Часто задаваемые вопросы о многофакторной проверке подлинности Microsoft Entra

При использовании сервера многофакторной идентификации данные пользователей хранятся только на локальных серверах. В облаке данные пользователя постоянно не хранятся. Когда пользователь выполняет двухфакторную проверку подлинности, сервер Многофакторной идентификации отправляет данные в облачную службу многофакторной проверки подлинности Microsoft Entra для проверки подлинности. Обмен данными между сервером многофакторной идентификации и облачной службой многофакторной проверки подлинности использует протокол SSL или TLS через порт 443 исходящего трафика.

Когда запросы на проверку подлинности отправляются в облачную службу, для отчетов о проверке подлинности и использовании собираются данные. Следующие поля данных включаются в журналы двухфакторной проверки подлинности.

• Уникальный идентификатор (имя пользователя или идентификатор локального сервера Многофакторной идентификации).
• Имя и фамилия (необязательно).
• Адрес электронной почты (необязательно).
• Телефон номер (при использовании голосового звонка или проверки подлинности текстового сообщения)
• Маркер устройства (при аутентификации с помощью мобильного приложения).
• Режим проверки подлинности
• Результат проверки подлинности
• Имя сервера Многофакторной идентификации
• IP-адрес сервера Многофакторной идентификации.
• IP-адрес клиента (если он доступен).

Необязательные поля можно настроить на сервере Многофакторной идентификации.

В данных о проверке подлинности хранятся результаты этой операции (выполнена или нет), а также указана причина отказа в соответствующем случае. Эти сведения доступны в отчетах о проверке подлинности и использовании.

Дополнительные сведения см. в разделе "Место расположения данных" и данных клиента для многофакторной проверки подлинности Microsoft Entra.

В США мы используем следующие короткие коды:

• 97671
• 69829
• 51789
• 99399

В Канаде мы используем следующие короткие коды:

• 759731
• 673801

Нет гарантии согласованного текстового сообщения или многофакторной проверки подлинности с одинаковым числом. В интересах наших пользователей мы можем добавлять или удалять короткие коды в любое время, когда мы внося корректировку маршрута для улучшения доставки текстовых сообщений.

Майкрософт не поддерживает короткие коды для каких-либо других стран, кроме США и Канады.

Да, в некоторых случаях, которые обычно включают повторяющиеся запросы проверки подлинности в короткое время, многофакторная проверка подлинности Microsoft Entra будет регулировать попытки входа пользователей в систему для защиты телекоммуникационных сетей, устранять атаки на стиль MFA и защищать свои собственные системы для выгоды всех клиентов.

Хотя мы не делимся определенными ограничениями регулирования, они основаны на разумном использовании.

Нет, вы не взимаете плату за отдельные телефонные звонки, размещенные или текстовые сообщения, отправленные пользователям через многофакторную проверку подлинности Microsoft Entra. Если используется поставщик MFA с оплатой за событие идентификации, счет выставляется за каждую идентификацию, а не за используемый метод.

Пользователи могут оплачивать входящие телефонные звонки или текстовые сообщения, если это предусмотрено тарифами телефонной службы.

Выставление счетов основано на количестве пользователей, настроенных на использование многофакторной проверки подлинности, независимо от того, выполнили ли они двухфакторную проверку подлинности в этом месяце.

При создании поставщика MFA "на пользователя" или "на проверку подлинности" счета выставляются ежемесячно по мере использования в подписке Azure вашей организации. Точно так же Azure выставляет счета за использование виртуальных машин и веб-приложений.

При покупке подписки на многофакторную проверку подлинности Microsoft Entra ваша организация оплачивает только годовую плату за лицензию для каждого пользователя. Счета за лицензии MFA и Microsoft 365, Microsoft Entra ID P1 или P2 или Enterprise Mobility + Security.

Дополнительные сведения см. в разделе "Как получить многофакторную проверку подлинности Microsoft Entra".

Значения по умолчанию безопасности можно включить на уровне "Бесплатный идентификатор" Microsoft Entra ID. По умолчанию для безопасности все пользователи включены для многофакторной проверки подлинности с помощью приложения Microsoft Authenticator. Использовать текстовые сообщения или проверку по телефону с параметрами безопасности по умолчанию нельзя: поддерживается только приложение Microsoft Authenticator.

Дополнительные сведения см. в статье Что такое параметры безопасности по умолчанию?

Если организация приобретает MFA как автономную службу с оплатой по мере использования, модель выставления счетов можно выбрать при создании поставщика MFA. После его создания изменить модель выставления счетов невозможно.

Если поставщик MFA не связан с клиентом Microsoft Entra или вы связываете нового поставщика MFA с другим клиентом Microsoft Entra, параметрами пользователя и параметрами конфигурации не передаются. Кроме того, существующие серверы MFA необходимо повторно активировать с помощью учетных данных активации, созданных с помощью нового поставщика MFA. Повторная активация серверов MFA для их связи с новым поставщиком MFA не влияет на проверку подлинности с помощью телефонного звонка и текстового сообщения в отличие от уведомлений мобильных приложений, которые перестанут работать, пока пользователи повторно не активируют мобильные приложения.

Дополнительные сведения о поставщиках MFA см. в разделе "Начало работы с поставщиком многофакторной проверки подлинности Azure".

В некоторых случаях это возможно.

Если в вашем каталоге есть поставщик многофакторной проверки подлинности Microsoft Entra, можно добавить лицензии MFA. Пользователи, имеющие лицензии, не будут учитываться при выставлении счетов по модели "на пользователя". Для пользователей без лицензий можно по-прежнему включить MFA с помощью поставщика MFA. При покупке и назначении лицензий для всех пользователей, настроенных на использование многофакторной проверки подлинности, можно удалить поставщик многофакторной проверки подлинности Microsoft Entra. Если в будущем количество пользователей превысит число лицензий, вы можете всегда создать другой поставщик MFA с оплатой "на пользователя".

Если у вашего каталога есть поставщик многофакторной проверки подлинности Microsoft Entra, вы всегда оплачиваете каждую проверку подлинности, если поставщик MFA связан с подпиской. Вы можете назначить лицензии MFA пользователям, но плата по-прежнему будет взиматься за каждый запрос на двухфакторную проверку подлинности даже от пользователей с лицензиями MFA.

Если в организации используется модель выставления счетов на основе потребления, идентификатор Microsoft Entra необязателен, но не требуется. Если поставщик MFA не связан с клиентом Microsoft Entra, можно развернуть только локальный сервер Многофакторной идентификации Azure.

Идентификатор Microsoft Entra необходим для модели лицензии, так как лицензии добавляются в клиент Microsoft Entra при покупке и назначают их пользователям в каталоге.

Попробуйте выполнить до пяти минут, чтобы получить телефонный звонок или текстовое сообщение для проверки подлинности. Корпорация Майкрософт использует несколько поставщиков для доставки звонков и текстовых сообщений. Если этот метод не работает, для решения проблемы создайте обращение в службу поддержки.

Блокировать текстовое сообщение или телефонный звонок с проверочным кодом также могут сторонние приложения безопасности. Если вы используете стороннее приложение безопасности, попробуйте отключить защиту, а затем запросите другой проверочный код MFA.

Если указанные выше действия не помогают, проверьте, не настроены ли для пользователей другие методы проверки. Попробуйте выполнить вход еще раз, но при этом выбрать другой метод проверки на странице входа.

Дополнительные сведения см. в руководстве пользователя по устранению неполадок.

Вы можете сбросить настройки учетной записи, попросив пользователя снова пройти процесс регистрации. Дополнительные сведения об управлении параметрами пользователей и устройств с помощью многофакторной проверки подлинности Microsoft Entra в облаке.

Чтобы предотвратить несанкционированный доступ, удалите все пароли приложений пользователя. После получения нового устройства пользователь сможет создать их заново. Дополнительные сведения об управлении параметрами пользователей и устройств с помощью многофакторной проверки подлинности Microsoft Entra в облаке.

Если в организации используются устаревшие клиенты и допускается использование паролей приложений, то пользователи не смогут войти в эти клиенты, используя учетные данные. Вместо этого они должны настроить пароли приложений. Пользователи должны очистить (удалить) сведения для входа в систему, перезапустить приложение и войти в него, используя свое имя пользователя и пароль приложения, а не обычный пароль.

Если в организации не используются устаревшие клиенты, не разрешайте пользователям создавать пароли приложений.

Доставка текстовых сообщений не гарантируется, так как неконтролируемые факторы могут повлиять на надежность службы. К таким факторам относится страна или регион назначения, оператор мобильной связи и сила сигнала.

Блокировать текстовое сообщение или телефонный звонок с проверочным кодом также могут сторонние приложения безопасности. Если вы используете стороннее приложение безопасности, попробуйте отключить защиту, а затем запросите другой проверочный код MFA.

Пользователям, которые испытывают трудности с получением текстовых сообщений, мы советуем использовать приложение Microsoft Authenticator или телефонные звонки. Приложение Microsoft Authenticator может получать уведомления как по сотовой сети, так и через Wi-Fi. Кроме того, мобильное приложение может создать код подтверждения даже при полном отсутствии связи. Приложение Microsoft Authenticator доступно для Android, iOS и Windows Phone.

В некоторых случаях да.

Для односторонного SMS-сообщения с сервером MFA версии 7.0 или более поздней версии можно настроить параметр времени ожидания, задав раздел реестра. После того как облачная служба MFA отправит текстовое сообщение, на сервер MFA вернется код проверки (или одноразовый секретный код). По умолчанию сервер MFA хранит код в памяти 300 секунд. Если пользователь вводит свой код по истечении 300 секунд, ему будет отказано в доступе. Чтобы изменить значение времени ожидания по умолчанию, выполните следующие действия:

1. Переход к HKLM\Software\Wow6432Node\Positive Networks\PhoneFactor.
2. Создайте раздел реестра DWORD с именем pfsvc_pendingSmsTimeoutSeconds и задайте время в секундах, в течение которого сервер MFA будет хранить одноразовые секретные коды.

Если пользователь не ответит на текстовое сообщение в течение определенного времени ожидания, в проверке подлинности будет отказано.

Для односторонних SMS с многофакторной проверкой подлинности Microsoft Entra в облаке (включая адаптер AD FS или расширение сервера политики сети), нельзя настроить параметр времени ожидания. Идентификатор Microsoft Entra хранит код проверки в течение 180 секунд.

Если вы используете сервер Многофакторной идентификации, вы можете импортировать сторонние маркеры однофакторной проверки подлинности (OATH), однократные маркеры пароля (TOTP), а затем использовать их для двухфакторной проверки подлинности.

Маркеры ActiveIdentity, которые являются токенами OATH TOTP, можно использовать, если вы помещаете секретный ключ в CSV-файл и импортируете на сервер Многофакторной идентификации. OATH-токены можно использовать со службами федерации Active Directory (AD FS), протоколом RADIUS (до тех пор, пока клиентская система может принимать пользовательский ввод) или при проверке подлинности на основе форм IIS.

Сторонние токены OATH TOTP можно импортировать в следующих форматах.

• PSKC.
• CSV, если файл содержит серийный номер, секретный ключ в формате Base 32 и там указан интервал времени.

Да, но если вы используете Windows Server 2012 R2 или более позднюю версию, то обеспечить безопасность служб терминалов можно только с помощью шлюза удаленных рабочих столов.

Изменения безопасности в Windows Server 2012 R2 изменили способ подключения сервера многофакторной идентификации к пакету безопасности локального центра безопасности (LSA) в Windows Server 2012 и более ранних версиях. Для версий служб терминалов, используемых в Windows Server 2012 и более ранних версий, можно защитить приложение с помощью проверки подлинности Windows. Если вы используете Windows Server 2012 R2, необходим шлюз удаленных рабочих столов.

Когда многофакторные вызовы проверки подлинности размещаются через общедоступную телефонную сеть, иногда они направляются через перевозчик, который не поддерживает идентификатор абонента. Из-за этого поведения оператора идентификатор вызывающего объекта не гарантируется, даже если система многофакторной проверки подлинности всегда отправляет его.

Существует несколько причин, почему пользователи могут получать такой запрос:

• Пользователь был включен для MFA своим администратором в идентификаторе Microsoft Entra ID, но у него еще нет сведений о безопасности, зарегистрированных для своей учетной записи.
• Пользователь был включен для самостоятельного сброса пароля в идентификаторе Microsoft Entra. Сведения о безопасности помогут ему в будущем сбросить пароль, если он его забудет.
• При доступе к приложению с политикой условного доступа, для которой требуется MFA, но пользователь не был зарегистрирован для MFA.
• Пользователь регистрирует устройство с идентификатором Microsoft Entra (включая присоединение к Microsoft Entra), а для регистрации устройства требуется MFA, но пользователь ранее не зарегистрировался для MFA.
• Пользователь создает Windows Hello для бизнеса в Windows 10 (для которого требуется MFA), но не был зарегистрирован для MFA.
• Организация создала и включила политику регистрации для MFA, которая была применена к пользователю.
• Пользователь уже зарегистрирован для MFA, но выбрал метод проверки, отключенный администратором. В таком случае пользователь должен зарегистрироваться для MFA еще раз, чтобы выбрать новый метод проверки по умолчанию.

Попросите пользователя выполнить следующую процедуру, чтобы удалить учетную запись из Microsoft Authenticator, а затем снова добавить ее:

1. Перейдите к своему профилю учетной записи и войдите с помощью учетной записи организации.
2. Щелкните Дополнительная проверка безопасности.
3. Удалите учетную запись из приложения Microsoft Authenticator.
4. Нажмите кнопку Настроить и следуйте инструкциям по перенастройке приложения Microsoft Authenticator.

При попытке войти в установленное на локальном компьютере приложение, не использующее браузер, которое не работает с учетной записью, требующей двухфакторную проверку, возникает ошибка 0x800434D4L.

Для устранения этой ошибки нужно использовать отдельные учетные записи пользователя для операций администрирования и для операций, не связанных с администрированием. Позже вы сможете связать почтовые ящики с этими учетными записями, чтобы иметь возможность входить в Outlook с помощью учетной записи без привилегий администратора. Чтобы больше узнать об этом решении, ознакомьтесь с предоставлением администратору возможности открывать и просматривать содержимое почтового ящика пользователя.

Ошибка 1073741715 = Ошибка входа в систему -> Попытка входа в систему недействительна. Это происходит из-за неправильного имени пользователя или из-за проверки подлинности.

Вероятная причина этой ошибки: если введенные первичные учетные данные верны, возможно, существует несоответствие между поддерживаемой версией NTLM на сервере MFA и контроллере домена. Сервер MFA поддерживает только NTLMv1 (LmCompatabilityLevel=1 thru 4) и не поддерживает NTLMv2 (LmCompatabilityLevel=5).

Следующие шаги

Если вы не нашли здесь ответ на свой вопрос, можно также использовать следующие варианты поддержки:

• В базе знаний службы технической поддержки Майкрософт можно искать решения распространенных технических проблем.
• Найдите и просмотрите технические вопросы и ответы от сообщества или задайте свой собственный вопрос в Microsoft Entra Q&A.
• Обратитесь в службу поддержки сервера Многофакторной идентификации Майкрософт. Вы можете облегчить нам задачу, если при обращении предоставите максимально полные сведения о проблеме. Вы можете сообщить нам, на какой странице возникла ошибка, а также какой точный код ошибки, идентификатор сеанса и идентификатор пользователя, получившего эту ошибку.
• Если вы используете устаревшую версию PhoneFactor и у вас есть вопросы по сбросу пароля или вам требуется помощь, создайте обращение в службу поддержки по адресу phonefactorsupport@microsoft.com.