Изменить

Управление методами проверки подлинности пользователей для многофакторной проверки подлинности Microsoft Entra

  • Практическое руководство

Пользователи в идентификаторе Microsoft Entra id имеют два разных набора контактных данных:

  • Контактные данные открытого профиля, управление которыми осуществляется в профиле пользователя и которые видны участникам вашей организации. Для пользователей, синхронизированных из локального каталога Active Directory, управление этими сведениями осуществляется в локальных службах домена Active Directory Windows Server.
  • Методы проверки подлинности, которые всегда хранятся в закрытом режиме и используются только для проверки подлинности, включая многофакторную проверку подлинности. Администраторы могут управлять этими способами в колонке способа проверки подлинности пользователя, а пользователи могут управлять своими способами на странице сведений о безопасности своей учетной записи.

При управлении методами многофакторной проверки подлинности Microsoft Entra для пользователей администраторы проверки подлинности могут:

  • Добавление способов проверки подлинности для конкретного пользователя, включая номера телефонов, используемые для MFA.
  • Сброс пароля пользователя.
  • Настройка требования для пользователя повторно зарегистрироваться для MFA.
  • Отзыв существующих сеансов MFA.
  • Удаление существующих паролей приложений пользователя.

Необходимые компоненты

Многофакторная проверка подлинности Microsoft Entra, которая включена по умолчанию.

Добавление методов проверки подлинности для пользователя

Можно добавить методы проверки подлинности для пользователя с помощью Центра администрирования Microsoft Entra или Microsoft Graph.

Примечание.

По соображениям безопасности поля с общими контактными данными пользователя не должны использоваться для MFA. Вместо этого пользователи должны указывать номера способов проверки подлинности, которые будут применяться для MFA.

Снимок экрана: добавление методов проверки подлинности из Центра администрирования Microsoft Entra.

Чтобы добавить методы проверки подлинности для пользователя в Центре администрирования Microsoft Entra, выполните следующие действия.

  1. Войдите в Центр администрирования Microsoft Entra как минимум Администратор istrator проверки подлинности.
  2. Перейдите в раздел Удостоверение>Пользователи>Все пользователи.
  3. Выберите пользователя, для которого требуется добавить способ проверки подлинности, и нажмите Способы проверки подлинности.
  4. В верхней части окна выберите + Добавить способ проверки подлинности.
    • Выберите способ (номер телефона или адрес электронной почты). Электронная почта может использоваться для самостоятельного сброса пароля, но не для проверки подлинности. При добавлении номера телефона выберите тип телефона и введите номер телефона в допустимом формате (например, + 1 4255551234).
    • Выберите Добавить.

Примечание.

Предварительная версия интерфейса позволяет администраторам добавлять доступные способы проверки подлинности для пользователей, в то время как в исходном интерфейсе возможно только обновление номера телефона и дополнительного телефона.

Управление методами с помощью PowerShell

Установите модуль Microsoft.Graph.Identity.Signins PowerShell с помощью указанны ниже команд.

Install-module Microsoft.Graph.Identity.Signins
Connect-MgGraph -Scopes "User.Read.all","UserAuthenticationMethod.Read.All","UserAuthenticationMethod.ReadWrite.All"
Select-MgProfile -Name beta

List phone based authentication methods for a specific user.

Get-MgUserAuthenticationPhoneMethod -UserId balas@contoso.com

Create a mobile phone authentication method for a specific user.

New-MgUserAuthenticationPhoneMethod -UserId balas@contoso.com -phoneType "mobile" -phoneNumber "+1 7748933135"

Remove a specific phone method for a user

Remove-MgUserAuthenticationPhoneMethod -UserId balas@contoso.com -PhoneAuthenticationMethodId 3179e48a-750b-4051-897c-87b9720928f7

Authentication methods can also be managed using Microsoft Graph APIs. For more information, see Authentication and authorization basics.

Управление параметрами проверки подлинности пользователей

Совет

Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.

Если вам назначена роль администратора проверки подлинности, вы можете потребовать от пользователя сбросить пароль, повторно зарегистрироваться для использования MFA или отозвать существующие сеансы MFA для объекта пользователя. Чтобы изменить соответствующие параметры, выполните указанные ниже действия.

  1. Войдите в Центр администрирования Microsoft Entra как минимум Администратор istrator проверки подлинности.

  2. Перейдите в раздел Удостоверение>Пользователи>Все пользователи.

  3. Выберите пользователя, для которого требуется выполнить действие, и нажмите Способы проверки подлинности. В верхней части окна выберите для пользователя один из следующих вариантов:

    • Сброс пароля сбрасывает пароль пользователя и назначает временный пароль, который необходимо изменить при следующем входе.
    • Требовать повторной регистрации MFA деактивирует аппаратные токены OATH пользователя и удаляет следующие методы проверки подлинности от этого пользователя: номера телефонов, приложения Microsoft Authenticator и маркеры OATH программного обеспечения. При необходимости пользователю предлагается настроить новый метод проверки подлинности MFA при следующем входе.
    • Отмена сеансов MFA очищает запоминаемые сеансы MFA пользователя и требует от них выполнения MFA при следующем выполнении политики на устройстве.

    Снимок экрана: управление методами проверки подлинности из Центра администрирования Microsoft Entra.

Удаление существующих паролей приложений пользователей

Для пользователей, для которых определены пароли приложений, администраторы также могут удалить их, что приведет к сбою проверки подлинности в этих приложениях. Эти действия могут потребоваться, если понадобится помочь пользователю или сбросить его способы проверки подлинности. Работа не использующих браузер приложений, связанных с этими паролями, приостанавливается, пока не будут созданы новые пароли.

Чтобы удалить пароли приложений пользователя, выполните указанные ниже действия.

  1. Войдите в Центр администрирования Microsoft Entra как минимум Администратор istrator проверки подлинности.

  2. Перейдите в раздел Удостоверение>Пользователи>Все пользователи.

  3. Выберите многофакторную проверку подлинности. Возможно, чтобы увидеть этот пункт меню, вам понадобится прокрутить экран вправо. Выберите приведенный ниже пример экрана, чтобы просмотреть полное окно и расположение меню: Снимок экрана: выбор многофакторной проверки подлинности в окне

  4. Установите флажок рядом с именем пользователя или пользователей, которыми требуется управлять. В правой части отобразится список параметров быстрого действия.

  5. Выберите "Управление параметрами пользователя", а затем проверка поле "Удалить все существующие пароли приложений", созданные выбранными пользователями, как показано в следующем примере:Снимок экрана: удаление всех существующих паролей приложения.

  6. Выберите Сохранить и Закрыть.

Связанный контент