Включение многофакторной проверки подлинности Для каждого пользователя Microsoft Entra для защиты событий входа

  • Статья

Чтобы защитить события входа пользователей в идентификаторе Microsoft Entra, можно требовать многофакторную проверку подлинности. Включение многофакторной проверки подлинности Microsoft Entra с помощью политик условного доступа рекомендуется для защиты пользователей. Условный доступ — это функция Microsoft Entra ID P1 или P2, которая позволяет применять правила, чтобы требовать MFA по мере необходимости в определенных сценариях. Сведения о начале работы с условным доступом см. в руководстве по обеспечению безопасности событий входа пользователей с помощью многофакторной проверки подлинности Microsoft Entra.

Для бесплатных клиентов Microsoft Entra ID Free без условного доступа можно использовать значения безопасности по умолчанию для защиты пользователей. При необходимости пользователям предлагается указать MFA, но определять собственные правила для управления поведением нельзя.

При необходимости можно включить каждую учетную запись для многофакторной проверки подлинности Microsoft Entra. Если пользователи включены по отдельности, они выполняют многофакторную проверку подлинности при каждом входе (например, при входе с доверенных IP-адресов или при включении функции MFA на доверенных устройствах ).

Изменение состояний пользователей не рекомендуется, если лицензии на идентификатор Microsoft Entra ID не включают условный доступ, и вы не хотите использовать значения по умолчанию безопасности. Дополнительные сведения о различных способах включения MFA см. в разделе "Функции и лицензии" для многофакторной проверки подлинности Microsoft Entra.

Важно!

В этой статье описано, как просмотреть и изменить состояние многофакторной проверки подлинности Microsoft Entra для каждого пользователя. При использовании условного доступа или параметров безопасности по умолчанию вы не просматриваете или не включаете учетные записи пользователей с помощью этих действий.

Включение многофакторной проверки подлинности Microsoft Entra с помощью политики условного доступа не изменяет состояние пользователя. Если пользователи отображаются как отключенные — это не повод для беспокойства. Условный доступ не изменяет состояние.

Не включите или не применяйте многофакторную проверку подлинности Microsoft Entra для каждого пользователя, если вы используете политики условного доступа.

Состояния пользователей многофакторной проверки подлинности Microsoft Entra

Состояние пользователя отражает, зарегистрирован ли администратор в многофакторной проверке подлинности Microsoft Entra. Учетные записи пользователей в многофакторной проверке подлинности Microsoft Entra имеют следующие три различных состояния:

State Description Затронутая устаревшая аутентификация Затронутые приложения, использующие браузер Затронутая современная аутентификация
Выключено Состояние по умолчанию для пользователя, не зарегистрированного в многофакторной проверке подлинности Microsoft Entra. No No No
Включен Пользователь регистрируется в многофакторной проверке подлинности Microsoft Entra, но по-прежнему может использовать пароль для устаревшей проверки подлинности. Если пользователь еще не зарегистрировал метод многофакторной проверки подлинности, он получит запрос на регистрацию при следующем входе с использованием современной проверки подлинности (например, через веб-браузер). № Устаревшая проверка подлинности будет продолжать действовать, пока не выполнится регистрация. Да. После истечения срока действия сеанса требуется регистрация многофакторной проверки подлинности Microsoft Entra. Да. После истечения срока действия маркера доступа требуется регистрация многофакторной проверки подлинности Microsoft Entra.
Принудительно Пользователь регистрируется на пользователя в многофакторной проверке подлинности Microsoft Entra. Если пользователь еще не зарегистрировал метод многофакторной проверки подлинности, он получит запрос на регистрацию при следующем входе с использованием современной проверки подлинности (например, через веб-браузер). Пользователи, которые завершают регистрацию с состоянием Активировано, автоматически перемещаются в состояние Принудительно. Да. Для приложений нужны пароли приложений. Да. При входе требуется многофакторная проверка подлинности Microsoft Entra. Да. При входе требуется многофакторная проверка подлинности Microsoft Entra.

Все пользователи начинают с состояния Отключено. При регистрации пользователей в многофакторной проверке подлинности Microsoft Entra их состояние изменяется на Включено. После включения пользователи входят в систему и завершают регистрацию, затем их состояние меняется на Enforced (Принудительно). Администраторы могут перемещать пользователей между состояниями, в том числе из состояния Принудительно в Активировано или Выключено.

Примечание.

Если MFA для отдельного пользователя активируется еще раз и пользователь не зарегистрируется повторно, его состояние в MFA не изменится с Активировано на Принудительно в пользовательском интерфейсе управления MFA. Администратор должен напрямую переместить пользователя в состояние Принудительно.

Просмотр состояния пользователя

Совет

Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.

Чтобы просмотреть состояния пользователей и управлять ими, выполните следующие действия.

  1. Войдите в Центр администрирования Microsoft Entra как минимум Администратор istrator проверки подлинности.
  2. Перейдите ко всем пользователям удостоверений>>.
  3. Выберите MFA для каждого пользователя. Screenshot of select multifactor authentication from the Users window in Azure AD.
  4. Откроется новая страница со сведениями о состоянии пользователя, как показано в следующем примере. Screenshot that shows example user state information for Microsoft Entra multifactor authentication

Изменение состояния пользователя

Чтобы изменить состояние многофакторной проверки подлинности Microsoft Entra для пользователя, выполните следующие действия:

  1. Чтобы просмотреть состояние пользователя, перейдите на страницу пользователей многофакторной проверки подлинности Microsoft Entra.

  2. Найдите пользователя, который вы хотите включить для многофакторной проверки подлинности Microsoft Entra. Возможно, потребуется перейти на представление Пользователи в верхней части страницы. Select the user to change status for from the users tab

  3. Установите флажки рядом с именами пользователей, состояния которых нужно изменить.

  4. Справа, в разделе быстрых действий, выберите Включить или Отключить. В следующем примере пользователь Джон Смит имеет проверка рядом с именем и включен для использования:Enable selected user by clicking Enable on the quick steps menu

    Совет

    Пользователи с поддержкой автоматически переключаются на принудительное применение при регистрации для многофакторной проверки подлинности Microsoft Entra. Не следует вручную изменять пользовательское состояние на Принудительное, если пользователь еще не зарегистрирован или если он может столкнуться с прерыванием подключения к устаревшим протоколам проверки подлинности.

  5. Подтвердите свой выбор во всплывающем окне, которое откроется.

После включения уведомите пользователей по электронной почте. Сообщите пользователям о том, что при следующем входе в систему им будет показан запрос на регистрацию. Кроме того, если ваша организация использует небраузерные приложения, не поддерживающие современную аутентификацию, потребуется создать пароли приложений. Дополнительные сведения см. в руководстве по многофакторной проверке подлинности Microsoft Entra, чтобы помочь им приступить к работе.

Следующие шаги

Сведения о настройке параметров многофакторной проверки подлинности Microsoft Entra см. в разделе "Настройка параметров многофакторной проверки подлинности Microsoft Entra".

Сведения об управлении параметрами пользователей для многофакторной проверки подлинности Microsoft Entra см. в статье "Управление параметрами пользователей с помощью многофакторной проверки подлинности Microsoft Entra".

Сведения о том, почему пользователю было предложено выполнить многофакторную проверку подлинности, см . в отчетах о многофакторной проверке подлинности Microsoft Entra.