Включение Многофакторной идентификации Azure AD для отдельных пользователей для защиты событий входа

Чтобы обезопасить события входа пользователя в Azure AD, можно потребовать многофакторную проверку подлинности (MFA). Рекомендуемым подходом для защиты пользователей является включение Многофакторной идентификации Azure AD с использованием политик условного доступа. Условный доступ — это функция Azure AD Premium P1 или P2, которая позволяет применять правила для требования MFA в определенных сценариях. Чтобы приступить к работе с условным доступом, см. Учебник. Защита событий входа с помощью Многофакторной идентификации Azure AD.

Для бесплатных клиентов Azure AD без условного доступа можно использовать параметры безопасности по умолчанию для защиты пользователей. При необходимости пользователям предлагается указать MFA, но определять собственные правила для управления поведением нельзя.

При необходимости можно включить доступ к Многофакторной идентификации Azure AD для отдельных учетных записей. В этом случае пользователи выполняют многофакторную проверку подлинности при каждом входе (за некоторыми исключениями, к примеру, если они входят из доверенных IP-адресов или включена функция запоминания MFA на проверенных устройствах).

Изменение состояний пользователей не рекомендуется, если лицензии Azure AD не включают условный доступ и вы не хотите использовать параметры безопасности по умолчанию. Дополнительные сведения о различных способах включения MFA см. в статье Функции и лицензии для Многофакторной идентификации Azure AD.

Важно!

В этой статье подробно описано, как просмотреть и изменить состояние Многофакторной идентификации Azure AD для каждого пользователя. При использовании условного доступа или параметров безопасности по умолчанию вы не просматриваете или не включаете учетные записи пользователей с помощью этих действий.

Включение Многофакторной идентификации Azure AD с помощью политики условного доступа не меняет состояние пользователя. Если пользователи отображаются как отключенные — это не повод для беспокойства. Условный доступ не изменяет состояние.

Не включайте или не применяйте Многофакторную идентификацию Azure AD для отдельных пользователей, если используются политики условного доступа.

Состояния пользователей в службе "Многофакторная идентификация Azure AD"

Состояние пользователя содержит сведения о том, был ли он зарегистрирован администратором в Многофакторной идентификации Azure AD. Учетные записи пользователей в службе Многофакторной идентификации Azure AD имеют три различных состояния:

Состояние Описание Затронутая устаревшая аутентификация Затронутые приложения, использующие браузер Затронутая современная аутентификация
Выключено Состояние по умолчанию для пользователя, не указанного в службе Многофакторной идентификации Azure AD. Нет Нет нет
Активировано Пользователь зарегистрирован в Многофакторной идентификации Azure AD для отдельных пользователей, но по-прежнему может использовать пароль для устаревшей проверки подлинности. Если пользователь еще не зарегистрировал метод многофакторной проверки подлинности, он получит запрос на регистрацию при следующем входе с использованием современной проверки подлинности (например, через веб-браузер). Нет. Устаревшая проверка подлинности будет продолжать действовать, пока не выполнится регистрация. Да. После истечения срока действия сеанса требуется регистрация в службе "Многофакторная идентификация Azure AD". Да. После истечения срока действия маркера доступа требуется регистрация в службе "Многофакторная идентификация Azure AD".
Принудительно Пользователь зарегистрирован в Многофакторной идентификации Azure AD для отдельных пользователей. Если пользователь еще не зарегистрировал метод многофакторной проверки подлинности, он получит запрос на регистрацию при следующем входе с использованием современной проверки подлинности (например, через веб-браузер). Пользователи, которые завершают регистрацию с состоянием Активировано, автоматически перемещаются в состояние Принудительно. Да. Для приложений нужны пароли приложений. Да. При входе в систему нужно пройти проверку в службе "Многофакторная идентификация Azure AD". Да. При входе в систему нужно пройти проверку в службе "Многофакторная идентификация Azure AD".

Все пользователи начинают с состояния Отключено. При регистрации пользователей в Многофакторной идентификации Azure AD для отдельных пользователей их состояние изменяется на Активировано. После включения пользователи входят в систему и завершают регистрацию, затем их состояние меняется на Enforced (Принудительно). Администраторы могут перемещать пользователей между состояниями, в том числе из состояния Принудительно в Активировано или Выключено.

Примечание

Если MFA для отдельного пользователя активируется еще раз и пользователь не зарегистрируется повторно, его состояние в MFA не изменится с Активировано на Принудительно в пользовательском интерфейсе управления MFA. Администратор должен напрямую переместить пользователя в состояние Принудительно.

Просмотр состояния пользователя

Чтобы просмотреть состояния пользователей и управлять ими, выполните следующие действия для доступа к странице портала Azure:

  1. Войдите на портал Azure как глобальный администратор.
  2. Найдите и выберите Azure Active Directory, а затем выберите Пользователи>Все пользователи.
  3. Выберите MFA для каждого пользователя. Снимок экрана: выбор многофакторной идентификации в окне
  4. Откроется новая страница со сведениями о состоянии пользователя, как показано в следующем примере. Снимок экрана: пример сведений о состоянии пользователя в службе

Изменение состояния пользователя

Чтобы изменить состояние пользователя в Многофакторной идентификации Azure AD для отдельных пользователей:

  1. Выполните описанные выше действия, чтобы просмотреть состояние пользователя, чтобы перейти на страницу пользователейв Многофакторной идентификации Azure AD.

  2. Найдите пользователя, которого вы хотите включить в Многофакторной идентификации Azure AD для отдельных пользователей. Возможно, потребуется перейти на представление Пользователи в верхней части страницы. На вкладке

  3. Установите флажки рядом с именами пользователей, состояния которых нужно изменить.

  4. Справа, в разделе быстрых действий, выберите Включить или Отключить. В следующем примере рядом с именем пользователя John Smith установлен флажок, и он включается для использования: Включите выбранного пользователя, щелкнув .

    Совет

    Пользователи с состоянием Активировано автоматически перейдут в состояние Принудительно при регистрации в службе "Многофакторная идентификация Azure AD". Не следует вручную изменять пользовательское состояние на Принудительное, если пользователь еще не зарегистрирован или если он может столкнуться с прерыванием подключения к устаревшим протоколам проверки подлинности.

  5. Подтвердите свой выбор во всплывающем окне, которое откроется.

После включения уведомите пользователей по электронной почте. Сообщите пользователям о том, что при следующем входе в систему им будет показан запрос на регистрацию. Кроме того, если ваша организация использует небраузерные приложения, не поддерживающие современную аутентификацию, потребуется создать пароли приложений. Чтобы помочь пользователям начать работу, изучите руководство пользователя по Многофакторной идентификации Azure AD.

Преобразование пользователей с включенной и принудительной многофакторной проверкой подлинности для отдельных пользователей в отключенные

Если пользователи были активированы индивидуально с использованием многофакторной проверки подлинности Azure AD, при помощи PowerShell можно перейти на условный доступ, основанный на многофакторной проверке подлинности Azure AD.

Запустите PowerShell в окне интегрированной среды сценариев или сохраните его как файл .PS1 для локального запуска. Эту операцию можно выполнить только с помощью модуля MSOnline.

# Connect to tenant
Connect-MsolService

# Sets the MFA requirement state
function Set-MfaState {
    [CmdletBinding()]
    param(
        [Parameter(ValueFromPipelineByPropertyName=$True)]
        $ObjectId,
        [Parameter(ValueFromPipelineByPropertyName=$True)]
        $UserPrincipalName,
        [ValidateSet("Disabled","Enabled","Enforced")]
        $State
    )
    Process {
        Write-Verbose ("Setting MFA state for user '{0}' to '{1}'." -f $ObjectId, $State)
        $Requirements = @()
        if ($State -ne "Disabled") {
            $Requirement =
                [Microsoft.Online.Administration.StrongAuthenticationRequirement]::new()
            $Requirement.RelyingParty = "*"
            $Requirement.State = $State
            $Requirements += $Requirement
        }
        Set-MsolUser -ObjectId $ObjectId -UserPrincipalName $UserPrincipalName `
                     -StrongAuthenticationRequirements $Requirements
    }
}
# Disable MFA for all users
Get-MsolUser -All | Set-MfaState -State Disabled

Дальнейшие действия

Сведения о настройке параметров Многофакторной аутентификации Azure AD, см. в этой статье.

Сведения об управлении параметрами пользователей для Многофакторной идентификации Azure AD см. в этой статье.

Чтобы понять, почему пользователь получил или не получил запрос на многофакторную проверку подлинности, см. статью об отчетах службы "Многофакторная идентификация Azure AD".