How to use microsoft authenticator and make apps passwordless

Шаг 2: Удаление существующего сеанса Microsoft Authenticator

Для восстановления кодов из учетной записи Microsoft необходимо, чтобы в вашей учетной записи не было другого телефона. Это означает, что у вас не может быть двух телефонов с вашей учетной записью Microsoft Authenticator, как в некоторых других приложениях для аутентификации.

Если вы не удалите свою учетную запись на предыдущем телефоне, резервная копия будет заменена данными нового телефона, что означает, что вы потеряете все учетные записи, которые были у вас на старом телефоне.

Выполните следующие действия, чтобы удалить любой существующий сеанс вашей учетной записи:

Для пользователей Android:

Для этого вам потребуется выйти из своей учетной записи Microsoft на телефоне с помощью приложения, которое вы использовали ранее.

Если в вашей учетной записи Microsoft настроена двухфакторная аутентификация, вам потребуется приложение для входа, выполните следующие действия, чтобы войти в систему без приложения, потому что у вас нет приложения:

1. Введите свои учетные данные для аутентификации (адрес электронной почты и пароль) на странице входа
2. На странице, требующей проверки с помощью приложения Microsoft Authenticator, щелкните Войти другим способом.Войдите в Microsoft другим способом
3. Это отобразит другие альтернативы, такие как использование вашего номера телефона или адреса электронной почты, связанного с вашей учетной записью.используйте телефон или электронную почту для входа
4. В зависимости от того, какой вариант вы выберете, на ваш адрес электронной почты или номер телефона будет отправлен проверочный код, который затем можно будет использовать для входа в свою учетную запись.
5. После входа перейдите в Страница учетной записи Microsoft и перейдите в раздел устройств, чтобы управлять устройствами, подключенными к вашей учетной записи.Открытие настроек устройства Microsoft
6. Найдите старый телефон на странице «Устройства», щелкните меню устройства и затем «Отмените связь с этим телефоном».
7. Кроме того, перейдите на страницу безопасности учетной записи, перейдите в раздел Дополнительные параметры безопасности и отключите двухфакторную аутентификацию.

Для пользователей iPhone:

Поскольку резервные копии Microsoft Authenticator хранятся в iCloud для пользователей iPhone, единственный способ удалить приложение Microsoft Authenticator с iPhone — это удалить устройство из своей учетной записи iCloud.

Выполните следующие действия, чтобы удалить старый iPhone из iCloud:

1. Перейти к iCloud.com
2. Откройте приложение Find iPhoneменю приложения iCloud
3. Нажмите «Все устройства» на верхней панели и выберите старый iPhone с приложением Microsoft Authenticator. Если iPhone отсутствует в списке устройств, значит, он уже удален из вашей учетной записи, поэтому вам не нужно ничего делать, просто пропустите оставшуюся часть этого раздела и перейдите к разделу восстановления в руководстве.
4. Нажмите на «Стереть iPhone», завершите работу мастера стирания и затем нажмите «Удалить из учетной записи».Удаление iPhone из iCloud

Как объяснить аутентификатор Microsoft

Прежде чем перейти к методу передачи учетных записей с двойной аутентификацией, который включает Microsoft Authenticator, необходимо понять, что представляет собой Microsoft Authenticator:

Microsoft Authenticator — это программа двухфакторной аутентификации. Эта программа обеспечивает дополнительную защиту ваших учетных записей в Интернете в виде приложения.

Вы можете увидеть Microsoft Authenticator при использовании продуктов Microsoft или любых сайтов и приложений, которые используют двухфакторную аутентификацию с одноразовым кодом, основанным на времени. Подразумевается TOTP или OTP.

How to disable two-step verification on Microsoft account

Although it’s not recommended, you can disable 2FA to use the traditional authentication process.

To disable two-step verification, use these steps:

1. (opens in new tab).
2. Sign in with your credentials (as needed).
3. Click the Security tab.
4. Click the Advanced security options tile.

Source: Windows Central (Image credit: Source: Windows Central)

1. Under the «Additional security» section, click the Turn off option.

Source: Windows Central (Image credit: Source: Windows Central)

1. Click the Yes button.

After you complete the steps, you will continue to receive security access codes and when the system detects a security risk.

If you are disabling the security feature, you will also have to update the services you have previously configured with an app password to use the traditional authentication method (password).

Шаг 3. Добавьте свою учетную запись Microsoft в приложение Microsoft Authenticator.

Нажмите «Добавить учетную запись» и выберите тип учетной записи, которую вы добавляете. Если вы хотите добавить личную учетную запись Microsoft, нажмите «Личная учетная запись».

Если на вашем смартфоне или планшете Android уже зарегистрированы какие-либо учетные записи Microsoft, приложение покажет их вам.

Нажмите на учетную запись, для которой вы хотите включить двухэтапную проверку с помощью приложения Microsoft Authenticator . Если учетная запись, которую вы хотите добавить, не отображается, нажмите « Добавить учетную запись».

Введите адрес электронной почты для вашей учетной записи Microsoft и нажмите Далее .

Введите пароль для своей учетной записи Microsoft и нажмите Войти .

На этом этапе, если вы в прошлом настраивали какую-либо форму двухэтапного подтверждения с помощью электронной почты или SMS, вам будет предложено ввести код безопасности. После того, как вы введете его, вам будет показано «Добро пожаловать в телефон!» экран. Вам сообщают, что в следующий раз, когда вы или кто-либо еще войдете в свою учетную запись Microsoft, вы получите уведомление об этом приложении, чтобы подтвердить или отклонить его.

Нажмите «Понял», и все готово. Теперь в приложении отображается учетная запись Microsoft, для которой вы добавили временный двухэтапный код подтверждения.

После установки обновления Windows запрашивает пароль от учетной записи Microsoft

Учетные записи в операционной системе Windows могут быть либо локальными или вход может происходить с использованием учетной записи Microsoft. Первый может быть с паролем или без такового. Тогда как второй – обязательно с паролем. Обновления, которые нагло нам устанавливаются компанией Microsoft, призваны нести улучшения нашей безопасности, предотвращать установку вирусов и других вредоносных программ, а также добавлять новые функции. Но на практике это выглядит очень часто совсем не так…

Попросили недавно настроить компьютер, на котором уже была установлена операционная система Windows 10. Установил офис, мультимедиа проигрыватели, антивирус, просмотрщика файлов PDF и др. Далее установил скайп и создал новую учетную запись. Выключил компьютер. Началось обновление. Лег спать. Встал и включил компьютер, чтобы проверить все ли работает. Обновления продолжилось :). И затянулось не один час.

Наконец компьютер включился и я захотел зайти, введя пароль от локальной учетной записи. Но не была бы это Windows, чтобы не сделать приятного сюрприза.

– Введите номер телефона или адрес электронной почты, который вы указывали при регистрации и пароль.

Вот, что я увидел на экране.

Просто круто. Легли спать с локальным аккаунтом, а встали с неизвестно чем.

Теперь давайте подумаем, как поведет себя обычный пользователь, для которого слова загрузиться с флешки и выполнить определенные операции на компьютере с ней, ничего не говорят. Очень хорошо если при регистрации вы указали простой пароль и запомнили его. Или все свои пароли вы записываете в блокнот. Я, например, для таких целей использую программу KeePass . Программы такого типа еще называют менеджерами паролей. В таком случае остается только одно – выполнить загрузку с флешки и в среде Windows Live запустить программу KeePass. Она, к счастью, имеет портативную версию и запускается практически на всех (говорю по своему опыту) загрузочных флешках с Windows. Открыл программу, записал пароль и вошел в операционную систему. Хотя, если подумать, сколько нужно на это «чудо программного кода» потратить сил, еще остается погадать кто в кого вошел:).

Конечно, можно сбросить пароль. Если у вас в наличии, например планшет или телефон с почтой, указанной при регистрации, то это не займет много времени. А если только один компьютер, то без головной боли не обойтись.

Каков мы с выше написанного делаем вывод? Правильно – при обновлении ОС или установке и регистрации скайпа или другой «заразы» от Microsoft, можно остаться без своей локальной записи и потратить много времени на вход в недавно созданную учетную запись компании Microsoft.

Как говорится – «Будьте бдительны».

Остаться на записи Microsoft или перейти обратно на локальную – это личное дело каждого.

Рассмотрим как вернуться на локальный аккаунт:

Переходим к управлению учетными записями. Для этого открываем: Панель управленияУчетные записи пользователей. Там переходим у: Изменение учетной записи в окне «Параметры компьютера».

Или можно сразу же перейти к параметрам компьютера и приступить к изменению типа учетной записи.

Выбираем «Войти в место этого с локальной учетной записью».

Вводим текущий пароль.

Вводим имя пользователя локальной учетной записи и пароль (если он вам нужен). И подсказку для пароля.

Затем нажимаем «Выйти из системы и закончить работу». При следующей загрузке можно будет зайти с локальным аккаунтом. Я думаю, что до следующего обновления точно:).

Let’s get started!

Please check the important requirements and unsupported scenarios before you start. (Read the full version at )

Requirements

REQUIREMENTS

Device Type	Azure AD joined	Hybrid Azure AD joined
Azure Multi-Factor Authentication	X	X
Combined security information registration preview	X	X
Compatible	X	X
WebAuthN requires Windows 10 version 1903 or higher	X	X
Azure AD joined devices require Windows 10 version 1909 or higher	X
Hybrid Azure AD joined devices require Windows 10 version 2004 or higher		X
Fully patched Windows Server 2016/2019 Domain Controllers.		X
version 1.4.32.0 or later		X
Microsoft Intune (Optional)	X	X
Provisioning package (Optional)	X	X
Group Policy (Optional)		X

Unsupported scenarios

The following scenarios aren’t supported:

• Windows Server Active Directory Domain Services (AD DS) domain-joined (on-premises only devices) deployment.
• RDP, VDI, and Citrix scenarios using a security key.
• S/MIME using a security key.
• “Run as” using a security key.
• Log in to a server using a security key.
• If you haven’t used your security key to sign in to your device while online, you can’t use it to sign in or unlock offline.
• Signing in or unlocking a Windows 10 device with a security key containing multiple Azure AD accounts. This scenario utilizes the last account added to the security key. WebAuthN allows users to choose the account they wish to use.
• Unlock a device running Windows 10 version 1809. For the best experience, use Windows 10 version 1903 or higher.

Prepare devices

1. Azure Active Directory-joined (AADJ) : Azure AD joined devices that you are piloting during the feature preview must run Windows 10 version 1909 or higher.
2. Hybrid Azure Active Directory-joined (Hybrid AADJ): Hybrid Azure AD joined devices must run Windows 10 version 2004 or newer.
3. ATKey.Pro / ATKey.Card: FIDO2 Security Key

Почему вам приходят СМС от Майкрософт с кодом безопасности

Если вам с регулярной частотой начинают приходить СМСки от Майкрософт с цифрами кода безопасности, то это может быть вызвано двумя основными причинами:

1. Кто-то пытается войти в вашу учётную запись Майкрософт. Незапрошенные вами коды безопасности означают, что кто-то пытается войти от вашего имени в систему, но не может пройти процедуру верификации. С целью убедиться, что ваша попытка входа в систему является законной, Майкрософт отправляет вам проверочный код;
2. Выполняется попытка фишинга, направленная на получения доступа к вашей учётной записи в Майкрософт. В таком случае СМС с кодом подтверждения приходят от странного телефонного номера, а в смс кроме кода безопасности может находится ссылка на фейковый сайт Майкрософт. В этом случае код в смс является ненастоящим, и используется для фишинговых целей.

Каждый из этих случаев небезопасен для рядового пользователя. Рекомендуем выполнить комплекс советов, изложенных нами ниже.

Will you delete your Windows 10 password?

Most people within the cybersecurity community I have spoken with about Microsoft flicking this passwordless option switch agree it’s a positive move towards more secure authentication for the average user. No, it isn’t 100% secure but then nothing is. Even taking into account the physical separation of second-factors I mentioned earlier, and the reliance on your smartphone, it’s still a win-win for most people, most of the time. That’s becuase most people don’t have unique, long, complex, random passwords for every account and use a password manager to, well, manage them. That said, if you do, then there’s no real rush to dump your password access route to be honest.

The problem, though, is ensuring those users who would benefit both know the option is available and encouraging them to take it.

MORE FROM FORBESMicrosoft Says You Can Install Windows 11-Here’s Why You Shouldn’tBy null

«Removing a password has been the challenge in technology since accounts were first hacked, so this might be the closest thing yet to combat it,» Straight Talking Cyber video guest this week, and a cyber security specialist at ESET, Jake Moore, says. «Even when attempting to teach people not to reuse passwords, people have tended to form bad habits with their cyber security, and threat actors in multiple cyberattacks have inevitably abused this.»

This passwordless development marks the next step in helping make people more aware of their cyber hygiene, Moore says, «but until it is forced, those who illustrate bad habits using poorly constructed passwords may not partake in the feature and could stay unprotected and attached to their reused password.»

Maybe Microsoft needs to take a leaf out of the Google book, which recently announced it would become mandatory for YouTube creators that monetize their channels to use two-step verification. Yes, I know this isn’t the same as getting rid of passwords, but by forcing the change on users it also dramatically improves their security posture and helps protect them from attack.

Leaving the decision to the user sounds like the right thing to do, of course, but as is the case in the take up of password manager usage (which most everyone agrees is a simple way to improve password security), we know most people won’t bother.

«Less reliance on passwords will dramatically help in the future, and it adds a layer of defence which has been the first line of attack in many circumstances,» Moore says, concluding, «as more people adopt the idea and start to trust it, this might quickly take off leaving password abuse, such as credential stuffing, a thing of the past.»

Откуда мой номер в базе?

Как было сказано выше, номер мог засветиться, если было скачано вирусное приложение содержащее троян. Но в большинстве случаев ваш мобильный уже находится в открытом доступе, как это происходит?

1. Социальные сети. Многие выкладывают различного рода объявления о купле, продаже товаров, оставляя номер на стене или в сообществах соцсети.
2. Такая же история при публикации информации на досках объявлений. Просто кладезь информации с номерами телефонов в общем доступе.
3. Форумы. На многих форумах при регистрации нужен ваш номер, который отображается на странице вашего профиля.
4. Базы номеров. Уже готовые базы, которые есть как в свободном доступе в Интернете так и продаются на том же Авито.

А если я сам регистрируюсь?

Если вы получили смску в процессе регистрации на каком-нибудь сайте, где вводили номер телефона – мог придти код подтверждения, который не несёт никакой угрозы. В этом случае сообщение угрозы не представляет. Если такая рассылка приходит по несколько раз в день, тут надо защитить свои данные, об этом ниже.

Как экспортировать все учетные записи двойной аутентификации на новый телефон

На самом деле не существует способа экспортировать все учетные записи двойной аутентификации и затем импортировать их на новый телефон. Если это не Microsoft Authenticator, а, например, Google Authenticator, вам придется создавать все учетные записи заново, вручную.

Если вы говорите о Microsoft Authenticator, то, к счастью, в этой программе предусмотрена возможность резервного копирования и восстановления.

Обратите внимание, что система 2FA разработана таким образом, что получить доступ к аккаунту, если у вас нет кода 2FA, крайне сложно. Тем не менее, большинство аккаунтов предоставляют резервные коды, которые можно использовать в случае потери или повреждения телефона

Если вы хотите поменять устройство, сначала убедитесь, что у вас есть копия резервных кодов для каждой учетной записи. Это обязательно пригодится, если возникнут проблемы при попытке восстановить учетные записи.

Password-less Authentication with Microsoft Authenticator App

Microsoft offers a Password-less Authentication option to make users
convenient. Using this feature users can logon to the Azure AD account
without using a Password.

You can enable this Password-less Authentication method using the below
options:

• Windows Hello for Business
• Microsoft Authenticator app
• FIDO2 security keys

Here we are going to delve into Password-less Authentication using
Microsoft Authenticator app.

Prerequisites:

• Azure MFA, with push notifications allowed as a verification method
• Install the Microsoft Authenticator app on mobile (The latest
  version of the Microsoft Authentication App installed on IOS 8.0 or
  greater/Android 6.0 or greater)

Microsoft Authenticator app:

Using the Microsoft Authenticator app, users can log into any Azure AD
account without using a password.

After users log in to Azure AD account with their username, rather than
giving their password, they can tap the number in their app, which is
displayed on their login screen (ex.89). User needs to match the exact
number in their mobile app and then click approve to open the Azure AD
account. This happens only the user enables a phone sign-in.

How to Enable Password-less sign-in:

Follow the below steps to enable Password-less sign-in 

• Enable MFA for user
• Install Microsoft Authenticator app
• Enable Password-less sign-in authentication method
• User registration and management of the Microsoft Authenticator app

Enable MFA for user:

The first step is to enable an MFA for user, you can enable MFA from
Microsoft Azure portal → Azure Active Directory → Users → Multi-factor
Authentication

Now select a user and Enable MFA

Enable Password-less sign-in authentication method:

To enable Password-less phone sign-in, follow the steps given below:

1. Sign-in to the Azure portal
2. Go to Azure Active Directory → Security → Authentication methods →
   Authenticated method policy
3. Click Microsoft Authenticator Password-less sign-in → Select Enable
   to Yes → Target—All users/selected users.
4. Click Save.

User registration and management of Microsoft Authenticator app:

1. Sign-in into a User account with MFA

2. And Go to
   https://aka.ms/mysecurityinfo →
   Security info → Add method → Select Authenticator app

3. After the above walk, it shows the QR code,

   Now let’s hop into mobile app to scan this QR code by clicking ADD
   ACCOUNT in mobile app and click next

4. Now select Enable phone sign-in and click continue to link the
   account.

   • Then sign in with username and password
   • It asks to type the code which is sent to your mobile.

   That’s it now we enabled phone sign-in successfully.

   User Experience:

   Now be ready to watch the user activity, how the user is getting
   logged into the portal without giving their password.

   Now Joni Sherman is going to move into their portal

   After entering the Username, it shows a number to tap in mobile app

   Tap the number in the Authenticator app and then click Approve.

   Now you logged into Azure AD successfully.

Previous Post

Next Post

Setting up SSL

The AD
SelfService Plus software uses a Tomcat instance so in order for it to work
properly, you will need to install an SSL certificate.

There are a
number of articles on the ManageEngine site about configuring certificates,
however in order to install a self-signed certificate from my own CA I had to
follow this process.

Log on to the console as admin (the default password is also admin)

Go to Admin
| Product Settings | Connection

Check “Enable SSL port” and click Save

You can
change the default port from 9251 if you wish. After doing this, restart the AD
SelfService Plus service.

Log back in
to the console as admin again (this time you will probably get a security
warning, as the certificate was not issued by a trusted CA)

Return to
Admin | Product Settings | Connection.

Click SSL Certification Tool button.

Fill in the required fields for generating the Certificate Signing Request (CSR)

This will
generate two files – a file called SelfService.csr at \webapps\adssp\Certificates
and a file called SelfService.keystore at \jre\bin (both paths relative
to the software install directory).

Log on to
your Certificate Authority (https://servername/certsrv) and submit the CSR

Request a
Certificate | Advanced Certificate request | Submit a certificate request by
using a base-64-encoded CMC or PKCS #10 file, or submit a renewal request by
using a base-64-encoded PKCS #7 file.

Copy the
contents of the SelfService.csr file into the Saved Request box

Select Web Server from the options for Certificate Template

Click Submit
and then click Yes

Click
Download Certificate to download the certificate in .cer format

Click
Download Certificate Chain to download the certificate in .p7b  format

Place both the files at \jre\bin

Open an elevated
command prompt

Change
directory to \jre\bin

Run the
following commands

keytool
-import -alias tomcat -trustcacerts -file certnew.p7b -keystore
selfservice.keystore

(password is
the password you specified when generating the CSR)

Type ‘y’ or
‘Yes’ afterwards and press Enter

.\keytool
-importkeystore -srckeystore selfservice.keystore -destkeystore
selfservice.keystore -deststoretype pkcs12

(password is
the password you specified when generating the CSR)

keytool
-import -alias tomcat -keystore ..\lib\security\cacerts -file certnew.cer

(password is
changeit)

Type ‘y’ or
‘Yes’ afterwards and press Enter

Copy the SelfService.Keystore
file from \jre\bin to \conf

Back up the
server.xml file

Edit
server.xml (you may need to run Notepad elevated to do this)

Replace both
instances of keystoreFile value with ./conf/SelfService.keystore

Replace both
instances of keystorePass value with the password you specified when
generating the CSR

Delete the
property keystoreType=”PKCS12″

Restart the
AD SelfService Plus service

Log back on to the console. You should now see that your SSL certificate is trusted

Регистрация аккаунта Microsoft на устройстве и вход в систему

Вход в учетную запись Microsoft с Windows Hello на устройстве с Windows 10 осуществляется только с помощью ПИН-кода и биометрии.

При регистрации аккаунта Microsoft на устройстве ПИН-код, идентификатор лица и отпечаток пальца защищаются парой криптографических ключей, которые генерируются аппаратно при наличии TPM 2.0 или программно.

Для регистрации MSA на устройстве требуется , в т.ч. возможна . Сервер Microsoft получает публичный ключ и ассоциирует его с аккаунтом пользователя, таким образом устанавливаются доверительные отношения.

Когда вы смотрите в камеру или проводите пальцем по сканеру отпечатков, полученные данные сверяются с ключами Hello. При успехе вы получаете токен аутентификации на вход в систему и доступ к сервисам с аккаунта компании на этом устройстве.

Как исправить проблему с учетной записью Microsoft в Windows 10

Исправление 1: используйте свой обычный пароль вместо PIN-кода

В Windows 10 вы можете использовать пароль или PIN-код для обеспечения безопасности вашей операционной системы. Но похоже, что многие пользователи предпочитают использовать PIN-код, поскольку его легче и удобнее запомнить по сравнению с длинным паролем.

Однако некоторые люди сообщают, что существует проблема с PIN-кодом, которая приводит к сообщению о проблеме с учетной записью Microsoft. Чтобы избавиться от этого уведомления, вы можете попробовать заменить ПИН-код обычным паролем.

Шаг 1. Перейти к Пуск> Настройки> Учетные записи .

Шаг 2: в Варианты входа окно, перейдите в пароль и нажмите Добавить .

2 рабочих способа исправить неработающие параметры входа в Windows 10 с помощью PIN-кода

Если вы ищете работоспособный способ исправить ошибку неработающих параметров входа в Windows 10 Pin, этот пост — то, что вам нужно. Он покажет вам 2 пути.

Читать больше

Шаг 3. Введите свой пароль два раза и подсказку для пароля, затем нажмите следующий .

Шаг 4: нажмите Конец .

Исправление 2: выйдите из системы и войдите в свою учетную запись

По словам пользователей, иногда бывает полезно выйти из системы и войти в Windows 10, поскольку проблема с учетной записью Microsoft может быть временной ошибкой. Просто попробуй.

Локальная учетная запись Windows 10 или учетная запись Microsoft, какую из них использовать?

В чем разница между локальной учетной записью и учетной записью Microsoft? Вот информация о локальной учетной записи Windows 10 и учетной записи Microsoft.

Читать больше

Исправление 3. Отключите общие впечатления

Это простое решение, чтобы отключить сообщение о проблеме с учетной записью Microsoft. По умолчанию в Windows 10 включена функция «Общие возможности», которая позволяет вашим приложениям на других устройствах, включая подключенные телефоны и планшеты, открываться и отправлять сообщения на этом устройстве.

Как решить проблему с учетной записью Microsoft в Общем опыте? Вот что вам следует делать:

Шаг 1. Перейти к Настройки> Система> Общий опыт .

Шаг 2. Переключите переключатель с На к Выключено .

Исправление 4: удалить учетную запись Microsoft

Что делать, если вы уже отключили общие возможности, но Windows по-прежнему выдает сообщение о проблеме с учетной записью Microsoft? Вам необходимо убедиться, что вы используете локальную учетную запись для входа в Windows 10, и у вас нет учетной записи Microsoft, привязанной к какой-либо электронной почте или приложению.

Шаг 1. Перейти к Настройки> Учетные записи .

Шаг 2: в Электронная почта и учетные записи приложений щелкните свою учетную запись Microsoft под Учетные записи, используемые электронной почтой, календарем и контактами и выберите Управлять .

Шаг 3. Затем нажмите Удалить аккаунт с этого устройства .

Исправление 5: используйте редактор групповой политики

Этот метод работает только в Windows 10 Pro, поскольку домашняя версия не поддерживает редактор групповой политики. Редактируя редактор, вы можете легко отключить сообщение о проблеме с учетной записью Microsoft.

Как легко обновить Windows 10 Home до Pro без потери данных

Хотите обновить Windows 1-Home до Pro, чтобы пользоваться дополнительными функциями? Здесь вам предлагаются два простых метода обновления до Windows 10 Pro.

Читать больше

Шаг 1: введите gpedit.msc в поле поиска и щелкните результат, чтобы войти в главный интерфейс редактора локальной групповой политики.

Шаг 2: перейдите к Конфигурация пользователя> Административные шаблоны> Меню ‘Пуск’ и панель задач> Уведомления .

Шаг 3. Дважды щелкните Отключить всплывающие уведомления и установите флажок Включено .

Шаг 4: Сохраните изменения.

Наконечник:

Why Microsoft is making this change

«Weak passwords are the entry point for the majority of attacks across enterprise and consumer accounts,» wrote (opens in new tab), Microsoft’s corporate vice-president of security, in a company blog post yesterday (Sept. 15). «There are a whopping 579 password attacks every second — that’s 18 billion every year.»

More than 17 years after (opens in new tab), Microsoft has given up trying to get people to create and use strong, unique passwords, Jakkal explained.

«Passwords are incredibly inconvenient to create, remember, and manage across all the accounts in our lives,» he said. «Nearly a third of people say they completely stop using an account or service rather than dealing with a lost password.»

(Tom’s Guide disagrees: Strong, unique passwords aren’t hard to handle as long as you’re using one of the best password managers, some of which are free. We’ll take up this issue with Microsoft privately.)

Thinking beyond passwordless authentication to decentralized identity

Once you have the 3 fundamental passwordless access management mechanisms in place, you should then keep an eye on where Microsoft and the identity industry as a whole are going with decentralized identity. The concept that the user owns and manages their own identity themselves which can be used for work services and their personal services. The user controls all aspects of their identity (in a secure and private method using a decentralized public distributed ledger that doesn’t require them to be an identity and access management expert!). The user proves this identity to your IT systems where you only have to manage what that identity can do within the services you provide to the end-user.

This universally accepted user-owned identity (derived from your identity-based private key stored in a user-friendly digital wallet) is called a DID (Decentralized Identifier). It is something still under development at various working groups like DIF (Decentralized Identity Foundation), but will at some point in the future hopefully become a standard. What the FIDO Alliance has done for more universal and open standards-based passwordless authentication, DIF is doing for identity. So my take away for you is to plan for what you need to do now which is to eliminate password usage by your end-users. Then plan for what you need to do in the future by having convos with your security teams and socializing that someday, Azure Active Directory or whatever identity provider you are using may work very differently when you don’t need to maintain ownership of the user’s identity. Identity will at some point be owned by your users as it rightfully should be. You will be responsible for making sure your IT systems will work with these solutions to ensure your business stays relevant as modern computing continues to evolve at an ever-accelerating rate.

TL;DR

First off, you don’t be lazy, go up and read this. But if you’re short on time…

• Enable two-step verification for your Microsoft account for increased security
• Two-step verification works by requiring a code to be entered in addition to your password
• Codes are generated by either text, call, email, or an authentication app
• Some devices, like your Windows Phone or Xbox, don’t support it yet. You’ll need an app password in place of your regular password for your Microsoft account
• Generate app passwords on account.live.com

This is a lot to take in, but overall things should go smoothly. If you do run into any problems sound off below with questions and the Windows Phone community (you and other commenters) will do the best to help you out.

Configuring the policy

Next we need
to configure a policy for our endpoint MFA

Log on to
the console

Click on
Configuration | Policy Configuration

You can
either create a new policy or edit the default one (which will be named after
the domain)

Select the OUs or Groups that the policy will apply to by clicking the Select OUs/Groups button. I have chosen to apply the policy to an AD group

Click on
Save Policy

Switch to
the Multi-factor Authentication submenu on the left

Select the
policy from the drop-down list and configure your authentication method (we are
choosing Microsoft Authenticator)

Click on Enable Microsoft Authenticator

Switch to
the Authenticator Settings tab

Choose the
policy you are working on

Enable Endpoint MFA and select the second authentication type. Also, select whether you want users to be enable to log in without 2FA if the AD SelfService Plus system is down

Next, click on Access URL and make sure you have switched to HTTPS with the right port number (9251 by default). It is imperative that this change is made before software is deployed to any target endpoints otherwise it will continue to try and connect on the old port.

Click on
Save and then Save Settings

Почему пришло СМС Microsoft?

Система отправляет сообщения во время первого входа на телефон с ОС Windows Phone. Также СМС приходят, когда требуется подтверждение личности владельца аккаунта. Получить СМС можно в случае входа через устройство, которое ранее не использовалось. Использование двухфакторной аутентификации для обеспечения безопасности предполагает, что СМС будут приходить каждый раз для авторизации.

От Microsoft приходит всего 2 типа сообщений:

1. Со ссылкой справки. Вход в операционную систему совершается по номеру, который привязан к учетной записи. На телефон приходит СМС. Защитный код из него помогает пройти автоматическую проверку. Система проверит, что в учетную запись входит ее владелец. Проверка нужна всего однажды, если постоянно не менять устройства, через которые ведется работа.
2. С защитным кодом — более распространенный вид СМС. Сообщение содержит 6-значный код. Оно отмечается формулировкой Microsoft account security code. Цифры нужно внести в появившемся поле для аутентификации.

Ссылки справки не требуют никаких действий от владельца аккаунта. Системные процессы пройдут без участия пользователя. СМС с защитным кодом используют для входа в учетную запись Microsoft. В учетную запись без цифр зайти нельзя.

Сообщения от Microsoft доходят не сразу и не всегда. СМС присылают на основной номер, к которому прикреплена учетная запись. Если в аккаунт не указан телефон, то Microsoft использует другой способ связи. Чаще всего альтернативой является электронная почта. Лучше все же ввести номер и предусмотреть двухфакторная аутентификации для обеспечения безопасности аккаунта.

Microsoft позволяет отключить СМС-рассылки. Тогда защитный код будет приходить в самом приложении, а не в сообщениях или по почте. Там настраивается порядок проверки личности. Windows 10 предполагает использование биометрии — изображения лица или отпечатка пальца. Возможно использование PIN-кода вместо кода безопасности.

Microsoft Authenticator: A False Sense of Security?

As a naturally curious security professional, I am constantly trying out new security services. I decided to enable the Microsoft Authenticator on my personal Microsoft account. Microsoft describes their Authenticator as “More secure. Passwords can be forgotten, stolen, or compromised. With Authenticator, your phone provides an extra layer of security on top of your PIN or fingerprint.”

Almost all digital transformation projects include applications that authenticate users and protect sensitive data, as well as integrating services across multiple channels. Passwords are not secure, as recent data leaks and hacks have shown. Authenticator Apps arose as a result of the need for more secure methods using multi-factor authentication. Google authenticator and Microsoft authenticator are among the top authenticator apps used.

Заключение

Несколько лет назад Microsoft взяла курс на беспарольную аутентификацию и с тех пор следует ему. Windows Hello отлично сочетается с облачными сервисами компании (Azure AD) и даже укрепляет безопасность традиционной инфраструктуры.

Домашним пользователям перепадает с корпоративного стола, но для них беспарольная технология еще не обрела законченный вид. С другой стороны, большинство людей до сих пор использует пароли Qwert321 для всех аккаунтов, сторонится MSA, двухфакторной аутентификации и прочих решений, защищающих учетные записи и личные данные.

Наверное, со временем беспарольные аккаунты станут мейнстримом, но для этого также понадобятся усилия Apple, Google и множества других компаний.