Dela via

Aktivera multifaktorautentisering i Azure Active Directory B2C

Viktigt!

Från och med den 1 maj 2025 är Azure AD B2C inte längre tillgängligt att köpa för nya kunder. Läs mer i våra vanliga frågor och svar.

Innan du börjar använder du väljaren Välj en principtyp överst på den här sidan för att välja den typ av princip som du konfigurerar. Azure Active Directory B2C erbjuder två metoder för att definiera hur användare interagerar med dina program: via fördefinierade användarflöden eller genom fullständigt konfigurerbara anpassade principer. De steg som krävs i den här artikeln skiljer sig åt för varje metod.

Azure Active Directory B2C (Azure AD B2C) integreras direkt med Microsoft Entra multifaktorautentisering så att du kan lägga till ett andra säkerhetslager för registrering och inloggning i dina program. Om du redan har skapat användarflöden för registrering och inloggning kan du fortfarande aktivera multifaktorautentisering.

Med hjälp av den här funktionen kan program hantera flera scenarier, till exempel:

  • Kräver multifaktorautentisering för åtkomst till ett program, men kräver inte åtkomst till ett annat. En kund kan till exempel logga in på en bilförsäkringsapp med ett socialt eller lokalt konto, men måste verifiera telefonnumret innan de kommer åt hemförsäkringsappen som är registrerad i samma mapp.
  • Kräver multifaktorautentisering för att komma åt ett program i allmänhet, men kräver inte att det får åtkomst till känsliga delar i det. En kund kan till exempel logga in på ett bankprogram med ett socialt eller lokalt konto och kontrollera kontosaldot, men måste verifiera telefonnumret innan de försöker överföra banköverföringen.

Förutsättningar

Verifieringsmetoder

Med villkorsstyrd åtkomst kan användare behöva hantera eller inte behöva hantera MFA beroende på de konfigurationsbeslut som du kan fatta som administratör. Metoderna för multifaktorautentisering är:

  • E-post – Under inloggningen skickas ett verifieringsmeddelande som innehåller ett engångslösenord (OTP) till användaren. Användaren tillhandahåller OTP-koden som skickades i e-postmeddelandet till programmet.
  • SMS eller telefonsamtal – Under den första registreringen eller inloggningen uppmanas användaren att ange och verifiera ett telefonnummer. Under efterföljande inloggningar uppmanas användaren att välja alternativet Skicka kod eller Anropa mig . Beroende på användarens val skickas ett sms eller ett telefonsamtal görs till det verifierade telefonnumret för att identifiera användaren. Användaren tillhandahåller antingen OTP-koden som skickas via sms eller godkänner telefonsamtalet.
  • Endast telefonsamtal – fungerar på samma sätt som sms- eller telefonsamtalsalternativet, men endast ett telefonsamtal görs.
  • ENDAST SMS – fungerar på samma sätt som sms- eller telefonsamtalsalternativet, men endast ett sms skickas.
  • Authenticator-appen – TOTP – Användaren måste installera en autentiseringsapp som stöder tidsbaserad engångslösenordsverifiering (TOTP), till exempel Microsoft Authenticator-appen, på en enhet som de äger. Under den första registreringen eller inloggningen genomsöker användaren en QR-kod eller anger en kod manuellt med autentiseringsappen. Under efterföljande inloggningar skriver användaren den TOTP-kod som visas i autentiseringsappen. Se hur du konfigurerar Microsoft Authenticator-appen.

Viktigt!

Authenticator-app – TOTP ger starkare säkerhet än SMS/Telefon och e-post är minst säker. SMS/Phone-baserad multifaktorautentisering medför separata avgifter från den normala prismodellen för Azure AD B2C MAU.

Ange multifaktorautentisering

  1. Logga in på Azure-portalen.

  2. Om du har åtkomst till flera klientorganisationer väljer du ikonen Inställningar på den översta menyn för att växla till din Azure AD B2C-klientorganisation från menyn Kataloger + prenumerationer.

  3. I den vänstra menyn väljer du Azure AD B2C. Eller välj Alla tjänster och sök efter och välj Azure AD B2C.

  4. Välj Användarflöden.

  5. Välj det användarflöde som du vill aktivera MFA för. Till exempel B2C_1_signinsignup.

  6. Välj Egenskaper.

  7. I avsnittet Multifaktorautentisering väljer du önskad typ av metod. Under MFA-tvingande väljer du sedan ett alternativ:

    • Av – MFA framtvingas aldrig under inloggningen och användarna uppmanas inte att registrera sig i MFA under registrering eller inloggning.

    • Alltid på – MFA krävs alltid, oavsett konfiguration av villkorsstyrd åtkomst. Under registreringen uppmanas användarna att registrera sig i MFA. Om användarna inte redan har registrerats i MFA under inloggningen uppmanas de att registrera sig.

    • Villkorsstyrd – Under registrering och inloggning uppmanas användarna att registrera sig i MFA (både nya användare och befintliga användare som inte är registrerade i MFA). Under inloggningen framtvingas MFA endast när en aktiv principutvärdering för villkorsstyrd åtkomst kräver det:

      • Om resultatet är en MFA-utmaning utan risk tillämpas MFA. Om användaren inte redan har registrerats i MFA uppmanas de att registrera sig.
      • Om resultatet är en MFA-utmaning på grund av risk och användaren inte har registrerats i MFA blockeras inloggningen.

    Anmärkning

    • Med allmän tillgänglighet för villkorlig åtkomst i Azure AD B2C uppmanas användarna nu att registrera sig i en MFA-metod under registreringen. Alla registreringsanvändarflöden som du skapade före allmän tillgänglighet återspeglar inte automatiskt det här nya beteendet, men du kan inkludera beteendet genom att skapa nya användarflöden.
    • Om du väljer Villkorsstyrd måste du också lägga till villkorlig åtkomst till användarflöden och ange de appar som du vill att principen ska gälla för.
    • Multifaktorautentisering är inaktiverat som standard för registreringsanvändarflöden. Du kan aktivera MFA i användarflöden med telefonregistrering, men eftersom ett telefonnummer används som primär identifierare är e-post engångslösenord det enda alternativet som är tillgängligt för den andra autentiseringsfaktorn.

  8. Välj Spara. MFA är nu aktiverat för det här användarflödet.

Du kan använda Kör användarflöde för att verifiera upplevelsen. Bekräfta följande scenario:

Ett kundkonto skapas i din klientorganisation innan multifaktorautentiseringssteget inträffar. Under steget uppmanas kunden att ange ett telefonnummer och verifiera det. Om verifieringen lyckas kopplas telefonnumret till kontot för senare användning. Även om kunden avbryter eller hoppar av kan kunden uppmanas att verifiera ett telefonnummer igen under nästa inloggning med multifaktorautentisering aktiverat.

Om du vill aktivera multifaktorautentisering hämtar du startpaketet för anpassad princip från GitHub på följande sätt:

  • Ladda ned .zip-filen eller klona lagringsplatsen från https://github.com/Azure-Samples/active-directory-b2c-custom-policy-starterpackoch uppdatera sedan XML-filerna i Startpaketet SocialAndLocalAccountsWithMFA med ditt Azure AD B2C-klientnamn. SocialAndLocalAccountsWithMFA möjliggör sociala och lokala inloggningsalternativ och alternativ för multifaktorautentisering, förutom alternativet Authenticator-appen – TOTP.
  • Om du vill stödja alternativet Authenticator-appen – TOTP MFA laddar du ned filerna för anpassade principer från https://github.com/azure-ad-b2c/samples/tree/master/policies/totpoch uppdaterar sedan XML-filerna med ditt Azure AD B2C-klientnamn. Se till att inkludera TrustFrameworkExtensions.xml, TrustFrameworkLocalization.xmloch TrustFrameworkBase.xml XML-filer från startpaketet SocialAndLocalAccounts .
  • Uppdatera [sidlayouten] till version 2.1.14. Mer information finns i Välj en sidlayout.

Registrera en användare i TOTP med en autentiseringsapp (för slutanvändare)

När ett Azure AD B2C-program använder TOTP-alternativet för MFA måste slutanvändarna använda en autentiseringsapp för att generera TOTP-koder. Användare kan använda Microsoft Authenticator-appen eller någon annan autentiseringsapp som stöder TOTP-verifiering. Om du använder Microsoft Authenticator-appen måste en Azure AD B2C-systemadministratör råda slutanvändarna att konfigurera Microsoft Authenticator-appen med hjälp av följande steg:

  1. Ladda ned och installera Microsoft Authenticator-appen på din mobila Android- eller iOS-enhet.
  2. Öppna Azure AD B2C-programmet som kräver att du använder TOTP för MFA, till exempel Contoso-webbapp, och logga sedan in eller registrera dig genom att ange nödvändig information.
  3. Om du uppmanas att registrera ditt konto genom att skanna en QR-kod med hjälp av en autentiseringsapp öppnar du Microsoft Authenticator-appen i din telefon och i det övre högra hörnet väljer du den 3-streckade menyikonen (för Android) eller + menyikonen (för iOS).
  4. Välj + Lägg till konto.
  5. Välj Annat konto (Google, Facebook osv.) och sök sedan igenom QR-koden som visas i Azure AD B2C-programmet för att registrera ditt konto. Om du inte kan skanna QR-koden kan du lägga till kontot manuellt:
    1. I Microsoft Authenticator-appen på din telefon väljer du ELLER ANGER KOD MANUELLT.
    2. I Azure AD B2C-programmet väljer du Fortfarande har problem?. Då visas kontonamn och hemlighet.
    3. Ange kontonamn och hemlighet i din Microsoft Authenticator-app och välj sedan SLUTFÖR.
  6. I Azure AD B2C-programmet väljer du Fortsätt.
  7. I Ange din kod anger du koden som visas i din Microsoft Authenticator-app.
  8. Välj Verifiera.
  9. Under efterföljande inloggning till programmet skriver du koden som visas i Microsoft Authenticator-appen.

Läs mer om OATH-programvarutoken

Ta bort en användares TOTP-autentiseringsregistrering (för systemadministratörer)

I Azure AD B2C kan du ta bort en användares TOTP-autentiseringsappregistrering. Användaren tvingas sedan registrera sitt konto igen för att använda TOTP-autentisering igen. Om du vill ta bort en användares TOTP-registrering kan du använda antingen Azure-portalen eller Microsoft Graph-API:et.

Anmärkning

  • Om du tar bort en användares TOTP-autentiseringsappregistrering från Azure AD B2C tas inte användarens konto bort i TOTP-autentiseringsappen på enheten. Systemadministratören måste instruera användaren att manuellt ta bort sitt konto från TOTP-autentiseringsappen på sin enhet innan de försöker registrera sig igen.
  • Om användaren av misstag tar bort sitt konto från TOTP-autentiseringsappen måste de meddela en systemadministratör eller appägare som kan ta bort användarens TOTP-autentiseringsregistrering från Azure AD B2C så att användaren kan registrera sig igen.

Ta bort TOTP-autentiseringsappregistrering med azure-portalen

  1. Logga in på Azure-portalen.
  2. Om du har åtkomst till flera klientorganisationer väljer du ikonen Inställningar på den översta menyn för att växla till din Azure AD B2C-klientorganisation från menyn Kataloger + prenumerationer.
  3. I den vänstra menyn väljer du Användare.
  4. Sök efter och välj den användare som du vill ta bort TOTP-autentiseringsappregistreringen för.
  5. I den vänstra menyn väljer du Autentiseringsmetoder.
  6. Under Användbara autentiseringsmetoder letar du upp SOFTWARE OATH-token och väljer sedan ellipsmenyn bredvid den. Om du inte ser det här gränssnittet väljer du alternativet "Växla till den nya användarautentiseringsmetoderna! Klicka här om du vill använda den nu" för att växla till den nya autentiseringsmetoderna.
  7. Välj Ta bortoch välj sedan Ja för att bekräfta.

Skärmbild av sidan Autentiseringsmetoder i Azure-portalen med menyalternativet Autentiseringsmetoder, autentiseringsmetod för OATH-token för programvara och knappen Ta bort markerad

Ta bort TOTP-autentiseringsappregistrering med hjälp av Microsoft Graph API

Lär dig hur du tar bort en användares autentiseringsmetod för OATH-token för programvara med hjälp av Microsoft Graph API.

SMS-prisnivåer efter land/region

Följande tabell innehåller information om de olika prisnivåerna för SMS-baserade autentiseringstjänster i olika länder eller regioner. Prisinformation finns i Priser för Azure AD B2C.

SMS är en tilläggsfunktion och kräver en länkad prenumeration. Om din prenumeration upphör att gälla eller avbryts kommer slutanvändarna inte längre att kunna autentisera med SMS, vilket kan blockera dem från att logga in beroende på din MFA-princip.

Nivå Länder/Regioner
Låg kostnad för telefonautentisering Australien, Brasilien, Brunei, Kanada, Chile, Kina, Colombia, Cypern, Nordmakedonien, Polen, Portugal, Sydkorea, Thailand, Türkiye, USA
Telefonautentisering medel-låg kostnad Grönland, Albanien, Amerikanska Samoa, Österrike, Bahamas, Bahrain, Bosnien & Hercegovina, Botswana, Costa Rica, Tjeckien, Danmark, Estland, Färöarna, Finland, Frankrike, Grekland, Hongkong SAR, Ungern, Island, Irland, Italien, Japan, Lettland, Litauen, Luxemburg, Macao SAR, Malta, Mexiko, Mikronesien, Moldavien, Namibia, Nya Zeeland, Nicaragua, Norge, Rumänien, São Tomé och Príncipe, Seychellerna, Singapore, Slovakien, Salomonöarna, Spanien, Spanien, Sverige, Schweiz, Taiwan, Storbritannien, Amerikanska Jungfruöarna, Uruguay
Telefonautentisering – medelhög kostnad Andorra, Angola, Anguilla, Antarktis, Antigua och Barbuda, Argentina, Armenien, Aruba, Barbados, Belgien, Benin, Bolivia, Bonaire, Curaçao, Saba, Sint Eustatius och Sint Maarten, Brittiska Jungfruöarna, Bulgarien, Burkina Faso, Kamerun, Caymanöarna, Centralafrikanska republiken, Cooköarna, Elfenbenskusten, Kroatien, Diego Garcia, Djibouti, Dominikanska republiken, Ecuador, El Salvador, Eritrea, Falklandsöarna, Fiji, Franska Guyana, Franska Polynesien, Gambia, Georgien, Tyskland, Gibraltar, Grenada, Guadeloupe, Guam, Guinea, Guyana, Honduras, Indien, Kenya, Kiribati, Laos, Liberia, Malaysia, Marshallöarna, Martinique, Mauritius, Monaco, Montenegro, Montserrat, Nederländerna, Nya Kaledonien, Niue, Oman, Palau, Panama, Paraguay, Peru, Puerto Rico, Réunion, Rwanda, Saint Helena, Ascension och Tristan de Cunha, Saint Kitts och Nevis, Saint Lucia, Saint Pierre och Miquelon, Saint Vincent och Grenadinerna, Saipan, Samoa, San Marino, Saudiarabien, Sint Maarten, Slovenien, Sydafrika, Sydsudan, Surinam, Eswatini, Timor-Leste, Tokelau, Tonga, Turks och Caicosöarna, Tuvalu, Förenade Arabemiraten, Vanuatu, Venezuela, Vietnam, Wallis och Futuna
Hög kostnad för telefonautentisering Liechtenstein, Bermuda, Cabo Verde, Kambodja, Demokratiska republiken Kongo, Dominica, Egypten, Ekvatorialguinea, Ghana, Guatemala, Guinea-Bissau, Israel, Jamaica, Jamaica, Kosovo, Lesotho, Maldiverna, Mali, Mauretanien, Marocko, Moçambique, Papua Nya Guinea, Filippinerna, Qatar, Sierra Leone, Trinidad & Tobago, Ukraina, Zimbabwe, Afghanistan, Algeriet, Azerbajdzjan, Bangladesh, Vitryssland, Belize, Bhutan, Burundi, Tchad, Komorerna, Kongo, Etiopien, Gabonese Republic, Haiti, Indonesien, Irak, Jordanien, Kuwait, Kirgizistan, Libanon, Libyen, Madagaskar, Malawi, Mongoliet, Myanmar, Nauru, Nepal, Niger, Nigeria, Pakistan, Palestinska nationella myndigheten, Ryssland, Senegal, Serbien, Somalia, Sri Lanka, Sudan, Tadzjikistan, Tanzania, Toggoliska republiken, Tunisien, Turkmenistan, Uganda, Uzbekistan, Jemen, Zambia

Nästa steg