Функции и лицензии для многофакторной проверки подлинности Microsoft Entra

Для защиты учетных записей пользователей в организации следует использовать многофакторную проверку подлинности. Эта функция особенно важна для учетных записей, которые имеют привилегированный доступ к ресурсам. Базовые функции многофакторной проверки подлинности доступны пользователям Microsoft 365 и пользователям Microsoft Entra и глобальным администраторам без дополнительных затрат. Если вы хотите обновить функции для администраторов или расширить многофакторную проверку подлинности для остальных пользователей с дополнительными методами проверки подлинности и большим контролем, вы можете приобрести многофакторную проверку подлинности Microsoft Entra несколькими способами.

Важно!

В этой статье описаны различные способы, которыми можно лицензировать и использовать многофакторную проверку подлинности Microsoft Entra. Дополнительные сведения о ценах и выставлении счетов см. на странице цен Microsoft Entra.

Доступные версии многофакторной проверки подлинности Microsoft Entra

Многофакторная проверка подлинности Microsoft Entra может использоваться и лицензироваться несколькими способами в зависимости от потребностей вашей организации. Все клиенты имеют право использование основных функций многофакторной проверки подлинности с помощью параметров безопасности по умолчанию. Вы уже можете использовать расширенную многофакторную проверку подлинности Microsoft Entra в зависимости от используемой вами лицензии Microsoft Entra ID, EMS или Microsoft 365. Например, первые 50 000 ежемесячных активных пользователей в Внешняя идентификация Microsoft Entra могут использовать MFA и другие функции P1 или P2 бесплатно. Дополнительные сведения см. в Внешняя идентификация Microsoft Entra ценах.

В следующей таблице описаны различные способы получения многофакторной проверки подлинности Microsoft Entra и некоторых функций и вариантов использования для каждого из них.

Если вы являетесь пользователем Возможности и варианты использования
Microsoft 365 бизнес премиум и EMS или Microsoft 365 E3 и E5 EMS E3, Microsoft 365 E3 и Microsoft 365 бизнес премиум включают идентификатор Microsoft Entra ID P1. EMS E5 или Microsoft 365 E5 включает идентификатор Microsoft Entra ID P2. В следующих разделах можно использовать те же функции условного доступа, чтобы обеспечить многофакторную проверку подлинности пользователям.
Microsoft Entra ID P1 Условный доступ Microsoft Entra можно использовать для запроса пользователей на многофакторную проверку подлинности во время определенных сценариев или событий в соответствии с вашими бизнес-требованиями.
Microsoft Entra ID P2 Обеспечивает наивысший уровень безопасности и улучшает взаимодействие с пользователем. Добавляет условный доступ на основе рисков к функциям Microsoft Entra ID P1, которые адаптируются к шаблонам пользователя и минимизирует запросы многофакторной проверки подлинности.
Все планы Microsoft 365 Многофакторная проверка подлинности Microsoft Entra может быть включена для всех пользователей, использующих параметры безопасности по умолчанию. Управление многофакторной проверкой подлинности Microsoft Entra осуществляется через портал Microsoft 365. Для улучшения пользовательского интерфейса обновите идентификатор Microsoft Entra ID P1 или P2 и используйте условный доступ. Дополнительные сведения см. в разделе безопасных ресурсов Microsoft 365 с многофакторной проверкой подлинности.
Office 365 уровня "Бесплатный"
Бесплатный идентификатор Microsoft Entra
Вы можете использовать значения безопасности по умолчанию для запроса пользователей на многофакторную проверку подлинности по мере необходимости, но у вас нет детального управления включенными пользователями или сценариями, но он предоставляет этот дополнительный шаг безопасности.
Даже если параметры безопасности по умолчанию не используются для включения многофакторной проверки подлинности для всех пользователей, пользователи, назначенные ролью Microsoft Entra Global Администратор istrator, можно настроить для использования многофакторной проверки подлинности. Эта функция бесплатного уровня гарантирует, что критически важные учетные записи администратора защищены многофакторной проверкой подлинности.

Сравнение функций на основе лицензий

В следующей таблице приведен список функций, доступных в различных версиях идентификатора Microsoft Entra для многофакторной проверки подлинности. Спланируйте потребности в защите проверки подлинности пользователей, а затем определите, какой подход соответствует этим требованиям. Например, хотя Microsoft Entra ID Free предоставляет параметры безопасности, обеспечивающие многофакторную проверку подлинности Microsoft Entra, где для запроса проверки подлинности можно использовать только мобильное приложение проверки подлинности. Этот подход может быть ограничением, если не удастся убедиться, что на персональном устройстве пользователя установлено мобильное приложение проверки подлинности. Дополнительные сведения см . на уровне "Бесплатный идентификатор Майкрософт" далее в этом разделе.

Компонент Бесплатный идентификатор Microsoft Entra — значения по умолчанию безопасности (включены для всех пользователей) Бесплатный идентификатор Microsoft Entra — только глобальные Администратор istrators Office 365 Microsoft Entra ID, лицензия P1 Microsoft Entra ID, лицензия P2
Защита учетных записей администратора клиента Microsoft Entra с помощью MFA ● (только учетные записи Microsoft Entra Global Администратор istrator)
Мобильное приложение в качестве второго фактора
Телефонный вызов в качестве второго фактора
Текстовое сообщение в качестве второго фактора
Администраторский контроль над методами проверки
Предупреждение о мошенничестве
Отчеты службы "Многофакторная идентификация Azure"
Настраиваемые приветствия для телефонных вызовов
Настраиваемый идентификатор вызывающей стороны для телефонных звонков
Надежные IP-адреса
Запоминание данных MFA для доверенных устройств
MFA для локальных приложений
Условный доступ
Условный доступ на основе рисков

Сравнение политик многофакторной проверки подлинности

Рекомендуемый нами подход к применению MFA — использование условного доступа. Ознакомьтесь со следующей таблицей, чтобы определить, какие возможности обеспечивают ваши лицензии.

Полис Параметры безопасности по умолчанию Условный доступ MFA для каждого пользователя
Управление
Стандартный набор правил безопасности для защиты вашей организации.
Включение и отключение одним щелчком.
Обеспечивается лицензиями Office 365 (изучите рекомендации по лицензиям).
Предварительно настроенные шаблоны в мастере центра администрирования Microsoft 365.
Гибкость настройки.
Функциональность
Исключение пользователей из политики.
Проверка подлинности по телефону или текстовому сообщению
Проверка подлинности с помощью Microsoft Authenticator и программных маркеров.
Проверка подлинности с помощью FIDO2, Windows Hello для бизнеса и аппаратных маркеров.
Блокирование устаревших протоколов проверки подлинности.
Новые сотрудники защищаются автоматически.
Динамические триггеры MFA на основе событий риска.
Политики поверки подлинности и авторизации.
Возможность настройки на основе расположения и состояния устройства.
Поддержка режима "только отчет".
Возможность полностью блокировать пользователей и службы.

Приобретение и включение многофакторной проверки подлинности Microsoft Entra

Чтобы использовать многофакторную проверку подлинности Microsoft Entra, зарегистрируйтесь или приобретите подходящий уровень Microsoft Entra. Идентификатор Microsoft Entra поставляется в четырех выпусках: Бесплатный, Office 365, Premium P1 и Premium P2.

Выпуск Free включен в подписку Azure. Дополнительные сведения об использовании учетных записей безопасности по умолчанию или защите учетных записей с ролью Microsoft Entra Global Администратор istrator см. в разделе ниже.

Выпуски Microsoft Entra ID P1 или P2 доступны через своего представителя Майкрософт, программу open Volume License и программу поставщик облачных решений s. Подписчики Azure и Microsoft 365 также могут купить Microsoft Entra ID P1 и P2 в Интернете. Для этого необходимо выполнить вход в систему.

После приобретения требуемого уровня Microsoft Entra планируйте и разверните многофакторную проверку подлинности Microsoft Entra.

Бесплатный уровень идентификатора Microsoft Entra

Все пользователи в клиенте Microsoft Entra ID Free могут использовать многофакторную проверку подлинности Microsoft Entra с помощью по умолчанию безопасности. Мобильное приложение проверки подлинности можно использовать для многофакторной проверки подлинности Microsoft Entra при использовании по умолчанию бесплатной безопасности Microsoft Entra ID.

Если вы не хотите включить многофакторную проверку подлинности Microsoft Entra для всех пользователей, вместо этого можно выбрать только защиту учетных записей пользователей с помощью роли Microsoft Entra Global Администратор istrator. Такой подход предоставляет дополнительные запросы аутентификации для критически важных учетных записей администратора. Включить многофакторную проверку подлинности Microsoft Entra можно одним из следующих способов в зависимости от типа используемой учетной записи:

Следующие шаги