Функции и лицензии для многофакторной проверки подлинности Microsoft Entra
Для защиты учетных записей пользователей в организации следует использовать многофакторную проверку подлинности. Эта функция особенно важна для учетных записей, имеющих привилегированный доступ к ресурсам. Основные функции многофакторной проверки подлинности доступны пользователям и администраторам Идентификатора Microsoft 365, а также пользователям и администраторам Microsoft Entra. Если вы хотите обновить функции для администраторов или расширить многофакторную проверку подлинности для остальных пользователей с дополнительными методами проверки подлинности и большим контролем, вы можете включить многофакторную проверку подлинности Microsoft Entra с помощью условного доступа. Дополнительные сведения см. в разделе "Общая политика условного доступа": требуется многофакторная проверка подлинности для всех пользователей.
Важный
В этой статье описаны различные способы, которыми можно лицензировать и использовать многофакторную проверку подлинности Microsoft Entra. Дополнительные сведения о ценах и выставлении счетов см. на странице цен Microsoft Entra.
Доступные версии многофакторной проверки подлинности Microsoft Entra
Многофакторная проверка подлинности Microsoft Entra может использоваться и лицензироваться несколькими способами в зависимости от потребностей вашей организации. Все клиенты имеют право на базовые функции многофакторной проверки подлинности с помощью стандартных значений безопасности. Вы уже можете использовать расширенную многофакторную проверку подлинности Microsoft Entra в зависимости от лицензии, имеющейся в настоящее время. Например, первые 50 000 ежемесячных активных пользователей в Внешняя идентификация Microsoft Entra могут использовать MFA и другие функции P1 или P2 бесплатно. Дополнительные сведения см. в ценах на Azure Active Directory B2C.
В следующей таблице описаны различные способы получения многофакторной проверки подлинности Microsoft Entra и некоторых функций и вариантов использования для каждого из них.
| Если вы являетесь пользователем | Возможности и варианты использования |
|---|---|
| Microsoft 365 бизнес премиум и EMS или Microsoft 365 E3 и E5 | EMS E3, Microsoft 365 E3 и Microsoft 365 бизнес премиум включают идентификатор Microsoft Entra ID P1. EMS E5 или Microsoft 365 E5 включает идентификатор Microsoft Entra ID P2. В следующих разделах можно использовать те же функции условного доступа, чтобы обеспечить многофакторную проверку подлинности пользователям. |
| Microsoft Entra ID P1 | Условный доступ Microsoft Entra можно использовать для запроса пользователей на многофакторную проверку подлинности во время определенных сценариев или событий в соответствии с вашими бизнес-требованиями. |
| Microsoft Entra ID P2 | Обеспечивает самую надежную позицию безопасности и улучшенную работу пользователей. Добавляет условный доступ на основе рисков к функциям Microsoft Entra ID P1, которые адаптируются к шаблонам пользователя и минимизирует запросы многофакторной проверки подлинности. |
| Все планы Microsoft 365 | Многофакторная проверка подлинности Microsoft Entra может быть включена для всех пользователей, использующих параметры безопасности по умолчанию. Управление многофакторной проверкой подлинности Microsoft Entra осуществляется через портал Microsoft 365. Для улучшения пользовательского интерфейса обновите идентификатор Microsoft Entra ID P1 или P2 и используйте условный доступ. Дополнительные сведения см. в разделе безопасных ресурсов Microsoft 365 с многофакторной проверкой подлинности. |
| Бесплатный Office 365 Бесплатный идентификатор Microsoft Entra |
Вы можете использовать значения безопасности по умолчанию для запроса пользователей на многофакторную проверку подлинности по мере необходимости, но у вас нет детального управления включенными пользователями или сценариями, но он предоставляет этот дополнительный шаг безопасности. |
Сравнение функций на основе лицензий
В следующей таблице приведен список функций, доступных в различных версиях идентификатора Microsoft Entra для многофакторной проверки подлинности. Спланируйте свои потребности в защите проверки подлинности пользователей, а затем определите, какой подход соответствует этим требованиям. Например, хотя Microsoft Entra ID Free предоставляет параметры безопасности, обеспечивающие многофакторную проверку подлинности Microsoft Entra, где для запроса проверки подлинности можно использовать только мобильное приложение проверки подлинности. Этот подход может быть ограничением, если вы не можете убедиться, что мобильное приложение проверки подлинности установлено на личном устройстве пользователя. Дополнительные сведения см . на уровне "Бесплатный идентификатор Майкрософт" далее в этом разделе.
| Особенность | Бесплатный идентификатор Microsoft Entra — значения по умолчанию безопасности (включены для всех пользователей) | Бесплатный идентификатор Microsoft Entra — только глобальные администраторы | Office 365 | Microsoft Entra ID P1 | Microsoft Entra ID P2 |
|---|---|---|---|---|---|
| Защита учетных записей администратора клиента Microsoft Entra с помощью MFA | ● | ● (только учетные записи глобального администратора Майкрософт) | ● | ● | ● |
| Мобильное приложение в качестве второго фактора | ● | ● | ● | ● | ● |
| Телефонный звонок в качестве второго фактора | ● | ● | ● | ||
| Текстовое сообщение в качестве второго фактора | ● | ● | ● | ● | |
| Контроль администратора над методами проверки | ● | ● | ● | ● | |
| Оповещение о мошенничестве | ● | ● | |||
| Отчеты MFA | ● | ● | |||
| Пользовательские приветствия для телефонных звонков | ● | ● | |||
| Пользовательский идентификатор абонента для телефонных звонков | ● | ● | |||
| Доверенные IP-адреса | ● | ● | |||
| Помните MFA для доверенных устройств | ● | ● | ● | ● | |
| MFA для локальных приложений | ● | ● | |||
| Условный доступ | ● | ● | |||
| Условный доступ на основе рисков | ● |
Сравнение политик многофакторной проверки подлинности
Рекомендуемый подход к применению MFA — использование условного доступа. Ознакомьтесь со следующей таблицей, чтобы определить, какие возможности включены в лицензии.
| Политика | Параметры безопасности по умолчанию | Условный доступ | Многофакторная проверка подлинности для каждого пользователя |
|---|---|---|---|
| Управление | |||
| Стандартный набор правил безопасности для обеспечения безопасности вашей компании | ● | ||
| Один щелчок и выключение | ● | ||
| Включена в лицензирование Office 365 (см . рекомендации по лицензированию) | ● | ● | |
| Предварительно настроенные шаблоны в мастере администрирования Microsoft 365 | ● | ● | |
| Гибкость конфигурации | ● | ||
| Функциональность | |||
| Исключение пользователей из политики | ● | ● | |
| Проверка подлинности по телефону или текстовому сообщению | ● | ● | ● |
| Проверка подлинности с помощью Microsoft Authenticator и маркеров программного обеспечения | ● | ● | ● |
| Проверка подлинности с помощью FIDO2, Windows Hello для бизнеса и токенов оборудования | ● | ● | |
| Блокирует устаревшие протоколы проверки подлинности | ● | ● | ● |
| Новые сотрудники автоматически защищены | ● | ● | |
| Динамические триггеры MFA на основе событий риска | ● | ||
| Политики проверки подлинности и авторизации | ● | ||
| Настраиваемая на основе расположения и состояния устройства | ● | ||
| Поддержка режима "только отчет" | ● | ||
| Возможность полностью блокировать пользователей и служб | ● |
Бесплатный уровень идентификатора Microsoft Entra
Все пользователи в клиенте Microsoft Entra ID Free могут использовать многофакторную проверку подлинности Microsoft Entra с помощью по умолчанию безопасности. Мобильное приложение проверки подлинности можно использовать для многофакторной проверки подлинности Microsoft Entra при использовании по умолчанию бесплатной безопасности Microsoft Entra ID.
- Дополнительные сведения о параметрах безопасности Microsoft Entra по умолчанию
- Включение значений безопасности по умолчанию для пользователей в бесплатном коде Microsoft Entra ID
Включить многофакторную проверку подлинности Microsoft Entra можно одним из следующих способов в зависимости от типа используемой учетной записи:
- Если вы используете учетную запись Майкрософт, зарегистрируйтесь для многофакторной проверки подлинности.
- Если вы не используете учетную запись Майкрософт, включите многофакторную проверку подлинности для пользователя или группы в идентификаторе Microsoft Entra.
Дальнейшие действия
- Дополнительные сведения о затратах см. в ценах на Microsoft Entra.
- Что такое условный доступ
- Что такое Защита идентификации Microsoft Entra?
- Многофакторная проверка подлинности также может быть включена на основе каждого пользователя