Настройка параметров многофакторной проверки подлинности Microsoft Entra

  • Статья

Чтобы настроить интерфейс конечного пользователя для многофакторной проверки подлинности Microsoft Entra, можно настроить параметры для параметров, таких как пороговые значения блокировки учетных записей или оповещения о мошенничестве и уведомления.

Доступны следующие параметры многофакторной проверки подлинности Microsoft Entra:

Возможность Description
Блокировка учетной записи (только сервер MFA) Временно блокируйте учетные записи от использования многофакторной проверки подлинности Microsoft Entra, если в строке слишком много попыток проверки подлинности запрещено. Эта функция применяется только к пользователям, использующим сервер MFA для ввода ПИН-кода для проверки подлинности.
Блокировка и разблокировка пользователей Запретить пользователям получать запросы многофакторной проверки подлинности Microsoft Entra. Любые попытки выполнить аутентификацию заблокированных пользователей отклоняются автоматически. Блокировка пользователей действует в течение 90 дней. Кроме того, они могут быть разблокированы вручную.
Предупреждение о мошенничестве Настройка параметров, которые позволяют пользователям сообщать о мошеннических запросах на проверку.
Сообщить о подозрительном действии Настройка параметров, которые позволяют пользователям сообщать о мошеннических запросах на проверку.
Уведомления Включите уведомления о событиях с сервера MFA.
OATH-токены Используется в облачных средах многофакторной проверки подлинности Microsoft Entra для управления токенами OATH для пользователей.
Параметры телефонного звонка Настройте параметры, относящиеся к телефонным звонками и приветствиям в облачных и локальных средах.
Поставщики Здесь отображаются все существующие поставщики проверки подлинности, которые вы ранее связали с этой учетной записью. Добавление новых поставщиков отключено с 1 сентября 2018 г.

Параметры многофакторной проверки подлинности Microsoft Entra

Блокировка учетной записи (только сервер MFA)

Совет

Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.

Примечание.

Блокировка учетной записи влияет только на пользователей, которые войдите с помощью локального сервера MFA.

Чтобы предотвратить повторные попытки прохождения MFA при атаке, с помощью параметров блокировки учетных записей можно указать количество неудачных попыток, по истечении которых учетная запись блокируется на определенный период времени. Параметры блокировки учетной записи применяются только при вводе ПИН-кода для запроса MFA с помощью локального сервера MFA.

Доступны следующие параметры:

  • "Число отказов в доступе от MFA, после которого учетная запись блокируется".
  • "Время до сбора счетчика блокировки учетной записи (в минутах)".
  • "Время до авторазблокировки учетной записи (в минутах)".

Чтобы настроить блокировку учетных записей:

  1. Войдите в Центр администрирования Microsoft Entra как минимум политику проверки подлинности Администратор istrator.

  2. Перейдите к блокировке учетной записи многофакторной проверки подлинности>Защиты>. Чтобы просмотреть многофакторную проверку подлинности, может потребоваться нажать кнопку "Показать больше".

  3. Введите значения для своей среды, а затем нажмите кнопку Сохранить.

    Снимок экрана: параметры блокировки учетной записи.

Блокировка и разблокировка пользователей

Если устройство пользователя потеряно или украдено, можно заблокировать попытки многофакторной проверки подлинности Microsoft Entra для связанной учетной записи. Любые попытки многофакторной проверки подлинности Microsoft Entra для заблокированных пользователей автоматически отклоняются. Блокировка пользователей действует в течение 90 дней. Видео о том, как это сделать, см. в статье Блокировка и разблокировка пользователей в арендаторе.

Блокировка пользователя

Чтобы заблокировать пользователя, выполните описанные ниже действия.

Посмотрите короткое видео, описывающее этот процесс.

  1. Перейдите к блоку многофакторной проверки подлинности>и>разблокируйте пользователей.
  2. Выберите Добавить, чтобы заблокировать пользователя.
  3. Введите имя блокируемого пользователя в формате username@domain.com, а затем введите комментарий в поле Причина.
  4. Нажмите кнопку ОК, чтобы заблокировать пользователя.

Разблокирование пользователя

Чтобы разблокировать пользователя, выполните следующие действия.

  1. Перейдите в раздел "Блокировка многофакторной проверки подлинности>">и "Разблокировать пользователей".
  2. В столбце Действие рядом с пользователем выберите Разблокировать.
  3. Введите комментарий в поле Причина разблокировки.
  4. Нажмите кнопку ОК, чтобы разблокировать пользователя.

Предупреждение о мошенничестве

Функция оповещения о мошенничестве позволяет пользователям сообщать о мошеннических попытках доступа к своим ресурсам. При получении неизвестного и подозрительного запроса MFA пользователи могут сообщить о мошеннической попытке доступа с помощью приложения Microsoft Authenticator или по телефону.

Корпорация Майкрософт рекомендует использовать подозрительные действия отчета вместо оповещения о мошенничестве из-за интеграции с защитой идентификации для исправления на основе рисков, улучшения возможностей создания отчетов и наименее привилегированного администрирования.

Доступны следующие параметры конфигурации оповещений о мошенничестве:

  • Автоматически блокировать пользователей, сообщающих о мошенничестве. Если пользователь сообщает о мошенничестве, попытка многофакторной проверки подлинности Azure AD для учетной записи пользователя блокируется в течение 90 дней или пока администратор не разблокирует учетную запись. Администратор может просматривать входы в отчете о входах и предпринимать соответствующие действия для предотвращения мошенничества в будущем. Затем администратор может разблокировать учетную запись пользователя.

  • Код для уведомления о мошенничестве во время первоначального приветствия. Когда пользователи получают телефонный звонок для выполнения многофакторной проверки подлинности, они обычно нажимают # , чтобы подтвердить вход. Чтобы сообщить о мошенничестве, сперва нужно ввести код, а затем нажать кнопку #. По умолчанию используется код 0, но вы можете его изменить. Если включена автоматическая блокировка, после того как пользователь нажимает 0#, чтобы сообщить о мошенничестве, необходимо нажать 1, чтобы подтвердить блокировку учетной записи.

    Примечание.

    Голосовые приветствия корпорации Майкрософт по умолчанию просят пользователей нажать 0# для отправки предупреждения о мошенничестве. Если используется любой другой код, кроме 0, необходимо записать и отправить собственное пользовательское голосовое приветствие с соответствующими инструкциями для пользователей.

Чтобы включить и настроить оповещения о мошенничестве, выполните следующие действия.

  1. Войдите в Центр администрирования Microsoft Entra как минимум политику проверки подлинности Администратор istrator.
  2. Перейдите к оповещению о мошенничестве с многофакторной проверкой подлинности>защиты.>
  3. Для параметра Разрешить пользователям отправлять предупреждения о мошенничестве установите значение Вкл.
  4. При необходимости настройте параметр Автоматически блокировать пользователей, сообщающих о мошенничестве или Код для уведомления о мошенничестве во время первоначального приветствия.
  5. Выберите Сохранить.

Сообщить о подозрительном действии

Сообщите о подозрительной активности, обновленной функции оповещения о мошенничестве MFA, теперь доступна. При получении неизвестного и подозрительного запроса MFA пользователи могут сообщить о попытке мошенничества с помощью Microsoft Authenticator или по телефону. Эти оповещения интегрированы с защитой идентификации для более полного охвата и возможностей.

Пользователи, которые сообщают о запросе MFA, как подозрительные, имеют высокий риск пользователей. Администратор istrator могут использовать политики на основе рисков, чтобы ограничить доступ для этих пользователей или включить самостоятельный сброс пароля (SSPR) для пользователей, чтобы устранить проблемы самостоятельно. Если вы ранее использовали функцию автоматической блокировки оповещения о мошенничестве и не имеет лицензии Microsoft Entra ID P2 для политик на основе рисков, вы можете использовать события обнаружения рисков для выявления и отключения затронутых пользователей и автоматического предотвращения входа. Дополнительные сведения об использовании политик на основе рисков см. в политиках доступа на основе рисков.

Чтобы включить подозрительное действие отчета из методов проверки подлинности Параметры:

  1. Войдите в Центр администрирования Microsoft Entra как минимум политику проверки подлинности Администратор istrator.
  2. Перейдите к методам> проверки подлинности защиты>Параметры.
  3. Установите для отчета значение "Включено". Эта функция остается отключенной, если вы выберете управление корпорацией Майкрософт. Дополнительные сведения об управляемых значениях Майкрософт см. в разделе "Защита методов проверки подлинности" в идентификаторе Microsoft Entra.
  4. Выберите всех пользователей или определенную группу.
  5. Выберите код отчетов.
  6. Нажмите кнопку Сохранить.

Примечание.

Если включить подозрительное действие отчета и указать настраиваемое значение голосовой отчетности, пока клиент по-прежнему включеноповещение о мошенничестве параллельно с настраиваемым номером голосовой отчетности, значение подозрительного действия отчета будет использоваться вместо оповещения о мошенничестве.

Просмотр событий подозрительных действий

Когда пользователь сообщает запрос MFA как подозрительный, событие отображается в отчете о входе (как вход, отклоненный пользователем), в журналах аудита и в отчете об обнаружении рисков.

  • Чтобы просмотреть отчет об обнаружении рисков, выберите "Обнаружение рисков защиты>>идентификации". Событие риска является частью стандартного отчета об обнаружении рисков и будет отображаться как пользователь типа обнаружения, сообщаемая о подозрительном действии, уровень риска высокий, сообщает конечный пользователь источника.

  • Чтобы просмотреть отчеты о мошенничестве в отчете о входе, выберите "Мониторинг удостоверений>" и "Сведения о проверке подлинности>для входа в систему".> Отчет о мошенничестве является частью стандартного отчета о входе в Microsoft Entra и отображается в отчете о результатах, как отказано в MFA, введен код мошенничества.

  • Чтобы просмотреть отчеты о мошенничестве в журналах аудита, выберите "Мониторинг удостоверений" и "Журналы аудита работоспособности>>". Отчет о мошенничестве отображается в разделе действия с сообщением о мошенничестве "пользователь заблокирован для MFA" или сообщением о мошенничестве "никакие действия не выполняются" на основе параметров уровня клиента для отчета о мошенничестве.

Примечание.

Пользователь не сообщается как высокий риск, если он выполняет проверку подлинности без пароля.

Управление событиями подозрительных действий

После того как пользователь сообщил запрос как подозрительный, риск должен быть расследован и исправлен с помощью защиты идентификации.

Сообщите о подозрительных действиях и предупреждении о мошенничестве

Сообщите о подозрительных действиях и устаревшей реализации оповещения о мошенничестве могут работать параллельно. Вы можете сохранить функциональные возможности оповещения о мошенничестве на уровне клиента, пока вы начнете использовать подозрительные действия отчета с целевой тестовой группой.

Если оповещение о мошенничестве включено с помощью автоматической блокировки и включена подозрительная активность отчета, пользователь будет добавлен в список блокировок и установлен как высокий риск и область для любых других политик, настроенных. Эти пользователи должны быть удалены из списка блокировок и устранены их риски, чтобы разрешить им войти в систему с помощью MFA.

Notifications

Вы можете настроить идентификатор Microsoft Entra для отправки Уведомления по электронной почте, когда пользователи сообщают о предупреждениях о мошенничестве. Эти уведомления обычно отправляются администраторам удостоверений, так как учетные данные пользователя, скорее всего, будут скомпрометированы. В следующем примере показано, как выглядит уведомление по электронной почте для оповещения о мошенничестве.

Снимок экрана: почтовое уведомление с оповещением о мошенничестве.

Чтобы настроить уведомления для оповещения о мошенничестве:

  1. Перейдите к уведомлениям о многофакторной проверке подлинности> защиты.>
  2. Введите адрес электронной почты для отправки уведомления.
  3. Чтобы удалить существующий адрес электронной почты, выберите параметр рядом с соответствующим адресом электронной почты, а затем выберите Удалить.
  4. Выберите Сохранить.

Токены OATH

Идентификатор Microsoft Entra поддерживает использование токенов OATH TOTP SHA-1, которые обновляют коды каждые 30 или 60 секунд. Вы можете приобрести эти маркеры у любого поставщика по выбору.

Аппаратные маркеры OATH TOTP, как правило, поставляются с предварительно запрограммированным в маркере секретным ключом или начальным значением. Эти ключи необходимо ввести в идентификатор Microsoft Entra, как описано в следующих шагах. Максимальная длина секретного ключа — 128 символов, что может быть несовместимо с некоторыми маркерами. Секретный ключ может содержать только буквы a–z или A–Z и цифры 1–7. Он должен быть закодирован в Base32.

Программируемые аппаратные маркеры OATH TOTP, которые можно изменить, также можно настроить с помощью идентификатора Microsoft Entra в потоке установки маркера программного обеспечения.

Аппаратные маркеры OATH поддерживаются как часть общедоступной предварительной версии. См. подробные сведения о дополнительных условиях использования предварительных выпусков Microsoft Azure.

Снимок экрана: раздел токенов OATH.

После получения токенов их необходимо передать в формате CSV-файла. укажите имя субъекта-пользователя, серийный номер, секретный ключ, интервал времени, производителя и модель, как показано в следующем примере:

upn,serial number,secret key,time interval,manufacturer,model
Helga@contoso.com,1234567,1234567abcdef1234567abcdef,60,Contoso,HardwareKey

Примечание.

Обязательно включите строку заголовка в CSV-файл.

Войдите в Центр администрирования Microsoft Entra в качестве глобального Администратор istrator, перейдите к токенам OATH многофакторной проверки подлинности>Защиты>и отправьте CSV-файл.

В зависимости от размера CSV-файла этот процесс может занять несколько минут. Выберите Обновить, чтобы узнать текущее состояние. Если в файле есть ошибки, можно скачать их список в формате CSV-файла. Имена полей в скачанном CSV-файле отличаются от тех, что указаны в загруженной версии.

После устранения ошибок администратор может активировать каждый ключ, щелкнув Активировать для маркера, и ввести одноразовый пароль, отображаемый на маркере.

Пользователи могут настроить сочетание до 5 аппаратных OATH-токенов или приложений проверки подлинности, таких как приложение Microsoft Authenticator, для использования в любое время.

Внимание

Не забудьте назначить каждому токену только одному пользователю. В будущем поддержка назначения одного маркера нескольким пользователям остановится, чтобы предотвратить риск безопасности.

Параметры телефонного звонка

Если пользователи получают телефонные звонки для запросов MFA, вы можете настроить их взаимодействие, например идентификатор вызывающей стороны или приветствие, которое они услышат.

В США, если вы не настроили идентификатор абонента MFA, голосовые звонки от Корпорации Майкрософт поступают из следующих номеров. Пользователи с фильтрами нежелательной почты должны исключить эти числа.

Номер по умолчанию: +1 (855) 330-8653

В следующей таблице перечислены дополнительные числа для разных стран.

Страна или регион Номера
Австрия +43 6703062076
Бангладеш +880 9604606026
Хорватия +385 15507766
Эквадор +593 964256042
Эстония +372 6712726
Франция +33 744081468
Гана +233 308250245
Греция +30 2119902739
Гватемала +502 23055056
Гонконг, САР +852 25716964
Индия +91 3371568300, +91 1205089400, +91 4471566601, +91 2271897557, +91 1203524400, +91 3335105700, +91 2235544120, +91 4435279600
Иордания +962 797639442
Кения +254 709605276
Нидерланды +31 202490048
Нигерия +234 7080627886
Пакистан +92 4232618686
Польша +48 699740036
Саудовская Аравия +966 115122726
ЮАР +27 872405062
Испания +34 913305144
Шри-Ланка +94 117750440
Швеция +46 701924176
Тайвань +886 277515260
Турция +90 8505404893
Украина +380 443332393
ОАЭ +971 44015046
Вьетнам +84 2039990161

Примечание.

Когда вызовы многофакторной проверки подлинности Microsoft Entra размещаются через общедоступную телефонную сеть, иногда звонки направляются через оператор, который не поддерживает идентификатор абонента. Из-за этого идентификатор вызывающего объекта не гарантируется, хотя многофакторная проверка подлинности Microsoft Entra всегда отправляет его. Это относится как к телефонным звонкам, так и к текстовым сообщениям, предоставляемым многофакторной проверкой подлинности Microsoft Entra. Если вам нужно проверить, является ли текстовое сообщение из многофакторной проверки подлинности Microsoft Entra, ознакомьтесь с краткими кодами, используемыми для отправки сообщений?.

Чтобы настроить собственный идентификатор вызывающей стороны, выполните следующие действия.

  1. Перейдите к многофакторной проверке подлинности> защиты>Телефон параметры вызова.
  2. Задайте для параметра Идентификатор вызывающего абонента MFA номер, который нужно отображать на телефонах пользователей. Допустимы только номера телефонов США.
  3. Выберите Сохранить.

Примечание.

Когда вызовы многофакторной проверки подлинности Microsoft Entra размещаются через общедоступную телефонную сеть, иногда звонки направляются через оператор, который не поддерживает идентификатор абонента. Из-за этого идентификатор вызывающего объекта не гарантируется, хотя многофакторная проверка подлинности Microsoft Entra всегда отправляет его. Это относится как к телефонным звонкам, так и к текстовым сообщениям, предоставляемым многофакторной проверкой подлинности Microsoft Entra. Если вам нужно проверить, является ли текстовое сообщение из многофакторной проверки подлинности Microsoft Entra, ознакомьтесь с краткими кодами, используемыми для отправки сообщений?.

Пользовательские голосовые сообщения

Вы можете использовать собственные записи или приветствия для многофакторной проверки подлинности Microsoft Entra. Их можно использовать вместе с записями корпорации Майкрософт по умолчанию или вместо них.

Прежде чем начать, ознакомьтесь со следующими ограничениями:

  • Поддерживаются только форматы файлов WAV и MP3.
  • Максимальный размер файла составляет 1 МБ.
  • Сообщения о проверке подлинности должны длиться меньше, чем 20 секунд. Более длинные сообщения могут вызвать сбой проверки, если пользователь не успеть ответить, дожидаясь конца сообщения, и время ожидания проверки истечет.

Режим работы языка пользовательского сообщения

При воспроизведении пользовательского голосового сообщения для пользователя язык сообщения зависит от следующих факторов:

  • Язык пользователя.
    • Язык, обнаруживаемый в браузере пользователя.
    • Другие сценарии аутентификации могут выполняться по-разному.
  • Язык любых доступных пользовательских сообщений.
    • Этот язык выбирает администратор при добавлении пользовательского сообщения.

Например, если имеется только одно настраиваемое сообщение, и оно на немецком языке:

  • Пользователь, который выполняет аутентификацию на немецком языке, услышит немецкое пользовательское сообщение.
  • Пользователь, который выполняет аутентификацию на английском языке, услышит стандартное английское сообщение.

Значения по умолчанию для пользовательских голосовых сообщений

Приведенные ниже примеры сценариев можно использовать для создания собственных пользовательских сообщений. Если не настроены пользовательские сообщения, то по умолчанию используются приведенные ниже фразы.

Название сообщения Скрипт
Проверка подлинности пройдена успешно Вы прошли проверку. До свидания.
Запрос добавочного номера Благодарим за использование системы проверки входа Microsoft. Для продолжения нажмите клавишу с решеткой.
Подтверждение мошенничества Отправлено предупреждение о мошенничестве. Чтобы разблокировать свою учетную запись, обратитесь в службу поддержки ИТ-отдела вашей компании.
Приветствие с сообщением о мошенничестве (стандарт) Благодарим за использование системы проверки входа Microsoft. Нажмите решетку, чтобы завершить проверку. Если вы не инициировали эту проверку, возможно, кто-то пытается получить доступ к вашей учетной записи. Нажмите ноль и решетку, чтобы отправить оповещение о мошенничестве. Это позволит уведомить ИТ-специалистов вашей компании и заблокирует дальнейшие попытки проверки.
Получено сообщение о мошенничестве Отправлено предупреждение о мошенничестве. Чтобы разблокировать свою учетную запись, обратитесь в службу поддержки ИТ-отдела вашей компании.
Активация Благодарим за использование системы проверки входа Microsoft. Нажмите решетку, чтобы завершить проверку.
Проверка подлинности не пройдена — повтор В проверке отказано.
Повтор (стандарт) Благодарим за использование системы проверки входа Microsoft. Нажмите решетку, чтобы завершить проверку.
Приветствие (стандарт) Благодарим за использование системы проверки входа Microsoft. Нажмите решетку, чтобы завершить проверку.
Приветствие (ПИН-код) Благодарим за использование системы проверки входа Microsoft. Введите ПИН-код и нажмите решетку, чтобы завершить проверку.
Мошенническое приветствие (ПИН-код) Благодарим за использование системы проверки входа Microsoft. Введите ПИН-код и нажмите решетку, чтобы завершить проверку. Если вы не инициировали эту проверку, возможно, кто-то пытается получить доступ к вашей учетной записи. Нажмите ноль и решетку, чтобы отправить оповещение о мошенничестве. Это позволит уведомить ИТ-специалистов вашей компании и заблокирует дальнейшие попытки проверки.
Повтор (ПИН-код) Благодарим за использование системы проверки входа Microsoft. Введите ПИН-код и нажмите решетку, чтобы завершить проверку.
Запрос добавочного номера после цифр Если этот добавочный номер уже выбран, нажмите решетку, чтобы продолжить.
Проверка подлинности не пройдена Не удается выполнить вход в систему. Повторите попытку позже. Повторите попытку позже.
Приветствие активации (стандартное) Благодарим за использование системы проверки входа Microsoft. Нажмите решетку, чтобы завершить проверку.
Повтор активации (стандартный) Благодарим за использование системы проверки входа Microsoft. Нажмите решетку, чтобы завершить проверку.
Приветствие активации (ПИН-код) Благодарим за использование системы проверки входа Microsoft. Введите ПИН-код и нажмите решетку, чтобы завершить проверку.
Запрос добавочного номера перед цифрами Благодарим за использование системы проверки входа Microsoft. Переведите этот вызов на <добавочный номер>.

Настройка пользовательского сообщения

Чтобы использовать пользовательские сообщения, выполните следующие действия.

  1. Перейдите к многофакторной проверке подлинности> защиты>Телефон параметры вызова.
  2. Щелкните Добавить приветствие.
  3. Выберите тип приветствия, например Приветствие (стандарт) или Проверка подлинности пройдена успешно.
  4. Выберите язык в соответствии с предыдущим разделом о режимах работы языка пользовательских сообщений.
  5. Выберите звуковой файл в формате MP3 или WAV для передачи.
  6. Нажмите кнопку Применить, а затем — Сохранить.

Параметры службы MFA

Параметры для паролей приложений, доверенных IP-адресов, параметров проверки подлинности и запоминания многофакторной проверки подлинности на доверенных устройствах доступны в параметрах службы. Это устаревший портал.

Вы можете получить доступ к параметрам службы из Центра администрирования Microsoft Entra, перейдя в раздел"Защита>многофакторной проверки подлинности>", чтобы приступить>к настройке>дополнительных облачных параметров MFA. Откроется окно или вкладка с дополнительными параметрами службы.

Надежные IP-адреса

Функция надежных IP-адресов в рамках многофакторной проверки подлинности Microsoft Entra позволяет обойти запросы многофакторной проверки подлинности для пользователей, которые входят с определенного диапазона IP-адресов. Вы можете задать диапазоны надежных IP-адресов для локальных сред. Когда пользователи находятся в одном из этих расположений, запрос многофакторной проверки подлинности Microsoft Entra не отображается. Чтобы использовать функцию доверенных IP-адресов, необходим выпуск Microsoft Entra ID P1.

Примечание.

Надежные IP-адреса могут содержать диапазоны частных адресов только при использовании сервера MFA. Для облачной многофакторной проверки подлинности Microsoft Entra можно использовать только диапазоны общедоступных IP-адресов.

Диапазоны IPv6-адресов поддерживаются только в интерфейсе именованного расположения (предварительная версия).

Если ваша организация использует расширение NPS для многофакторной проверки подлинности локальных приложений, то IP-адресом источника всегда будет адрес NPS-сервера, через который выполняется попытка проверки подлинности.

Тип клиента Microsoft Entra Параметры функции надежных IP-адресов
Управляется Конкретный диапазон IP-адресов: Администратор istrator укажите диапазон IP-адресов, которые могут обойти многофакторную проверку подлинности для пользователей, которые вошли из интрасети компании. Можно настроить не более 50 диапазонов надежных IP-адресов.
Федеративные Все федеративные пользователи: все федеративные пользователи, которые входят в систему внутри организации, могут обойти многофакторную проверку подлинности. предоставив утверждение, выданное службами федерации Active Directory (AD FS).
Конкретный диапазон IP-адресов: Администратор istrators укажите диапазон IP-адресов, которые могут обойти многофакторную проверку подлинности для пользователей, которые вошли из интрасети компании.

Обход при использовании надежных IP-адресов работает только внутри интрасети компании. Если выбрать параметр "Все федеративные пользователи" и пользователь входит за пределы интрасети компании, пользователь должен пройти проверку подлинности с помощью многофакторной проверки подлинности. даже если он предоставит утверждение AD FS.

Примечание.

Если политики MFA для каждого пользователя и условного доступа настроены в клиенте, необходимо добавить доверенных IP-адресов в политику условного доступа и обновить параметры службы MFA.

Взаимодействие с пользователем в корпоративной сети

Если функция доверенных IP-адресов отключена, для потоков браузера требуется многофакторная проверка подлинности. Пароли приложений требуются для более старых многофункциональных клиентских приложений.

При использовании доверенных IP-адресов многофакторная проверка подлинности не требуется для потоков браузера. Пароли приложений не требуются для более старых полнофункциональных клиентских приложений при условии, что пользователь не создал пароль приложения. Если пароль приложения уже создан, он является обязательным.

Взаимодействие с пользователем вне корпоративной сети

Независимо от того, определены ли доверенные IP-адреса, для потоков браузера требуется многофакторная проверка подлинности. Пароли приложений требуются для более старых многофункциональных клиентских приложений.

Включение именованных расположений с помощью условного доступа

Можно использовать правила условного доступа для определения именованных расположений, выполнив описанные ниже действия.

  1. Войдите в Центр администрирования Microsoft Entra в качестве администратора условного доступа.
  2. Перейдите к именованным расположениям условного доступа>защиты>.
  3. Выберите Новое расположение.
  4. Введите имя расположения.
  5. Выберите Отметить как надежное расположение.
  6. Введите диапазон IP-адресов в нотации CIDR для своей среды. Например, 40.77.182.32/27.
  7. Нажмите кнопку создания.

Включение функции надежных IP-адресов с помощью условного доступа

Чтобы включить надежные IP-адреса с помощью политик условного доступа, выполните приведенные ниже действия.

  1. Войдите в Центр администрирования Microsoft Entra в качестве администратора условного доступа.

  2. Перейдите к именованным расположениям условного доступа>защиты>.

  3. Выберите Настроить надежные IP-адреса MFA.

  4. На странице Параметры службы в разделе Надежные IP-адреса выберите один из следующих вариантов:

    • Для запросов от федеративных пользователей, исходящих из моей интрасети. Чтобы выбрать этот вариант, установите флажок. Все федеративные пользователи, которые входят в систему из корпоративной сети, обходят многофакторную проверку подлинности с помощью утверждения, выданного AD FS. Убедитесь, что в службах AD FS установлено правило для добавления утверждение интрасети для соответствующего трафика. Если правило не существует, создайте такое правило в AD FS:

      c:[Type== "https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork"] => issue(claim = c);

      Примечание.

      Пропуск многофакторной проверки подлинности для запросов от федеративных пользователей в моей интрасети влияет на оценку условного доступа для расположений. Любой запрос с утверждением insidecorporatenetwork будет рассматриваться как поступающий из надежного расположения, если этот параметр выбран.

    • Для запросов от определенного диапазона общедоступных IP-адресов. Чтобы выбрать этот вариант, введите IP-адреса в соответствующем текстовом поле в нотации CIDR.

      • Для IP-адресов, которые находятся в диапазоне от xxx.xxx.xxx.1 до xxx.xxx.xxx.254, используйте такую нотацию, как xxx.xxx.xxx.0/24.
      • Для одного IP-адреса используйте такую нотацию: xxx.xxx.xxx.xxx/32.
      • Можно ввести до 50 диапазонов IP-адресов. Пользователи, которые входят из этих IP-адресов, обходят многофакторную проверку подлинности.

  5. Выберите Сохранить.

Включение функции надежных IP-адресов с помощью параметров службы

Если вы не хотите использовать политики условного доступа для включения доверенных IP-адресов, можно настроить параметры службы для многофакторной проверки подлинности Microsoft Entra, выполнив следующие действия.

  1. Войдите в Центр администрирования Microsoft Entra как минимум политику проверки подлинности Администратор istrator.

  2. Перейдите к параметру Многофакторной проверки подлинности для защиты>дополнительных параметров многофакторной проверки подлинности> на основе облака.

  3. На странице параметров службы в разделе доверенных IP-адресов выберите один или оба из следующих параметров:

    • For requests from federated users on my intranet (Для запросов от федеративных пользователей, исходящих из моей интрасети). Чтобы выбрать этот вариант, установите флажок. Все федеративные пользователи, которые входят в систему из корпоративной сети, обходят многофакторную проверку подлинности с помощью утверждения, выданного AD FS. Убедитесь, что в службах AD FS установлено правило для добавления утверждение интрасети для соответствующего трафика. Если правило не существует, создайте такое правило в AD FS:

      c:[Type== "https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork"] => issue(claim = c);

    • For requests from a specified range of IP address subnets (Для запросов от определенного диапазона IP-адресов подсетей). Чтобы выбрать этот вариант, введите IP-адреса в соответствующем текстовом поле в нотации CIDR.

      • Для IP-адресов, которые находятся в диапазоне от xxx.xxx.xxx.1 до xxx.xxx.xxx.254, используйте такую нотацию, как xxx.xxx.xxx.0/24.
      • Для одного IP-адреса используйте такую нотацию: xxx.xxx.xxx.xxx/32.
      • Можно ввести до 50 диапазонов IP-адресов. Пользователи, которые входят из этих IP-адресов, обходят многофакторную проверку подлинности.

  4. Выберите Сохранить.

Методы проверки

Вы можете выбрать методы проверки, которые будут доступны пользователям на портале параметров службы. Когда пользователи регистрируют свои учетные записи для многофакторной проверки подлинности Microsoft Entra, они выбирают предпочтительный метод проверки из параметров, которые вы включили. Руководство по процессу регистрации пользователей предоставляется в разделе "Настройка учетной записи для многофакторной проверки подлинности".

Доступны следующие методы проверки.

Метод Description
Звонок на телефон На телефон осуществляется автоматический голосовой вызов. Для проверки подлинности пользователь отвечает на вызов и нажимает кнопку # на телефоне. Этот номер телефона не синхронизируется в локальной службе Active Directory.
Текстовое сообщение на телефон На телефон приходит текстовое сообщение с кодом проверки. Пользователю предлагается ввести код проверки в интерфейсе входа. Этот процесс предусматривает отправку одностороннего текстового сообщения. При использовании двустороннего текстового сообщения пользователь должен отправить ответ с определенным кодом. Двустороннее SMS является устаревшим и не будет поддерживаться после 14 ноября 2018 года. Администраторы должны активировать другой способ для пользователей, которые ранее использовали двусторонний обмен СМС.
Уведомление в мобильном приложении Отправляется push-уведомление на телефон или зарегистрированное устройство пользователя. Пользователь просматривает уведомление и выбирает Проверить, чтобы выполнить проверку. Приложение Microsoft Authenticator доступно для Windows Phone, Android и iOS.
Код проверки из мобильного приложения или токен оборудования Приложение Microsoft Authenticator создает код проверки OATH каждые 30 секунд. Пользователь вводит этот код проверки в интерфейсе входа. Приложение Microsoft Authenticator доступно для Windows Phone, Android и iOS.

Дополнительные сведения см. в разделе "Какие методы проверки подлинности и проверки" доступны в идентификаторе Microsoft Entra ID?.

Включение и отключение способов проверки подлинности

Чтобы включить или отключить методы проверки, выполните следующие действия.

  1. Войдите в Центр администрирования Microsoft Entra как минимум политику проверки подлинности Администратор istrator.
  2. Перейдите к пользователям удостоверений>.
  3. Выберите MFA для каждого пользователя.
  4. В разделе Многофакторная проверка подлинности в верхней части страницы выберите параметры службы.
  5. На странице параметров службы в разделе "Параметры проверки" выберите или снимите соответствующие проверка boxs.
  6. Выберите Сохранить.

Помните многофакторную проверку подлинности

Функция многофакторной проверки подлинности позволяет пользователям обойти последующие проверки в течение указанного количества дней после успешного входа на устройство с помощью MFA. Чтобы повысить удобство работы и свести к минимуму число попыток пользователя выполнить MFA на одном устройстве, выберите длительность в 90 дней или более.

Внимание

Если учетная запись или устройство скомпрометированы, сохранение данных MFA для доверенных устройств может повлиять на безопасность. В случае потери доверенного устройства или компрометации учетной записи организации следует отозвать сеансы MFA.

Действие отмены отзыва отменяет состояние доверия со всех устройств, и пользователю необходимо снова выполнить многофакторную проверку подлинности. Вы также можете указать пользователям восстановить исходное состояние MFA на своих устройствах, как указано в разделе "Управление параметрами для многофакторной проверки подлинности".

Как работает функция

Функция многофакторной проверки подлинности задает постоянный файл cookie в браузере, когда пользователь выбирает параметр "Не запрашивать еще раз X дней" при входе. До истечения срока действия файла cookie запрос на выполнение MFA отображаться не будет. Если пользователь на том же устройстве откроет другой браузер или очистит файлы cookie, запрос на проверку отобразится снова.

Вариант Don't ask again for X days (Больше не спрашивать X дн.) не отображается в небраузерных приложениях независимо от того, поддерживает ли приложение современную проверку подлинности. Эти приложения используют токены обновления, которые предоставляют новые маркеры доступа каждый час. При проверке маркера обновления идентификатор Microsoft Entra проверка, что последняя многофакторная проверка подлинности произошла в течение указанного количества дней.

Функция сокращает количество проверок подлинности в веб-приложениях, которые обычно запрашиваются каждый раз. Если настроена меньшая длительность, функция может увеличить число проверок подлинности для современных клиентов проверки подлинности, которые обычно запрашивают проверку каждые 180 дней. Кроме того, она увеличивает количество операций аутентификации при использовании с политиками условного доступа.

Внимание

Функция многофакторной проверки подлинности не совместима с функцией проверки подлинности AD FS, когда пользователи выполняют многофакторную проверку подлинности для AD FS через сервер MFA или стороннее решение многофакторной проверки подлинности.

Если пользователи выбирают для входа в AD FS, а также помечают свое устройство как доверенное для MFA, пользователь не проверяется автоматически после истечения срока действия многофакторной проверки подлинности . Идентификатор Microsoft Entra запрашивает новую многофакторную проверку подлинности, но AD FS возвращает маркер с исходным утверждением MFA и датой, а не повторной многофакторной проверкой подлинности. Эта реакция задает цикл проверки между идентификатором Microsoft Entra и AD FS.

Функция многофакторной проверки подлинности несовместима с пользователями B2B и не будет отображаться для пользователей B2B при входе в приглашенные клиенты.

Функция многофакторной проверки подлинности не совместима с функцией управления условным доступом для входа. Подробнее см. в статье Настройка управления сеансами проверки подлинности с помощью условного доступа.

Включение многофакторной проверки подлинности

Чтобы включить и настроить для пользователей возможность сохранять состояние MFA и обходить запросы:

  1. Войдите в Центр администрирования Microsoft Entra как минимум политику проверки подлинности Администратор istrator.
  2. Перейдите к пользователям удостоверений>.
  3. Выберите MFA для каждого пользователя.
  4. В разделе Многофакторная проверка подлинности в верхней части страницы выберите параметры службы.
  5. На странице параметров службы в разделе "Многофакторная проверка подлинности" выберите "Разрешить пользователям запоминать многофакторную проверку подлинности на устройствах, которым они доверяют".
  6. Задайте количество дней, чтобы разрешить доверенным устройствам обходить многофакторную проверку подлинности. Для оптимального взаимодействия с пользователями увеличьте продолжительность до 90 или более дней.
  7. Выберите Сохранить.

Пометка устройства как доверенного

После включения функции многофакторной проверки подлинности пользователи могут пометить устройство как доверенное при входе, нажав кнопку "Не спрашивать снова".

Следующие шаги

Дополнительные сведения см. в статье о том, какие методы проверки подлинности и проверки доступны в идентификаторе Microsoft Entra?