Настройка и включение пользователей для проверки подлинности на основе SMS с помощью идентификатора Microsoft Entra

Чтобы упростить и защитить вход в приложения и службы, идентификатор Microsoft Entra предоставляет несколько вариантов проверки подлинности. Проверка подлинности на основе SMS позволяет пользователям входить в систему без предоставления или даже знания имени пользователя и пароля. После создания учетной записи администратором удостоверений они могут ввести свой номер телефона в диалоговом окне для входа. Они получают код проверки подлинности SMS, который он может предоставить для завершения входа. Этот метод аутентификации упрощает доступ к приложениям и службам, особенно для рядовых сотрудников.

В этой статье показано, как включить проверку подлинности на основе SMS для выбора пользователей или групп в идентификаторе Microsoft Entra ID. Список приложений, поддерживающих вход на основе SMS, приведен в разделе Поддержка приложений для проверки подлинности на основе SMS.

Подготовка к работе

Для работы с этой статьей требуются следующие ресурсы и разрешения:

• Активная подписка Azure.
  • Если у вас еще нет подписки Azure, создайте учетную запись.
• Клиент Microsoft Entra, связанный с вашей подпиской.
  • При необходимости создайте клиент Microsoft Entra или свяжите подписку Azure с вашей учетной записью.
• Чтобы включить проверку подлинности на основе SMS, необходимо по крайней мере роль администратора политики проверки подлинности в клиенте Microsoft Entra.
• Каждый пользователь, включенный в политику метода проверки подлинности SMS, должен быть лицензирован, даже если он не используется. Каждый пользователь с поддержкой должен иметь одну из следующих лицензий Microsoft Entra ID, EMS, Microsoft 365:
  • Microsoft 365 F1 или F3
  • Идентификатор Microsoft Entra P1 или P2
  • Enterprise Mobility + Security (EMS) E3 или E5 или Microsoft 365 E3 или E5
  • Office 365 F3

Известные проблемы

Ниже приведены некоторые известные проблемы:

• Проверка подлинности на основе SMS в настоящее время не совместима с многофакторной проверкой подлинности Microsoft Entra.
• За исключением Teams, аутентификация через SMS в настоящее время несовместима с собственными приложениями Office.
• Проверка подлинности на основе SMS не поддерживается для учетных записей B2B.
• Федеративные пользователи не будут проходить проверку подлинности домашнего клиента. Они только проходят аутентификацию в облаке.
• Если по умолчанию для входа пользователь используется текстовое сообщение или вызов на телефонный номер, при многофакторной проверке подлинности автоматически отправляется код в SMS или совершается голосовой звонок. Начиная с июня 2021 г. некоторые приложения будут запрашивать у пользователей сначала выбрать Текст или Вызов. Этот параметр предотвращает отправку слишком большого количества кодов безопасности для разных приложений. Если по умолчанию для входа используется приложение Microsoft Authenticator (которое мы настоятельно рекомендуем), уведомление приложения отправляется автоматически.

Включение метода аутентификации через SMS

Для включения и использования аутентификации через SMS в вашей организации необходимо выполнить три основных шага:

• Подключение метода проверки подлинности.
• Выберите пользователей или группы, которые могут использовать метод аутентификации через SMS.
• Закрепите номер телефона за каждой учетной записью пользователя.
  • Этот номер телефона можно назначить в Центре администрирования Microsoft Entra (который показан в этой статье), а также в разделе "Мой персонал " или "Моя учетная запись".

Сначала давайте включите проверку подлинности на основе SMS для клиента Microsoft Entra.

1. Войдите в Центр администрирования Microsoft Entra как минимум администратор политики проверки подлинности.

2. Перейдите к политикам методов>проверки подлинности защиты.>

3. В списке доступных методов проверки подлинности выберите SMS.

   

4. Нажмите кнопку "Включить " и выберите " Целевые пользователи". Вы можете включить аутентификацию через SMS для параметров Все пользователи или Избранные пользователи и группы.

   Примечание.

   Чтобы настроить проверку подлинности на основе SMS для первого фактора (т. е. разрешить пользователям входить с помощью этого метода), установите флажок "Использовать для входа ". Если этот флажок не установлен, проверка подлинности на основе SMS доступна только для многофакторной проверки подлинности и самостоятельного сброса пароля.

   

Назначение метода аутентификации для пользователей и групп

Если в клиенте Microsoft Entra включена проверка подлинности на основе SMS, теперь выберите некоторых пользователей или групп, которым разрешено использовать этот метод проверки подлинности.

1. В окне политики проверки подлинности SMS задайте целевой объект для выбора пользователей.
2. Выберите Добавить пользователей или группы, затем выберите тестового пользователя или группу, например пользователь Contoso или пользователи Contoso SMS.
3. Выбрав пользователей или группы, щелкните Выбрать, а затем — Сохранить, чтобы сохранить обновленную политику метода аутентификации.

Каждый пользователь, включенный в политике метода проверки подлинности SMS, должен быть лицензирован, даже если он не используется. Убедитесь, что у вас есть соответствующие лицензии для пользователей, которых вы подключили к политике метода аутентификации, особенно при включении этой функции для больших групп пользователей.

Задание номера телефона для учетных записей пользователей

Теперь пользователи включены для проверки подлинности на основе SMS, но их номер телефона должен быть связан с профилем пользователя в идентификаторе Microsoft Entra, прежде чем они смогут войти. Пользователь может задать этот номер телефона в моей учетной записи или назначить номер телефона с помощью Центра администрирования Microsoft Entra. Номера телефонов можно задать по крайней мере с ролью администратора проверки подлинности.

Если для входа на основе SMS задан номер телефона, он также доступен для использования с многофакторной проверкой подлинности Microsoft Entra и самостоятельным сбросом пароля.

1. Найдите и выберите Microsoft Entra ID.

2. В меню навигации в левой части окна Microsoft Entra выберите "Пользователи".

3. Выберите пользователя, для которого вы включили аутентификацию через SMS в предыдущем разделе, например Contoso User, а затем выберите Методы аутентификации.

4. Нажмите + Добавить метод проверки подлинности, а затем в раскрывающемся меню Выберите метод выберите Номер телефона.

   Введите номер телефона пользователя вместе с кодом страны, например + 1 XXXXXXXXX. Центр администрирования Microsoft Entra проверяет, что номер телефона имеет правильный формат.

   Затем в раскрывающемся меню Тип телефона выберите Мобильный, Альтернативный мобильный или Другой при необходимости.

   

   Номер телефона клиента должен быть уникальным. При попытке использовать один и тот же номер телефона для нескольких пользователей отображается сообщение об ошибке.

5. Чтобы прикрепить номер телефона к учетной записи пользователя, нажмите Добавить.

После успешного внесения номера появится галочка Включен вход через SMS.

Тестирование входа через SMS

Чтобы проверить учетную запись пользователя, в которой теперь включен вход через SMS, выполните следующие действия:

1. Откройте новое окно браузера в режиме InPrivate или инкогнито в https://www.office.com

2. В правом верхнем углу выберите Войти.

3. В строке входа введите номер телефона, связанный с пользователем в предыдущем разделе, а затем выберите Далее.

   

4. Sms-сообщение отправляется на указанный номер телефона. Чтобы завершить процесс входа, введите 6-значный код, предоставленный в SMS-сообщении в запросе на вход.

   

5. Теперь пользователь вошел в учетную запись, не указывая имя пользователя или пароль.

Устранение неполадок при входе через SMS

При возникновении проблем с подключением и использованием входа через SMS можно использовать следующие сценарии и действия для устранения неполадок. Список приложений, поддерживающих вход на основе SMS, приведен в разделе Поддержка приложений для проверки подлинности на основе SMS.

Номер телефона для учетной записи пользователя уже задан

Если пользователь уже зарегистрировался для многофакторной проверки подлинности Microsoft Entra и /или самостоятельного сброса пароля (SSPR), у него уже есть номер телефона, связанный с учетной записью. Этот номер телефона не доступен автоматически для использования при входе через SMS.

Пользователю, у которого номер телефона уже закреплен в учетной записи, отображается кнопка Включить вход через SMS на странице Мой профиль. Нажмите эту кнопку, и учетная запись включена для входа на основе SMS и предыдущей многофакторной проверки подлинности Microsoft Entra или регистрации SSPR.

Дополнительные сведения о взаимодействии с конечным пользователем см. в статье Взаимодействие с пользователем, который входит с помощью SMS для номера телефона.

Ошибка при попытке задать номер телефона на учетной записи пользователя

Если при попытке задать номер телефона для учетной записи пользователя в Центре администрирования Microsoft Entra, просмотрите следующие действия по устранению неполадок:

1. Убедитесь, что вы включили вход через SMS.
2. Убедитесь, что учетная запись пользователя включена в политике метода проверки подлинности SMS .
3. Убедитесь, что вы настроили номер телефона с правильным форматированием, как было проверено в Центре администрирования Microsoft Entra (например , +1 4251234567).
4. Убедитесь, что номер телефона не используется где-то в других местах вашего клиента.
5. Проверьте, не задан ли номер голоса для учетной записи. Если номер голоса задан, удалите его и повторите попытку с номером телефона.

Следующие шаги

• Список приложений, поддерживающих вход на основе SMS, приведен в разделе Поддержка приложений для проверки подлинности на основе SMS.
• Дополнительные способы входа в идентификатор Microsoft Entra без пароля, например ключи безопасности Microsoft Authenticator или FIDO2, см. в разделе "Параметры проверки подлинности без пароля" для идентификатора Microsoft Entra.
• Вы также можете использовать REST API Microsoft Graph для включения или отключения входа на основе SMS.