问:我收到提示,要求我授予应用访问我位置的权限。 我为什么看到这个?
答:如果 IT 管理员创建了一个策略,要求你在允许访问特定资源之前共享 GPS 位置,则会看到来自Authenticator应用的提示,要求访问你的位置。 你需要每小时共享一次位置,以确保你仍处于允许访问资源的国家/地区。
iOS时,Microsoft 建议允许应用始终访问位置。 按照iOS提示授予该权限。 下面是每个权限级别对你的意义:
-
使用应用时允许:如果选择此选项,系统会提示你再选择两个选项。
-
始终允许 (建议的) :虽然你仍在访问受保护的资源,但在接下来的 24 小时内,你的位置将每小时从设备以无提示方式共享一次,因此无需拿出手机并每小时手动批准一次。
-
仅在使用时保留:当您仍在访问受保护的资源时,需要每小时退出设备并手动批准请求。
-
允许一次:每小时一次仍要访问资源,或者下次尝试访问资源时,需要再次授予权限。 需要转到设置并手动启用权限。
-
不允许:如果选择此选项,将阻止你访问资源。 如果改变主意,则需要转到设置并手动启用权限。
Android时,Microsoft 建议允许应用一直访问位置。 按照Android提示授予该权限。 下面是每个权限级别对你的意义:
-
允许所有时间 (建议的) :虽然你仍在访问受保护的资源,但在接下来的 24 小时内,你的位置将每小时从设备以无提示方式共享一次,因此无需拿出手机并每小时手动批准一次。
-
仅在使用应用时允许:尽管你仍在访问受保护的资源,但每小时都需要提取设备并手动批准请求。
-
拒绝,不要再问:如果选择此选项,将阻止你访问资源。
问:如何使用和存储我的位置信息?
答:Authenticator应用收集 GPS 信息,以确定你所在的国家/地区。 将国家/地区名称和位置坐标发送回系统,以确定是否允许你访问受保护的资源。 国家/地区名称会存储并报告回 IT 管理员,但实际坐标永远不会保存或存储在 Microsoft 服务器上。
问:我尝试登录,我需要在应用中选择登录屏幕上显示的数字,但来自Authenticator的通知提示阻止了屏幕。 我该怎么办?
答:选择通知上的“我看不到数字”选项,以便可以看到登录屏幕和需要选择的数字。 提示在 3 秒后重新出现,然后可以选择正确的数字。
问:注册设备是否同意授予公司或服务对我的设备的访问权限?
答:注册设备可让你的设备访问组织的服务,并且不允许组织访问你的设备。
问:我无法将工作或学校帐户添加到Android上的Microsoft Authenticator应用,我收到以下错误之一:“Google Play 服务目前在此设备上不可用”、“很抱歉,仅部分设置已成功完成”或“启用推送通知以接收警报”。
问:尝试添加帐户时,会收到一条错误消息,指出“您尝试添加的帐户目前无效。 请联系管理员解决此问题 (唯一性验证) 。” 我该怎么做?
答:联系管理员,让他们知道,由于唯一性验证问题,无法将帐户添加到Authenticator。 你需要提供登录用户名,以便管理员可以在组织中查找你。
旧版 Apple 推送通知接口已弃用
答:用将二进制接口用于iOS设备的推送通知,例如电话因子使用的推送通知。 若要继续接收推送通知,建议用户将其Authenticator应用更新为最新版本的应用。 在此期间,可以通过手动检查Authenticator应用中的通知来解决此问题。
问:什么是应用锁,如何使用它来帮助我更安全?
答:应用锁定有助于使一次性验证代码、应用信息和应用设置更安全。 启用应用锁定后,每次打开Authenticator时,都会要求你使用设备 PIN 或生物识别进行身份验证。 应用锁定还有助于确保你是唯一一个能够通过提示你在批准登录通知时输入 PIN 或生物识别来批准通知的人。 可以在Authenticator 设置页上打开或关闭应用锁定。 默认情况下,在设备上设置 PIN
或生物识别时,应用锁处于打开状态。
遗憾的是,不能保证应用锁会阻止某人访问Authenticator。 这是因为设备注册可能发生在Authenticator以外的其他位置,例如Android帐户设置或公司门户应用中。
问:我有一个Windows移动设备,Windows移动版上的Authenticator已被弃用。 是否可以继续使用应用进行身份验证?
答:2020年7月15日之后,Windows移动版上使用Authenticator的所有身份验证都将停用。 强烈建议使用备用身份验证方法,以避免被锁定在帐户外。
企业用户的备用选项包括:
个人 Microsoft 帐户用户的备用选项包括:
答:从Authenticator Android版本 6. 开始,默认情况下,每当拍摄Authenticator的屏幕截图时,所有 OTP 代码都会被隐藏。 如果想要在屏幕截图中查看 OTP 代码或允许其他应用捕获Authenticator屏幕,则可以。 只需在Authenticator中打开屏幕捕获设置,然后重新启动应用。
问:Authenticator代表我收集和存储哪些数据,如何删除此数据?
答:Authenticator应用收集三种类型的信息:
-
添加帐户时提供的帐户信息。 添加帐户后,根据为帐户启用的功能,帐户数据可能会同步到应用。 此数据存储在设备上,可以通过删除帐户来删除。
-
非个人身份的使用情况数据,例如聚合有关成功添加帐户流的次数或批准或拒绝的身份验证请求数的数据。 此数据是我们工程决策不可或缺的一部分,因为它有助于我们确保应用的安全和最新。 首次使用应用时,会看到此数据收集的通知。 还可以通过打开应用设置页上的“使用情况数据”切换按钮来共享其他非个人使用情况数据。 使用此数据,我们的工程师可以以对你很重要的方式改进应用。
可以随时打开或关闭此设置。
-
诊断日志数据仅保留在应用中,直到在应用的顶部菜单中选择“ 发送反馈 ”以将日志发送到 Microsoft。 这些日志可以包含个人数据,例如电子邮件地址、服务器地址或 IP 地址。 它们还可以包含设备数据,例如设备名称和操作系统版本。 收集的任何个人数据都仅限于帮助排查应用问题所需的信息。 可以随时在应用中浏览这些日志文件,查看正在收集的信息。
如果发送日志文件,Authenticator应用工程师将仅使用它们来排查客户报告的问题。
有关详细信息,请查看 。
问:应用中的代码有哪些用?
答:打开Authenticator时,你将看到添加的帐户作为磁贴。 工作或学校帐户以及你的个人 Microsoft 帐户将在帐户的全屏视图中显示六到八位数的数字, (通过点击帐户磁贴) 进行访问。 对于其他帐户,你将在应用的“帐户”页中看到一个六、八位数字。
你将使用这些代码作为一次性密码来验证你是否是谁。 使用用户名和密码登录后,将键入与该帐户关联的验证码。 例如,如果是 Katy 登录到 Contoso 帐户,则会点击帐户磁贴,然后使用验证码895823。 对于Outlook帐户,你将执行相同的步骤。
点击 Contoso 帐户磁贴后,验证码在全屏中可见。
问:为什么我的帐户磁贴灰显和不活动?
答:某些组织要求Authenticator使用单一登录并保护组织资源。 在这种情况下,该帐户不用于双重验证,并且显示为灰色或非活动状态。 此类帐户通常称为“broker”帐户。
答:组织可能需要注册设备以跟踪对受保护资源(如文件和应用)的访问权限。 它们还可能会启用条件访问,以降低对这些资源进行不必要的访问的风险。 你可以在设置中注销设备,但可能会失去对Outlook中的电子邮件、OneDrive中的文件的访问权限,并且你将无法使用电话登录。
问:是否需要连接到 Internet 或网络才能获取和使用验证码?
答:这些代码不需要在 Internet 上或连接到数据,因此不需要电话服务即可登录。 此外,由于应用关闭后会立即停止运行,因此不会耗尽电池。
问:为什么我只在应用打开时收到通知? 当应用关闭时,我将不会收到通知。
答:如果收到通知,但未收到警报,即使已打开响铃器,也应检查应用设置。 确保应用已启用以使用声音或振动通知。 如果根本未收到通知,应检查以下条件:
-
你的手机是否处于“不打扰”或“安静”模式? 这些模式可以阻止应用发送通知。
-
是否可以从其他应用获取通知? 如果没有,则可能是手机上的网络连接或来自 Android 或 Apple 的通知通道出现问题。 可以尝试通过手机设置来解析网络连接。 可能需要与服务提供商联系以帮助Android或 Apple 通知频道。
-
是否可以获取应用上某些帐户的通知,但不能获取其他帐户的通知? 如果是,请从应用中删除有问题的帐户,再次添加该帐户以允许通知,并查看该帐户是否修复了问题。
如果尝试了所有这些步骤,但仍遇到问题,建议发送日志文件进行诊断。 打开应用,转到应用的顶级菜单,然后选择 “发送反馈”。 之后,转到,告诉 Microsoft 你看到的问题以及你尝试的步骤。
问:我在应用中使用验证码,但如何切换到推送通知?
答:如果管理员) 或个人 Microsoft 帐户允许,可以为工作或学校帐户 (设置通知。 通知不适用于第三方帐户,如 Google 或 Facebook。
若要将个人帐户切换到通知,必须将设备重新注册到该帐户。 转到“添加帐户”,选择“个人 Microsoft 帐户”,然后使用用户名和密码登录。
对于工作或学校帐户,组织决定是否允许一键式通知。
问:我已获取新设备或从备份还原了设备。 如何实现再次在Authenticator中设置我的帐户?
答:如果在旧设备上启用了云备份,则可以使用旧备份在新iOS或Android设备上恢复帐户凭据。 有关详细信息,请参阅。
问:我丢失了设备或已转移到新设备。 如何实现确保通知不会继续转到我的旧设备?
答:将Authenticator添加到新设备不会自动从旧设备中删除应用。 即使从旧设备中删除应用也是不够的。 必须同时从旧设备中删除应用,并告知 Microsoft 或组织忘记和注销旧设备。
问:如何实现从应用中删除帐户?
答:点击要从应用中删除的帐户的帐户磁贴以查看帐户全屏。 点击“删除帐户”以从应用中删除帐户。
如果你的设备已注册到组织,则可能需要执行额外的步骤来删除帐户。 在这些设备上,Authenticator自动注册为设备管理员。 若要完全卸载应用,需要先在应用设置中注销应用。
问:为什么应用请求这么多权限?
答:下面是可能要求的权限的完整列表,以及应用如何使用这些权限。 你看到的特定权限将取决于你拥有的电话类型。
-
定位。 有时,组织希望在允许你访问某些资源之前知道你的位置。 仅当组织具有需要位置的策略时,应用才会请求此权限。
-
使用生物识别硬件。 每当验证身份时,某些工作和学校帐户都需要额外的 PIN。 应用需要你同意使用生物识别或面部识别,而不是输入 PIN。
-
相机。 用于在添加工作、学校或非 Microsoft 帐户时扫描 QR 代码。
-
联系人和电话。 应用需要此权限才能在手机上搜索工作或学校 Microsoft 帐户,并将其添加到应用中。
-
短信。 用于确保首次使用个人 Microsoft 帐户登录时电话号码与记录中的号码匹配。 我们将一条短信发送到你在其中安装了包含 6-8 位验证码的应用的手机。 无需查找此代码并输入它,因为Authenticator会在短信中自动找到它。
-
绘制其他应用。 用于验证标识的通知也会显示在任何其他正在运行的应用上。
-
-
防止手机睡觉。 如果向组织注册设备,组织可以在手机上更改此策略。
-
控制振动。 每当收到验证标识的通知时,可以选择是否想要振动。
-
使用指纹硬件。 每当验证身份时,某些工作和学校帐户都需要额外的 PIN。 为了简化过程,我们允许你使用指纹,而不是输入 PIN。
-
-
读取存储的内容。 仅当通过应用设置报告技术问题时,才使用此权限。 从存储中收集一些信息来诊断问题。
-
完全网络访问。发送通知以验证标识需要此权限。
-
在启动时运行。 如果重启手机,此权限可确保继续接收通知以验证身份。
在不解锁的情况下批准请求
问:为什么Authenticator允许你在不解锁设备的情况下批准请求?
答:无需解锁设备即可批准验证请求,因为只需证明你拥有手机即可。 双重验证需要证明两件事——一件你知道的事情,一件你拥有的东西。 你知道的是你的密码。 你拥有的是手机 (Authenticator设置并注册为双重验证证明。) 因此,拥有电话并批准请求符合第二步验证的条件。
问:为什么收到有关帐户活动的通知?
答:每当对个人 Microsoft 帐户进行更改时,活动通知将立即发送到Authenticator,这有助于确保你更安全。 我们之前仅通过电子邮件和短信发送了这些通知。 有关这些活动通知的详细信息,请参阅情况。 若要更改收到通知的位置,请使用帐户”。
答:2020年2月28日之后,所有Windows移动操作系统的Authenticator将不受支持。 用户将无法在上述日期帖子接收应用的任何新更新。 2020 年 2 月 28 日之后,目前支持在所有Windows移动操作系统上使用Authenticator应用进行身份验证的Microsoft 服务将开始停用其支持。 为了向Microsoft
服务进行身份验证,我们强烈建议所有用户在此日期之前切换到备用身份验证机制。
问:使用iOS附带的默认邮件应用登录到我的工作或学校帐户时,系统会提示Authenticator提供安全验证信息。 输入该信息并返回到邮件应用后,会收到错误。 我可以做什么?
答:这很可能是因为登录和邮件应用发生在两个不同的应用中,导致初始后台登录过程停止工作并失败。 若要尝试解决此问题,建议在登录到邮件应用时选择屏幕右下角的 Safari 图标。 通过移动到 Safari,整个登录过程在单个应用中发生,使你能够成功登录到应用。
问:我尝试登录到iOS应用,需要批准Authenticator应用上的通知。 当我回到iOS应用时,我陷入了困境。 我可以做什么?
答:这是iOS 13+ 上的已知问题。 当你尝试登录到应用程序或服务,并且收到iOS Authenticator应用的通知并批准时,会发生这种情况。 然后,当你返回到正在登录的应用程序或服务时,服务仍在等待应用的批准。 这是因为连接正在登录的服务的网络终止,并且无法从Authenticator接收登录批准,从而创建循环。
如果出现这种情况,请联系支持管理员以获取帮助,并提供以下详细信息: 使用 Azure MFA (Azure 多重身份验证) ,而不是 MFA 服务器。.
问:为何无法批准或拒绝Apple Watch上的通知?
答:首先,请确保已在iPhone上升级到 Authenticator 版本 6.0.0 或更高版本。 之后,打开Apple Watch上的Authenticator应用,并在其下方查找具有“设置”按钮的任何帐户。 完成设置过程以批准这些帐户的通知。
问:为什么批准或拒绝登录会话在我的 Apple 手表上失败?
答:有时,批准或拒绝watchOS会话失败,并显示错误消息“无法与电话通信。 请确保在将来的请求期间保持监视屏幕清醒。 有关详细信息,请参阅常见问题解答。 在这些情况下,watchOS无法与手机建立连接,Apple 也意识到了这个问题。 同时,需要Authenticator watchOS应用的任何通知都应改为在手机上获得批准。
问:Apple 手表不支持哪些通知?
答:Apple watch 不支持某些Authenticator通知。 这些通知包括数字匹配、企业帐户的无密码登录以及企业帐户的基于位置的访问通知。 对于这些不受支持的通知,显示的消息将显示为“监视时不支持请求类型”。 打开手机以获得批准。
问:Apple Watch和手机之间出现通信错误。 如何进行故障排除?
答:当 Watch 屏幕在完成与手机的通信之前进入睡眠状态时,会发生此错误。 如果安装过程中发生错误,请尝试再次运行安装程序,确保在完成此过程之前保持 Watch 保持清醒状态。 同时,在手机上打开应用并响应出现的任何提示。 如果手机和监视器仍未通信,可以尝试以下操作:
-
-
-
-
按住侧边按钮,直到出现“关闭”屏幕。
-
释放侧边按钮并按住Digital Crown以强制退出活动应用。
-
关闭手机和手表的蓝牙和Wi-Fi,然后重新打开。
-
如果尝试批准通知时发生错误,请使Apple Watch屏幕上的屏幕保持清醒状态,直到请求完成,并听到指示它成功的声音。
答:如果应用未显示在 Watch 上,请尝试以下操作:
-
-
问:我的Apple Watch配套应用崩溃。 是否可以向你发送我的故障日志,以便你可以进行调查?
答:首先必须确保已选择与我们共享分析。 如果你是TestFlight用户,则已注册。 否则,可以转到设置> 隐私 >分析,并选择“共享iPhone &监视分析”和“与应用开发人员共享”选项。
注册后,可以尝试重现故障,以便将故障日志自动发送给 Microsoft 服务专家进行调查。 但是,如果无法重现故障,可以手动复制日志文件并将其发送给我们。
-
在手机上打开“监视”应用,转到设置> “常规”,然后单击“复制监视分析”。
-
在设置> “隐私 ”>分析 >分析数据下查找相应的崩溃,然后复制其文本内容。
-
在手机上打开Authenticator,并将步骤 2 中复制的文本粘贴到“在”发送反馈“页上”描述你遇到的问题“框中。
答:Authenticator应用现在可以安全地在手机上访问的应用和网站上存储和自动填充密码。 可以使用自动填充在iOS和Android设备上同步和自动填充密码。 在手机上将Authenticator应用设置为自动填充提供程序后,它提供在网站或应用登录页中输入密码时保存密码。 密码作为的一部分保存,并且在使用个人 Microsoft 帐户登录Microsoft Edge时也可用。
答:Authenticator可以在手机上访问的网站和应用上自动填充用户名和密码。
问:如何实现在手机上的Authenticator中启用密码自动填充?
-
-
在Authenticator的“密码”选项卡上,选择“使用 Microsoft 登录并使用 登录”。 此功能目前仅支持 Microsoft 帐户,尚不支持工作或学校帐户。
问:如何实现使Authenticator手机上的默认自动填充提供程序?
-
-
在应用内的“密码”选项卡上,选择“使用 Microsoft 登录并使用 Microsoft 帐户登录”。
-
问:如果自动填充在设置中不可用,该怎么办?
答:如果自动填充在Authenticator中不可用,可能是因为尚未允许组织或帐户类型进行自动填充。 可以在未添加工作或学校帐户的设备上使用此功能。 若要详细了解如何为组织允许自动填充,请参阅 。
问:如何实现停止同步密码?
答:若要停止在Authenticator应用中同步密码,请打开设置> 自动填充设置>同步帐户。 在下一个屏幕上,可以选择“停止同步”并删除所有自动填充数据。 这将从设备中删除密码和其他自动填充数据。 删除自动填充数据不会影响双重验证。
问:我的密码如何受Authenticator应用的保护?
答:Authenticator应用已经为双重验证和帐户管理提供了高度的安全性,并且相同的高安全栏也扩展到管理密码。
-
-
自动填充数据受生物识别和密码保护:在应用或站点上自动填充密码之前,Authenticator需要生物识别或设备密码。 这有助于添加额外的安全性,以便即使其他人有权访问你的设备,他们也不能填写或查看你的密码,因为他们无法提供生物识别或设备 PIN 输入。 此外,用户无法打开“密码”页,除非他们提供生物识别或 PIN,即使他们在应用设置中关闭应用锁定。
-
设备上的密码是加密的:设备上的密码是加密的,加密/解密密钥永远不会存储,并且始终在需要时生成。 仅当用户想要(即在自动填充期间或用户想要查看密码时)才解密密码,这两者都需要生物识别或 PIN。
-
云和网络安全:仅当云中的密码到达你的设备时,才会对这些密码进行加密和解密。 密码通过受 SSL 保护的 HTTPS 连接进行同步,这有助于防止攻击者在同步敏感数据时对其进行窃听。 我们还确保我们使用加密哈希函数(特别是基于哈希的消息身份验证代码 () )检查通过网络同步的数据的完整性。
IT 管理员的自动填充
问:我的员工或学生是否可以在Authenticator应用中使用密码自动填充?
答:是的,即使将工作或学校帐户添加到Authenticator应用,个人 的自动填充现在也适用于大多数企业用户。 可以填写一个表单,允许或拒绝组织自动填充,并。 自动填充当前不可用于工作或学校帐户。
问:用户的工作或学校帐户密码是否会自动同步?
答:没有。 密码自动填充不会同步用户的工作或学校帐户密码。 当用户访问网站或应用时,Authenticator将提供保存该站点或应用的密码,并且仅在用户选择保存密码时才保存密码。
问:是否只能将组织中的某些用户添加到自动填充允许列表?
答:没有。 企业目前只能为所有员工或无一员工启用密码自动填充。
问:如果我的员工或学生有多个工作或学校帐户,该怎么办? 例如,我的员工在其Authenticator应用中拥有来自多个企业或学校的帐户。
答:在Authenticator应用中添加的所有企业或学校都需要在Authenticator中允许列出自动填充,以便应用所有者能够使用它。 此限制的一个例外情况是,你的员工或学生将其工作或学校帐户作为外部或第三方帐户添加到基于 Microsoft 云的双重验证中。