila ang kanilang telepono o magpalit ng device.

Kasabay nito, ang integrasyon ng aplikasyon sa Microsoft Entra ID ay isa pang mahalagang aspeto. Mas maraming aplikasyon (SaaS, LOB, nailathalang on-premises, atbp.) ang maaaring maisama sa Entra ID, mas marami ang maaaring makamit. gamitin ang walang password na pagpapatotoo at maglapat ng kondisyonal na pag-access na mangailangan ng mga pamamaraang lumalaban sa phishing sa pare-parehong paraan.

Mga kilalang problema at limitasyon ng pagpapatotoo nang walang password

Bagama't napakatatag ng modelong walang password, marami pa ring idinodokumento ang Microsoft Mga kilalang problema at paghihigpit na dapat tandaan upang maiwasan ang mga sorpresa habang isinasagawa o sinusuportahan.

Isa sa mga pinakamadalas na kaso ay kapag ang isang gumagamit Hindi mo nakikita ang opsyong mag-log in gamit ang telepono nang walang password sa screen ng pagpapatotoo, kahit na naka-configure na ang Authenticator. Minsan ito ay dahil mayroong nakabinbing beripikasyon sa Authenticator; kung susubukan ng user na mag-log in muli habang ang kahilingang iyon ay nananatiling hindi nasasagot, maaaring ipakita lamang ng system ang opsyon na ilagay ang password.

Ang solusyon sa sitwasyong iyon ay simple: ang gumagamit ay dapat Buksan ang Microsoft Authenticator app sa iyong mobile device at tumugon sa (aprubahan o tanggihan) ang anumang nakabinbing mga notification. Kapag nailabas na ang mga kahilingang ito, ang opsyong "telepono na walang password" ay lilitaw nang normal sa mga susunod na pagtatangka sa pag-login.

Ang isa pang mahalagang limitasyon ay ang luma Direktiba ng AuthenticatorAppSignInPolicy Ito ay lipas na at hindi na sinusuportahan para sa pagkontrol sa Authenticator. Para payagan ang mga push notification o pag-login sa telepono nang walang password, dapat mong palaging gamitin ang patakaran sa Mga Paraan ng Pagpapatotoo, na pinapanatili at ina-update ng Microsoft.

Sa mga environment na may mga federated o hybrid account (halimbawa, sa Active Directory Federation Services, AD FS), kapag pinagana ng isang user ang anumang passwordless credential, papasok ang proseso ng pag-login sa Microsoft Itigil ang paggamit ng parameter na login_hintNangangahulugan ito na hindi na awtomatikong pinipilit ng daloy ang gumagamit sa isang federated login point tulad ng dati.

Karaniwang pinipigilan ng pag-uugaling ito ang isang gumagamit mula sa isang Ire-redirect ang hybrid tenant sa AD FS para ma-validate ang kanilang mga credentials.Ito ay dahil mas pinapaboran ang direktang pagpapatotoo gamit ang mga pamamaraang walang password na sinusuportahan ng Entra ID. Gayunpaman, ang manu-manong opsyon na piliin ang "Gamitin ang password sa halip" ay karaniwang magagamit pa rin kung pinahihintulutan ito ng configuration.

Sa kaso ng mga gumagamit na pinamamahalaan ng isang lokal na tagapagbigay ng pagkakakilanlan Gayunpaman, kahit na naka-enable ang MFA, maaaring makagawa at makagamit lamang ang mga user na ito ng iisang login credential sa telepono na walang password. Kung susubukan nilang i-update ang napakaraming installation ng Authenticator (halimbawa, higit sa limang magkakaibang device) gamit ang parehong password credential, maaaring magkaroon ng mga error kapag sinusubukang magrehistro ng mga bagong instance.

Tulad ng anumang proyekto sa seguridad, ang mga limitasyong ito ay hindi pumipigil sa pag-aampon ng modelong walang password, ngunit nangangailangan ang mga ito... planuhin nang mabuti ang arkitektura ng mga pagkakakilanlanlalo na sa napakalalaki at hybrid na mga organisasyon o iyong mga may espesyal na pangangailangan sa pederasyon at lokal na pagpapatunay.

Sa huli, ang passwordless authentication sa Microsoft Entra ID, lalo na sa Microsoft Authenticator at mga passkey, ay nagbibigay-daan sa mga organisasyon na lubos na mabawasan ang panganib na nauugnay sa mahihina o ninakaw na mga password habang ginagawang mas mabilis at mas maginhawa ang proseso ng pag-login para sa mga user. Sa pamamagitan ng pagsasama-sama ng epektibong mga patakaran sa authentication, conditional access, at mahusay na internal na komunikasyon, ang password ay nagiging hindi gaanong mahalaga, at ang mga mobile, biometrics, at security key ay nagiging pundasyon ng isang mas ligtas at hindi madaling gayahin na pagkakakilanlan.