Управление методами проверки подлинности пользователей для многофакторной проверки подлинности Microsoft Entra

Пользователи в идентификаторе Microsoft Entra id имеют два разных набора контактных данных:

  • Контактные данные открытого профиля, управление которыми осуществляется в профиле пользователя и которые видны участникам вашей организации. Для пользователей, синхронизированных из локального каталога Active Directory, управление этими сведениями осуществляется в локальных службах домена Active Directory Windows Server.
  • Методы проверки подлинности, которые всегда хранятся в закрытом режиме и используются только для проверки подлинности, включая многофакторную проверку подлинности. Администраторы могут управлять этими способами в колонке способа проверки подлинности пользователя, а пользователи могут управлять своими способами на странице сведений о безопасности своей учетной записи.

При управлении методами многофакторной проверки подлинности Microsoft Entra для пользователей администраторы проверки подлинности могут:

  • Добавление способов проверки подлинности для конкретного пользователя, включая номера телефонов, используемые для MFA.
  • Сброс пароля пользователя.
  • Настройка требования для пользователя повторно зарегистрироваться для MFA.
  • Отзыв существующих сеансов MFA.
  • Удаление существующих паролей приложений пользователя.

Примечание.

На снимках экрана в этом разделе показано, как управлять методами проверки подлинности пользователей с помощью обновленного интерфейса в Центре администрирования Microsoft Entra. Существует также устаревший интерфейс, и администраторы могут переключаться между двумя с помощью баннера в Центре администрирования. Современный интерфейс имеет полный паритет с устаревшим интерфейсом и управляет современными методами, такими как временный проход доступа, ключи доступа и другие параметры. Устаревший интерфейс в Центре администрирования Microsoft Entra будет прекращен с 31 октября 2024 г. Никаких действий, необходимых организациям перед выходом на пенсию, не требуется.

Необходимые компоненты

Многофакторная проверка подлинности Microsoft Entra, которая включена по умолчанию.

Добавление или изменение методов проверки подлинности для пользователя

Вы можете добавлять или изменять методы проверки подлинности для пользователя с помощью Центра администрирования Microsoft Entra или Microsoft Graph PowerShell. В Центре администрирования Microsoft Entra метод leagcy для управления методами проверки подлинности пользователей будет прекращен после 31 октября 2024 года.

Примечание.

По соображениям безопасности поля общедоступных контактных данных пользователя не должны использоваться для выполнения MFA. Вместо этого пользователи должны указывать номера способов проверки подлинности, которые будут применяться для MFA.

Снимок экрана: добавление методов проверки подлинности из Центра администрирования Microsoft Entra.

Чтобы добавить или изменить методы проверки подлинности для пользователя в Центре администрирования Microsoft Entra, выполните следующие действия.

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор проверки подлинности.
  2. Перейдите в раздел Удостоверение>Пользователи>Все пользователи.
  3. Выберите пользователя, для которого вы хотите добавить или изменить метод проверки подлинности, и выберите методы проверки подлинности.
  4. В верхней части окна выберите + Добавить способ проверки подлинности.
    • Выберите способ (номер телефона или адрес электронной почты). Электронная почта может использоваться для самостоятельного сброса пароля, но не для проверки подлинности. При добавлении номера телефона выберите тип телефона и введите номер телефона с допустимым форматом (например +1 4255551234).
    • Выберите Добавить.

Пользователи могут добавлять или изменять собственные методы проверки подлинности в my Sign Ins | Сведения о безопасности. Например, чтобы изменить номер телефона, выберите номер телефона и нажмите кнопку "Изменить".

Управление методами с помощью PowerShell

Установите модуль Microsoft.Graph.Identity.Signins PowerShell с помощью указанны ниже команд.

Install-module Microsoft.Graph.Identity.Signins
Connect-MgGraph -Scopes "User.Read.all","UserAuthenticationMethod.Read.All","UserAuthenticationMethod.ReadWrite.All"
Select-MgProfile -Name beta

List phone based authentication methods for a specific user.

Get-MgUserAuthenticationPhoneMethod -UserId balas@contoso.com

Create a mobile phone authentication method for a specific user.

New-MgUserAuthenticationPhoneMethod -UserId balas@contoso.com -phoneType "mobile" -phoneNumber "+1 7748933135"

Remove a specific phone method for a user

Remove-MgUserAuthenticationPhoneMethod -UserId balas@contoso.com -PhoneAuthenticationMethodId 00aa00aa-bb11-cc22-dd33-44ee44ee44ee

Authentication methods can also be managed using Microsoft Graph APIs. For more information, see Authentication and authorization basics.

Управление параметрами проверки подлинности пользователей

Совет

Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.

Администраторы проверки подлинности могут требовать от других пользователей сброса пароля, повторной регистрации для MFA или отмены существующих сеансов MFA из своего объекта пользователя. Пользователи не могут обновить собственный объект пользователя. Чтобы изменить или сбросить собственные методы безопасности, пользователи могут перейти в сведения о безопасности или перейти к самостоятельному сбросу пароля для сброса пароля. Чтобы управлять параметрами других пользователей, выполните следующие действия.

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор проверки подлинности.

  2. Перейдите в раздел Удостоверение>Пользователи>Все пользователи.

  3. Выберите пользователя, для которого требуется выполнить действие, и нажмите Способы проверки подлинности. В верхней части окна выберите для пользователя один из следующих вариантов:

    • Сброс пароля сбрасывает пароль пользователя и назначает временный пароль, который необходимо изменить при следующем входе.
    • Требовать повторной регистрации MFA деактивирует аппаратные токены OATH пользователя и удаляет следующие методы проверки подлинности от этого пользователя: номера телефонов, приложения Microsoft Authenticator и маркеры OATH программного обеспечения. При необходимости пользователю предлагается настроить новый метод проверки подлинности MFA при следующем входе.
    • Отмена сеансов MFA очищает запоминаемые сеансы MFA пользователя и требует от них выполнения MFA при следующем выполнении политики на устройстве.

    Снимок экрана: управление методами проверки подлинности из Центра администрирования Microsoft Entra.

Удаление существующих паролей приложений пользователей

Для пользователей, для которых определены пароли приложений, администраторы также могут удалить их, что приведет к сбою проверки подлинности в этих приложениях. Эти действия могут потребоваться, если понадобится помочь пользователю или сбросить его способы проверки подлинности. Работа не использующих браузер приложений, связанных с этими паролями, приостанавливается, пока не будут созданы новые пароли.

Чтобы удалить пароли приложений пользователя, выполните указанные ниже действия.

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор проверки подлинности.

  2. Перейдите в раздел Удостоверение>Пользователи>Все пользователи.

  3. Выберите многофакторную проверку подлинности. Возможно, чтобы увидеть этот пункт меню, вам понадобится прокрутить экран вправо. Выберите приведенный ниже пример экрана, чтобы просмотреть полное окно и расположение меню: Снимок экрана: выбор многофакторной проверки подлинности в окне

  4. Установите флажок рядом с именем пользователя или пользователей, которыми требуется управлять. В правой части отобразится список параметров быстрого действия.

  5. Выберите " Управление параметрами пользователя", а затем установите флажок "Удалить все существующие пароли приложений, созданные выбранными пользователями", как показано в следующем примере: Снимок экрана: удаление всех существующих паролей приложения.

  6. Выберите Сохранить и Закрыть.