Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Чтобы настроить взаимодействие с конечным пользователем для многофакторной проверки подлинности (MFA) Microsoft Entra, можно настроить параметры для создания отчетов о подозрительных действиях. В следующей таблице описаны параметры MFA Microsoft Entra, а подразделы подробно описывают каждый параметр.
Примечание.
Отчет о подозрительном действии заменяет устаревшие функции блокировки или разблокировки пользователей, оповещений о мошенничестве и уведомлений. 1 марта 2025 г. устаревшие функции были удалены.
Функция | Описание |
---|---|
Сообщить о подозрительном действии | Настройка параметров, которые позволяют пользователям сообщать о мошеннических запросах на проверку. |
Токены OATH | Используется в облачных средах Microsoft Entra MFA для управления токенами OATH для пользователей. |
Параметры телефонного звонка | Настройте параметры, относящиеся к телефонным звонками и приветствиям в облачных и локальных средах. |
Поставщики | Здесь отображаются все существующие поставщики проверки подлинности, которые вы ранее связали с этой учетной записью. Добавление новых поставщиков отключено с 1 сентября 2018 г. |
Сообщить о подозрительном действии
При получении неизвестного и подозрительного запроса MFA пользователи могут сообщать об этом действии с помощью Microsoft Authenticator или по телефону. Сообщение о подозрительной активности интегрировано с Microsoft Entra ID Protection для устранения рисков, создания отчетов и администрирования с минимальными привилегиями.
Пользователи, которые сообщают о запросе MFA, как подозрительный, имеют высокий риск пользователя. Администраторы могут использовать политики на основе рисков, чтобы ограничить доступ для этих пользователей или включить самостоятельный сброс пароля (SSPR) для пользователей, чтобы устранить проблемы самостоятельно.
Если у вас нет лицензии Microsoft Entra ID P2 для политик на основе рисков, можно использовать события обнаружения рисков вручную для идентификации и отключения затронутых пользователей или настройки автоматизации с помощью пользовательских рабочих процессов с Microsoft Graph. Дополнительные сведения об изучении и устранении рисков пользователей см. в следующем разделе:
- Практическое руководство. Изучение риска
- Практическое руководство. Устранение рисков и разблокировка пользователей
Чтобы включить Сообщить о подозрительной активности в параметрах политики методов аутентификации:
- Войдите в Центр администрирования Microsoft Entra как минимум как Администратор политик аутентификации.
- Перейдите к Entra ID>методам>аутентификациинастройкам.
- Установите параметр "Сообщать о подозрительной активности" на "Включено". Эта функция остается отключенной, если вы выберете управление корпорацией Майкрософт. Дополнительные сведения об управляемых значениях Microsoft см. в статье "Защита методов проверки подлинности в Microsoft Entra".
- Выберите всех пользователей или определенную группу.
- Если вы также отправляете пользовательские приветствия для арендатора, выберите отчетный код. Код отчетности — это номер, который пользователи ввели в свой телефон, чтобы сообщить о подозрительных действиях. Код отчетов применим только в том случае, если пользовательские приветствия также загружаются администратором политики аутентификации
. В противном случае код по умолчанию равен 0, независимо от любого значения, указанного в политике. - Нажмите кнопку "Сохранить".
Устранение рисков для клиентов с лицензией Microsoft Entra ID P1
Когда пользователь сообщает запрос MFA как подозрительный, событие отображается в журналах входа (как вход, отклоненный пользователем), в журналах аудита и в отчете об обнаружении рисков.
Отчет | Центр администрирования | Сведения |
---|---|---|
Отчет об обнаружении рисков | Защита идентификаторов>Панель управления>Обнаружение рисков | Тип обнаружения: пользователь сообщил о подозрительном действии Уровень риска: высокий Сообщается о исходном пользователе |
Журналы логов входа | Entra ID>Мониторинг и состояние системы>Журналы входа>Сведения о проверке подлинности | Подробные сведения о результатах будут отображаться как отказ MFA |
Журналы аудита | Entra ID>Мониторинг и состояние>Журналы аудита | Подозрительное действие отображается в разделе "Тип действия" |
Примечание.
Пользователь не считается подвергающимся высокому риску, если он проходит аутентификацию без пароля.
Вы также можете запросить обнаружение рисков и пользователей, помеченных как рискованные с помощью Microsoft Graph.
интерфейс программирования приложений (API) | Подробные сведения |
---|---|
Тип ресурса обнаружения рисков | тип события риска: userReportedSuspiciousActivity |
Список рискованныхUsers | riskLevel = высокий |
Для исправления вручную администраторы или вспомогательные службы могут попросить пользователей сбросить пароль с помощью самостоятельного сброса пароля (SSPR) или сделать это от их имени. Для автоматического исправления используйте API Microsoft Graph или PowerShell для создания скрипта, который изменяет пароль пользователя, заставляет SSPR, отменяет сеансы входа или временно отключает учетную запись пользователя.
Устранение рисков для клиентов с лицензией Microsoft Entra ID P2
Клиенты с лицензией Microsoft Entra ID P2 могут использовать политики условного доступа на основе рисков для автоматического устранения риска пользователей в дополнение к параметрам лицензии Microsoft Entra ID P2.
Настройте политику, которая рассматривает риск пользователя в соответствии с условиями>риска пользователя. Найдите пользователей, где риск = высокий, чтобы заблокировать вход или требовать от них сброс пароля.
Для получения дополнительной информации см. политику условного доступа, основанную на риске входа.
Токены OATH
Идентификатор Microsoft Entra поддерживает использование токенов OATH TOTP SHA-1, которые обновляют коды каждые 30 или 60 секунд. Вы можете приобрести эти маркеры у любого поставщика по выбору.
Аппаратные токены OATH TOTP, как правило, поставляются с предварительно запрограммированным в токене секретным ключом или начальным значением. Эти ключи необходимо ввести в идентификатор Microsoft Entra, как описано в следующих шагах. Максимальная длина секретного ключа — 128 символов, что может быть несовместимо с некоторыми маркерами. Секретный ключ может содержать только символы a-z или A-Z и цифры 1-7. Он должен быть закодирован в Base32.
Программируемые аппаратные токены OATH TOTP, которые можно пересемянить, также могут быть настроены с Microsoft Entra ID в процессе установки программных токенов.
Аппаратные маркеры OATH поддерживаются как часть общедоступной предварительной версии. Дополнительные сведения о предварительных версиях см. в дополнительных условиях использования для предварительных версий Microsoft Azure.
После получения токенов их необходимо загрузить в формате файла значений, разделённых запятыми (CSV). Укажите UPN, серийный номер, секретный ключ, интервал времени, производителя и модель, как показано в этом примере:
upn,serial number,secret key,time interval,manufacturer,model
Helga@contoso.com,1234567,1234567abcdef1234567abcdef,60,Contoso,HardwareKey
Примечание.
Обязательно включите строку заголовка в CSV-файл.
- Войдите в Центр администрирования Microsoft Entra в качестве глобального администратора.
- Перейдите к Entra ID>многофакторной аутентификации>токенам OATH и загрузите CSV-файл.
В зависимости от размера CSV-файла этот процесс может занять несколько минут. Выберите "Обновить", чтобы получить состояние. Если в файле есть ошибки, можно скачать их список в формате CSV-файла. Имена полей в скачанном CSV-файле отличаются от тех, что указаны в загруженной версии.
После устранения любых ошибок администратор может активировать каждый ключ, выбрав Активировать для маркера и введя одноразовый пароль (OTP), отображаемый в маркере.
Пользователи могут настроить сочетание до 5 аппаратных OATH-токенов или приложений проверки подлинности, таких как приложение Microsoft Authenticator, для использования в любое время.
Внимание
Убедитесь, что каждый токен назначен только одному пользователю. В будущем поддержка назначения одного маркера нескольким пользователям остановится, чтобы предотвратить риск безопасности.
Параметры телефонного звонка
Если пользователи получают телефонные звонки для запросов MFA, вы можете настроить их взаимодействие, например идентификатор вызывающей стороны или приветствие, которое они услышат.
В США, если вы не настроили идентификатор абонента MFA, голосовые звонки от Корпорации Майкрософт поступают из следующих номеров. Пользователи с фильтрами нежелательной почты должны исключить эти числа.
Номера по умолчанию: +1 (855) 330-8653, +1 (855) 336-2194, +1 (855) 341-5605
В следующей таблице перечислены дополнительные числа для разных стран или регионов.
Страна или регион | Номер(а) |
---|---|
Австрия | +43 6703062076 |
Бангладеш | +880 9604606026 |
Китай | +44 1235619418, +44 1235619536, +44 1235619537, +44 1235619538, +44 1235619539, +44 1235619535, +44 7897087681, +44 7897087690, +44 7897087692, +66 977832930, +86 1052026902, +86 1052026905, +86 1052026907 |
Хорватия | +385 15507766 |
Эквадор | +593 964256042 |
Эстония | +372 6712726 |
Франция | +33 744081468 |
Гана | +233 308250245 |
Греция | +30 2119902739 |
Гватемала | +502 23055056 |
Гонконг, САР | +852 25716964 |
Индия | +91 3371568300, +91 1205089400, +91 4471566601, +91 2271897557, +91 1203524400, +91 3335105700, +91 2235544120, +91 4435279600 |
Иордания | +962 797639442 |
Кения | +254 709605276 |
Нидерланды | +31 202490048 |
Нигерия | +234 7080627886 |
Пакистан | +92 4232618686, +44 7897087681, +44 7897087690, +44 7897087692, +66 977832930 |
Польша | +48 699740036 |
Саудовская Аравия | +966 115122726 |
ЮАР | +27 872405062 |
Испания | +34 913305144 |
Шри-Ланка | +94 117750440 |
Швеция | +46 701924176 |
Тайвань | +886 277515260, +886 255686508 |
Турция | +90 8505404893 |
Украина | +380 443332393 |
ОАЭ | +971 44015046 |
Вьетнам | +84 2039990161 |
Примечание.
Когда вызовы многофакторной проверки подлинности Microsoft Entra размещаются через общедоступную телефонную сеть, иногда звонки направляются через оператор, который не поддерживает идентификатор абонента. Из-за этого идентификатор вызывающего абонента не гарантируется, даже если многофакторная аутентификация Microsoft Entra всегда его отправляет. Это относится как к телефонным звонкам, так и к текстовым сообщениям, предоставляемым многофакторной проверкой подлинности Microsoft Entra. Если вам нужно проверить, является ли текстовое сообщение из многофакторной проверки подлинности Microsoft Entra, ознакомьтесь с краткими кодами, используемыми для отправки сообщений?.
Чтобы настроить собственный номер звонящего, выполните следующие действия.
- Перейдите к Entra ID>многофакторной аутентификации>настройки вызова.
- Задайте номер вызывающего абонента MFA, который пользователи будут видеть на своих телефонах. Допустимы только номера телефонов США.
- Нажмите кнопку "Сохранить".
Примечание.
Когда вызовы многофакторной проверки подлинности Microsoft Entra размещаются через общедоступную телефонную сеть, иногда звонки направляются через оператор, который не поддерживает идентификатор абонента. Из-за этого идентификатор вызывающего абонента не гарантируется, даже если многофакторная аутентификация Microsoft Entra всегда его отправляет. Это относится как к телефонным звонкам, так и к текстовым сообщениям, предоставляемым многофакторной проверкой подлинности Microsoft Entra. Если вам нужно проверить, является ли текстовое сообщение из многофакторной проверки подлинности Microsoft Entra, ознакомьтесь с краткими кодами, используемыми для отправки сообщений?.
Пользовательские голосовые сообщения
Вы можете использовать собственные записи или приветствия для многофакторной проверки подлинности Microsoft Entra. Их можно использовать вместе с записями корпорации Майкрософт по умолчанию или вместо них.
Прежде чем начать, ознакомьтесь со следующими ограничениями:
- Поддерживаются только форматы файлов WAV и MP3.
- Максимальный размер файла составляет 1 МБ.
- Сообщения о проверке подлинности должны длиться меньше, чем 20 секунд. Сообщения, которые длиннее 20 секунд, могут вызвать сбой проверки. Если пользователь не успеет ответить до окончания сообщения, проверка прервется.
Особенности языка пользовательского сообщения
При воспроизведении пользовательского голосового сообщения для пользователя язык сообщения зависит от следующих факторов:
- Язык пользователя.
- Язык, обнаруживаемый в браузере пользователя.
- Другие сценарии аутентификации могут выполняться по-разному.
- Язык любых доступных пользовательских сообщений.
- Этот язык выбирает администратор при добавлении пользовательского сообщения.
Например, если имеется только одно настраиваемое сообщение, и оно на немецком языке:
- Пользователь, который выполняет аутентификацию на немецком языке, услышит немецкое пользовательское сообщение.
- Пользователь, который выполняет аутентификацию на английском языке, услышит стандартное английское сообщение.
Значения по умолчанию для пользовательских голосовых сообщений
Приведенные ниже примеры сценариев можно использовать для создания собственных пользовательских сообщений. Эти фразы используются по умолчанию, если вы не настраиваете собственные пользовательские сообщения.
Название сообщения | Скрипт |
---|---|
Проверка подлинности пройдена успешно | Вход выполнен успешно. |
Запрос на расширение | Это корпорация Майкрософт. Если вы пытаетесь войти, нажмите клавишу #, чтобы продолжить. |
Подтверждение мошенничества | Если это не вы пытались войти, защитите свою учетную запись, сообщив об этом ИТ-команде, нажав на клавишу 1. |
Мошенническое приветствие | Это корпорация Майкрософт. Если вы пытаетесь войти, нажмите клавишу #, чтобы завершить вход. Если вы не пытаетесь войти, нажмите клавишу 0 и #. |
Получено сообщение о мошенничестве | Мы уведомили ит-отдел, никаких дальнейших действий не требуется. Для получения справки обратитесь к ИТ-команде вашей компании. До свидания. |
Активация | Благодарим вас за использование системы проверки входа Майкрософт. Нажмите клавишу #, чтобы завершить проверку. |
Проверка подлинности не пройдена — повторите | К сожалению, мы не можем вас зарегистрировать в данный момент. Повторите попытку позже". |
Повтор (стандартный) | Благодарим вас за использование системы проверки входа Майкрософт. Нажмите клавишу #, чтобы завершить проверку. |
Приветствие (стандартный) | Это корпорация Майкрософт. Если вы пытаетесь войти, нажмите клавишу #, чтобы завершить вход. |
Приветствие (ПИН-код) | Это корпорация Майкрософт. Если вы пытаетесь войти, введите ПИН-код, чтобы завершить вход. |
Мошенническое приветствие (ПИН-код) | Это корпорация Майкрософт. Если вы пытаетесь войти, введите ПИН-код, чтобы завершить вход. Если вы не пытаетесь войти, нажмите клавишу 0 и #. |
Повтор (ПИН-код) | Благодарим за использование системы проверки входа Microsoft. Введите ПИН-код, за которым следует ключ #, чтобы завершить проверку. |
Подсказка о расширении после цифр | Если это расширение уже установлено, нажмите клавишу #, чтобы продолжить. |
Проверка подлинности не пройдена | К сожалению, мы не можем вас зарегистрировать в данный момент. Повторите попытку позже". |
Приветствие активации (стандартный) | Благодарим вас за использование системы проверки входа Майкрософт. Нажмите клавишу #, чтобы завершить проверку. |
Повторная попытка активации (стандартный) | Благодарим вас за использование системы проверки входа Майкрософт. Нажмите клавишу #, чтобы завершить проверку. |
Приветствие активации (ПИН-код) | Благодарим за использование системы проверки входа Microsoft. Введите ПИН-код, за которым следует ключ #, чтобы завершить проверку. |
Запрос на ввод добавочного номера перед цифрами | Благодарим за использование системы проверки входа Microsoft. Пожалуйста, перенаправьте этот звонок на внутренний номер {0}. |
Настройка пользовательского сообщения
Чтобы использовать пользовательские сообщения, выполните следующие действия.
- Перейдите к Entra ID>многофакторной аутентификации>настройки вызова.
- Выберите "Добавить приветствие".
- Выберите тип приветствия, например, Приветствие (стандартное) или успешную проверку подлинности.
- Выберите язык. См. предыдущий раздел о поведении пользовательского языка сообщений.
- Пролистайте и выберите файл формата MP3 или WAV для загрузки.
- Нажмите кнопку "Добавить " и "Сохранить".
Параметры службы MFA
Параметры паролей приложений, доверенных IP-адресов, параметров проверки подлинности и запоминания многофакторной проверки подлинности на доверенных устройствах доступны в параметрах службы. Это устаревший портал.
Вы можете получить доступ к параметрам службы из Центра администрирования Microsoft Entra, перейдя в Entra ID>, Многофакторную аутентификацию>, Начало работы>, Настроить>, Дополнительные параметры MFA на основе облака. Откроется окно или вкладка с дополнительными параметрами службы.
Надежные IP-адреса
Условия расположения — это рекомендуемый способ настройки MFA с условным доступом из-за поддержки IPv6 и других улучшений. Дополнительные сведения об условиях расположения см. в разделе "Использование условия расположения" в политике условного доступа. Инструкции по определению расположений и созданию политики условного доступа см. в статье "Условный доступ: блокировка доступа по расположению".
Функция доверенных IP-адресов многофакторной аутентификации Microsoft Entra также обходит запросы MFA для пользователей, которые входят в систему из определенного диапазона IP-адресов. Вы можете задать диапазоны надежных IP-адресов для локальных сред. Когда пользователи находятся в одном из этих местоположений, запрос многофакторной аутентификации Microsoft Entra не появляется. Чтобы использовать функцию доверенных IP-адресов, необходим выпуск Microsoft Entra ID P1.
Примечание.
Надежные IP-адреса могут содержать диапазоны частных адресов только при использовании сервера MFA. Для облачной многофакторной проверки подлинности Microsoft Entra можно использовать только диапазоны общедоступных IP-адресов.
В именованных расположениях поддерживаются диапазоны IPv6.
Если ваша организация использует расширение NPS для многофакторной проверки подлинности локальных приложений, то IP-адресом источника всегда будет адрес NPS-сервера, через который выполняется попытка проверки подлинности.
Тип клиента Microsoft Entra | Параметры функции доверенных IP-адресов |
---|---|
Управляется | Определенный диапазон IP-адресов: администраторы указывают диапазон IP-адресов, которые могут обойти многофакторную проверку подлинности для пользователей, которые входят из интрасети компании. Можно настроить не более 50 диапазонов надежных IP-адресов. |
Федерация |
Все федеративные пользователи: все федеративные пользователи, которые входят в систему внутри организации, могут обойти многофакторную проверку подлинности. Пользователи обходят проверки, предоставляя утверждение, выданное службами федерации Active Directory (AD FS). Определенный диапазон IP-адресов: администраторы указывают диапазон IP-адресов, которые могут обойти многофакторную проверку подлинности для пользователей, которые вошли из интрасети компании. |
Обход с использованием доверенных IP-адресов работает только внутри интрасети компании. Если выбрать параметр "Все федеративные пользователи" и пользователь входит за пределы интрасети компании, пользователь должен пройти проверку подлинности с помощью многофакторной проверки подлинности. Процесс остается таким же, даже если пользователь предоставляет утверждение AD FS.
Примечание.
Если политики MFA и условного доступа для каждого пользователя настроены в клиенте, необходимо добавить доверенных IP-адресов в политику условного доступа и обновить параметры службы MFA.
Взаимодействие с пользователем в корпоративной сети
Если функция доверенных IP-адресов отключена, для потоков браузера требуется многофакторная проверка подлинности. Пароли приложений требуются для более старых многофункциональных клиентских приложений.
При использовании доверенных IP-адресов многофакторная проверка подлинности не требуется для потоков браузера. Пароли приложений не требуются для более старых полнофункциональных клиентских приложений при условии, что пользователь не создал пароль приложения. После начала использования пароля приложения он становится обязательным.
Взаимодействие с пользователем вне корпоративной сети
Независимо от того, определены ли доверенные IP-адреса, для потоков браузера требуется многофакторная проверка подлинности. Пароли приложений требуются для более старых многофункциональных клиентских приложений.
Включение именованных местоположений с помощью условного доступа
Можно использовать правила условного доступа для определения именованных расположений, выполнив описанные ниже действия.
- Войдите в Центр администрирования Microsoft Entra как минимум администратор условного доступа.
- Перейдите к Entra ID>Conditional Access>Named locations.
- Выберите новое расположение.
- Введите имя расположения.
- Выберите "Пометить как надежное расположение".
- Введите диапазон IP-адресов в нотации CIDR для своей среды. Например, 40.77.182.32/27.
- Нажмите кнопку "Создать".
Включение функции надежных IP-адресов с помощью условного доступа
Чтобы включить надежные IP-адреса с помощью политик условного доступа, выполните приведенные ниже действия.
Войдите в Центр администрирования Microsoft Entra как минимум администратор условного доступа.
Перейдите к Entra ID>Conditional Access>Named locations.
Выберите Настроить доверенные IP-адреса многофакторной аутентификации.
На странице "Параметры службы " в разделе "Доверенные IP-адреса" выберите один из следующих вариантов:
Для запросов федеративных пользователей, поступающих из моей интрасети: чтобы выбрать этот параметр, установите флажок. Все федеративные пользователи, которые входят в систему из корпоративной сети, обходят многофакторную проверку подлинности с помощью утверждения, выданного AD FS. Убедитесь, что в службах AD FS установлено правило добавления утверждения интрасети для соответствующего трафика. Если правило не существует, создайте такое правило в AD FS:
c:[Type== "https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork"] => issue(claim = c);
Примечание.
Пропуск многофакторной аутентификации для запросов от федеративных пользователей в моей интрасети будет влиять на оценку условного доступа для местоположений. Любой запрос с утверждением insidecorporatenetwork будет рассматриваться как поступающий из надежного расположения, если этот параметр выбран.
Для запросов из определенного диапазона общедоступных IP-адресов: чтобы выбрать этот параметр, введите IP-адреса в текстовом поле в нотации CIDR.
- Для IP-адресов, которые находятся в диапазоне xxx.xxx.xxx.1 до xxx.xxx.xxx.254, используйте нотацию, например xxx.xxx.xxx.0/24.
- Для одного IP-адреса используйте нотацию, например xxx.xxx.xxx.xxx/32.
- Можно ввести до 50 диапазонов IP-адресов. Пользователи, которые входят из этих IP-адресов, обходят многофакторную проверку подлинности.
Нажмите кнопку "Сохранить".
Включение функции надежных IP-адресов с помощью параметров службы
Если вы не хотите использовать политики условного доступа для включения доверенных IP-адресов, можно настроить параметры службы для многофакторной проверки подлинности Microsoft Entra, выполнив следующие действия.
Войдите в Центр администрирования Microsoft Entra как минимум как Администратор политик аутентификации.
Перейдите к Entra ID>многофакторной проверке подлинности>дополнительным параметрам облачной многофакторной проверки подлинности.
На странице параметров службы в разделе доверенных IP-адресов выберите один или оба из следующих параметров:
Для запросов от федеративных пользователей на моей интрасети: Чтобы выбрать этот параметр, установите флажок. Все федеративные пользователи, которые входят в систему из корпоративной сети, обходят многофакторную проверку подлинности с помощью утверждения, выданного AD FS. Убедитесь, что в службах AD FS установлено правило добавления утверждения интрасети для соответствующего трафика. Если правило не существует, создайте такое правило в AD FS:
c:[Type== "https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork"] => issue(claim = c);
Для запросов из указанного диапазона подсетей IP-адресов. Чтобы выбрать этот параметр, введите IP-адреса в текстовом поле в нотации CIDR.
- Для IP-адресов, которые находятся в диапазоне xxx.xxx.xxx.1 до xxx.xxx.xxx.254, используйте нотацию, например xxx.xxx.xxx.0/24.
- Для одного IP-адреса используйте нотацию, например xxx.xxx.xxx.xxx/32.
- Можно ввести до 50 диапазонов IP-адресов. Пользователи, которые входят из этих IP-адресов, обходят многофакторную проверку подлинности.
Нажмите кнопку "Сохранить".
Методы проверки
Вы можете выбрать методы проверки, которые будут доступны пользователям на портале параметров службы. Когда пользователи регистрируют свои учетные записи для многофакторной проверки подлинности Microsoft Entra, они выбирают предпочтительный метод проверки из параметров, которые вы включили. Руководство по процессу регистрации пользователей предоставляется в разделе "Настройка учетной записи для многофакторной проверки подлинности".
Внимание
В марте 2023 года мы объявили об отмене управления методами проверки подлинности в устаревших политиках многофакторной проверки подлинности и самостоятельном сбросе пароля (SSPR). Начиная с 30 сентября 2025 г. методы проверки подлинности нельзя управлять в этих устаревших политиках MFA и SSPR. Мы рекомендуем клиентам использовать ручное управление миграцией для перехода на политику методов аутентификации до даты прекращения поддержки. Сведения об управлении миграцией см. в статье "Как перенести параметры политики MFA и SSPR" в политику методов проверки подлинности для идентификатора Microsoft Entra ID.
Доступны следующие методы проверки.
Метод | Описание |
---|---|
Звонок на телефон | Осуществляется автоматический голосовой вызов. Для проверки подлинности пользователь отвечает на вызов и нажимает кнопку # на телефоне. Этот номер телефона не синхронизируется в локальной службе Active Directory. |
Текстовое сообщение на телефон | Отправляется текстовое сообщение, содержащее код проверки. Пользователю предлагается ввести код проверки в интерфейсе входа. Этот процесс предусматривает отправку одностороннего текстового сообщения. При использовании двустороннего текстового сообщения пользователь должен отправить ответ с определенным кодом. Двустороннее SMS устарело и больше не поддерживается после 14 ноября 2018 года. Администраторы должны активировать другой способ для пользователей, которые ранее использовали двусторонний обмен СМС. |
Уведомление в мобильном приложении | Отправляется push-уведомление на телефон или зарегистрированное устройство пользователя. Пользователь просматривает уведомление и выбирает "Проверить , чтобы завершить проверку". Приложение Microsoft Authenticator доступно для Windows Phone, Android и iOS. |
Код проверки из мобильного приложения или токен оборудования | Приложение Microsoft Authenticator создает код проверки OATH каждые 30 секунд. Пользователь вводит этот код проверки в интерфейсе входа. Приложение Microsoft Authenticator доступно для Windows Phone, Android и iOS. |
Дополнительные сведения см. в разделе "Какие методы аутентификации и верификации доступны в Microsoft Entra ID?".
Включение и отключение способов проверки подлинности
Чтобы включить или отключить методы проверки, выполните следующие действия.
- Войдите в Центр администрирования Microsoft Entra как минимум как Администратор политик аутентификации.
- Перейдите к Entra ID>Users.
- Выберите MFA для каждого пользователя.
- В разделе Многофакторная проверка подлинности в верхней части страницы выберите параметры службы.
- На странице параметров службы в разделе " Параметры проверки" установите или снимите соответствующие флажки.
- Нажмите кнопку "Сохранить".
Помните многофакторную проверку подлинности
Функция многофакторной проверки подлинности позволяет пользователям обойти последующие проверки в течение указанного количества дней после успешного входа на устройство с помощью MFA. Чтобы повысить удобство использования и свести к минимуму количество операций многофакторной проверки подлинности на определенном устройстве, выберите длительность 90 дней или меньше.
Внимание
Если учетная запись или устройство скомпрометированы, сохранение данных MFA для доверенных устройств может повлиять на безопасность. Если корпоративная учетная запись скомпрометирована или надежное устройство потеряно либо украдено, следует отозвать сеансы MFA.
Действие отзыва отменяет состояние доверия со всех устройств, и пользователю необходимо снова выполнить многофакторную аутентификацию. Вы также можете указать пользователям восстановить исходное состояние MFA на своих устройствах, как указано в разделе "Управление параметрами для многофакторной проверки подлинности".
Как работает функция
Функция многофакторной проверки подлинности задает постоянный файл cookie в браузере, когда пользователь выбирает параметр "Не запрашивать еще раз X дней " при входе. До истечения срока действия файла cookie пользователю не будет повторно предлагаться выполнить MFA в этом браузере. Если пользователь на том же устройстве откроет другой браузер или очистит файлы cookie, запрос на проверку отобразится снова.
Параметр «Не спрашивать снова в течение X дней» не отображается в приложениях, отличных от браузера, независимо от того, поддерживает ли приложение современную проверку подлинности. Эти приложения используют маркеры обновления , предоставляющие новые маркеры доступа каждый час. При проверке маркера обновления Microsoft Entra ID проверяет, была ли последняя многофакторная аутентификация в течение указанного количества дней.
Функция сокращает количество проверок подлинности в веб-приложениях, которые обычно запрашиваются каждый раз. Если настроена меньшая длительность, функция может увеличить число проверок подлинности для современных клиентов проверки подлинности, которые обычно запрашивают проверку каждые 180 дней. Кроме того, она увеличивает количество операций аутентификации при использовании с политиками условного доступа.
Внимание
Функция запомнить многофакторную аутентификацию не совместима с функцией оставаться в системе AD FS, когда пользователи выполняют многофакторную аутентификацию для AD FS через сервер MFA или стороннее решение многофакторной аутентификации.
Если пользователи выбирают оставаться в системе на AD FS и отмечают свое устройство как доверенное для MFA, то пользователь не проверяется автоматически после истечения указанного числа дней запоминания многофакторной аутентификации. Microsoft Entra ID запрашивает новую многофакторную аутентификацию, но AD FS возвращает токен с исходным MFA подтверждением и датой, вместо повторного выполнения многофакторной аутентификации. Эта реакция задает цикл проверки между идентификатором Microsoft Entra и AD FS.
Функция многофакторной проверки подлинности несовместима с пользователями B2B и не будет отображаться для пользователей B2B при входе в приглашенные клиенты.
Функция запоминания многофакторной аутентификации не совместима с управлением условным доступом, основанным на частоте входа. Дополнительные сведения см. в разделе "Настройка управления сеансами проверки подлинности с помощью условного доступа".
Включение запоминания многофакторной проверки подлинности
Чтобы включить и настроить для пользователей возможность сохранять состояние MFA и избегать повторных запросов, выполните следующие шаги:
- Войдите в Центр администрирования Microsoft Entra как минимум как Администратор политик аутентификации.
- Перейдите к Entra ID>Users.
- Выберите MFA для каждого пользователя.
- В разделе Многофакторная проверка подлинности в верхней части страницы выберите параметры службы.
- На странице параметров службы в разделе "Многофакторная проверка подлинности" выберите "Разрешить пользователям запоминать многофакторную проверку подлинности на устройствах, которым они доверяют".
- Задайте количество дней, чтобы разрешить доверенным устройствам обходить многофакторную проверку подлинности. Для оптимального взаимодействия с пользователями увеличьте продолжительность до 90 или более дней.
- Нажмите кнопку "Сохранить".
Пометка устройства как доверенного
После включения функции многофакторной проверки подлинности пользователи могут пометить устройство как доверенное при входе, нажав кнопку "Не спрашивать снова".
Следующие шаги
Для получения дополнительной информации см. Какие методы проверки подлинности и верификации доступны в Microsoft Entra ID?