Часто задаваемые вопросы о многофакторной проверке подлинности Microsoft Entra

Это часто задаваемые вопросы о многофакторной проверке подлинности Microsoft Entra и использовании службы многофакторной проверки подлинности. Здесь рассматриваются вопросы о службе в целом, моделях выставления счетов, пользовательских интерфейсах и устранении неполадок.

Внимание

В сентябре 2022 года корпорация Майкрософт объявила об отмене использования сервера Многофакторной идентификации. Начиная с 30 сентября 2024 г. развертывания сервера многофакторной идентификации больше не будут обслуживать многофакторные запросы проверки подлинности, что может привести к сбою проверки подлинности для вашей организации. Чтобы обеспечить непрерывную проверку подлинности и оставаться в поддерживаемом состоянии, организации должны перенести данные проверки подлинности пользователей в облачную службу многофакторной проверки подлинности Microsoft Entra с помощью последней программы миграции, включенной в последнее обновление сервера MFA. Дополнительные сведения см. в разделе "Миграция сервера MFA".

Общие

Каким образом сервер Многофакторной идентификации Azure обрабатывает данные пользователей?

При использовании сервера многофакторной идентификации данные пользователей хранятся только на локальных серверах. В облаке данные пользователя постоянно не хранятся. Когда пользователь выполняет двухфакторную проверку подлинности, сервер Многофакторной идентификации отправляет данные в облачную службу многофакторной проверки подлинности Microsoft Entra для проверки подлинности. Обмен данными между сервером многофакторной идентификации и облачной службой многофакторной проверки подлинности использует протокол SSL или TLS через порт 443 исходящего трафика.

Когда запросы на проверку подлинности отправляются в облачную службу, для отчетов о проверке подлинности и использовании собираются данные. Следующие поля данных включаются в журналы двухфакторной проверки подлинности.

  • Уникальный идентификатор (имя пользователя или идентификатор локального сервера Многофакторной идентификации).
  • Имя и фамилия (необязательно).
  • Адрес электронной почты (необязательно).
  • Номер телефона (при использовании голосового звонка или проверки подлинности текстового сообщения)
  • Маркер устройства (при аутентификации с помощью мобильного приложения).
  • Режим проверки подлинности
  • Результат проверки подлинности
  • Имя сервера Многофакторной идентификации
  • IP-адрес сервера Многофакторной идентификации.
  • IP-адрес клиента (если он доступен).

Необязательные поля можно настроить на сервере Многофакторной идентификации.

В данных о проверке подлинности хранятся результаты этой операции (выполнена или нет), а также указана причина отказа в соответствующем случае. Эти сведения доступны в отчетах о проверке подлинности и использовании.

Дополнительные сведения см. в разделе "Место расположения данных" и данных клиента для многофакторной проверки подлинности Microsoft Entra.

Какие короткие коды используются для отправки текстовых сообщений пользователям?

В США мы используем следующие короткие коды:

  • 97671
  • 69829
  • 51789
  • 99399

В Канаде мы используем следующие короткие коды:

  • 759731
  • 673801

Нет гарантии согласованного текстового сообщения или многофакторной проверки подлинности с одинаковым числом. В интересах наших пользователей мы можем добавлять или удалять короткие коды в любое время, когда мы внося корректировку маршрута для улучшения доставки текстовых сообщений.

Майкрософт не поддерживает короткие коды для каких-либо других стран, кроме США и Канады.

Разрешает ли многофакторная проверка подлинности Microsoft Entra регулирование входа пользователей?

Да, в некоторых случаях, которые обычно включают повторяющиеся запросы проверки подлинности в короткое время, многофакторная проверка подлинности Microsoft Entra будет регулировать попытки входа пользователей в систему для защиты телекоммуникационных сетей, устранять атаки на стиль MFA и защищать свои собственные системы для выгоды всех клиентов.

Хотя мы не делимся определенными ограничениями регулирования, они основаны на разумном использовании.

Взимается ли с организации плата за телефонные звонки или текстовые сообщения, используемые для проверки подлинности?

Нет, вы не взимаете плату за отдельные телефонные звонки, размещенные или текстовые сообщения, отправленные пользователям через многофакторную проверку подлинности Microsoft Entra. Если используется поставщик MFA с оплатой за событие идентификации, счет выставляется за каждую идентификацию, а не за используемый метод.

Пользователи могут оплачивать входящие телефонные звонки или текстовые сообщения, если это предусмотрено тарифами телефонной службы.

При использовании модели выставления счетов "на пользователя" плата взымается за всех включенных пользователей или только за пользователей, выполняющих двухфакторную проверку подлинности?

Выставление счетов основано на количестве пользователей, настроенных на использование многофакторной проверки подлинности, независимо от того, выполнили ли они двухфакторную проверку подлинности в этом месяце.

Как работает выставление счетов за многофакторную проверку подлинности?

При создании поставщика MFA "на пользователя" или "на проверку подлинности" счета выставляются ежемесячно по мере использования в подписке Azure вашей организации. Точно так же Azure выставляет счета за использование виртуальных машин и веб-приложений.

При покупке подписки на многофакторную проверку подлинности Microsoft Entra ваша организация оплачивает только годовую плату за лицензию для каждого пользователя. Счета за лицензии MFA и Microsoft 365, Microsoft Entra ID P1 или P2 или Enterprise Mobility + Security.

Дополнительные сведения см. в разделе "Как получить многофакторную проверку подлинности Microsoft Entra".

Существует ли бесплатная версия многофакторной проверки подлинности Microsoft Entra?

Значения по умолчанию безопасности можно включить на уровне "Бесплатный идентификатор" Microsoft Entra ID. По умолчанию для безопасности все пользователи включены для многофакторной проверки подлинности с помощью приложения Microsoft Authenticator. Использовать текстовые сообщения или проверку по телефону с параметрами безопасности по умолчанию нельзя: поддерживается только приложение Microsoft Authenticator.

Дополнительные сведения см. в статье Что такое параметры безопасности по умолчанию?

Может ли моя организация в любой момент перейти с модели выставления счетов "по пользователям" на модель "по аутентификации" и наоборот?

Если организация приобретает MFA как автономную службу с оплатой по мере использования, модель выставления счетов можно выбрать при создании поставщика MFA. После его создания изменить модель выставления счетов невозможно.

Если поставщик MFA не связан с клиентом Microsoft Entra или вы связываете нового поставщика MFA с другим клиентом Microsoft Entra, параметрами пользователя и параметрами конфигурации не передаются. Кроме того, существующие серверы MFA необходимо повторно активировать с помощью учетных данных активации, созданных с помощью нового поставщика MFA. Повторная активация серверов MFA для их связи с новым поставщиком MFA не влияет на проверку подлинности с помощью телефонного звонка и текстового сообщения в отличие от уведомлений мобильных приложений, которые перестанут работать, пока пользователи повторно не активируют мобильные приложения.

Дополнительные сведения о поставщиках MFA см. в разделе "Начало работы с поставщиком многофакторной проверки подлинности Azure".

Может ли моя организация в любой момент перейти с модели выставления счетов по мере использования на модель по подпискам (модель на основе лицензий)?

В некоторых случаях это возможно.

Если в вашем каталоге есть поставщик многофакторной проверки подлинности Microsoft Entra, можно добавить лицензии MFA. Пользователи, имеющие лицензии, не будут учитываться при выставлении счетов по модели "на пользователя". Для пользователей без лицензий можно по-прежнему включить MFA с помощью поставщика MFA. При покупке и назначении лицензий для всех пользователей, настроенных на использование многофакторной проверки подлинности, можно удалить поставщик многофакторной проверки подлинности Microsoft Entra. Если в будущем количество пользователей превысит число лицензий, вы можете всегда создать другой поставщик MFA с оплатой "на пользователя".

Если у вашего каталога есть поставщик многофакторной проверки подлинности Microsoft Entra, вы всегда оплачиваете каждую проверку подлинности, если поставщик MFA связан с подпиской. Вы можете назначить лицензии MFA пользователям, но плата по-прежнему будет взиматься за каждый запрос на двухфакторную проверку подлинности даже от пользователей с лицензиями MFA.

Требуется ли вашей организации использовать и синхронизировать удостоверения для использования многофакторной проверки подлинности Microsoft Entra?

Если в организации используется модель выставления счетов на основе потребления, идентификатор Microsoft Entra необязателен, но не требуется. Если поставщик MFA не связан с клиентом Microsoft Entra, можно развернуть только локальный сервер Многофакторной идентификации Azure.

Идентификатор Microsoft Entra необходим для модели лицензии, так как лицензии добавляются в клиент Microsoft Entra при покупке и назначают их пользователям в каталоге.

Управление учетными записями пользователей и их поддержка

Что делать пользователю, если ему на телефон не пришел ответ?

Попробуйте выполнить до пяти минут, чтобы получить телефонный звонок или текстовое сообщение для проверки подлинности. Корпорация Майкрософт использует несколько поставщиков для доставки звонков и текстовых сообщений. Если этот метод не работает, для решения проблемы создайте обращение в службу поддержки.

Блокировать текстовое сообщение или телефонный звонок с проверочным кодом также могут сторонние приложения безопасности. Если вы используете стороннее приложение безопасности, попробуйте отключить защиту, а затем запросите другой проверочный код MFA.

Если указанные выше действия не помогают, проверьте, не настроены ли для пользователей другие методы проверки. Попробуйте выполнить вход еще раз, но при этом выбрать другой метод проверки на странице входа.

Дополнительные сведения см. в руководстве пользователя по устранению неполадок.

Что делать, если пользователь не может получить доступ к своей учетной записи?

Вы можете сбросить настройки учетной записи, попросив пользователя снова пройти процесс регистрации. Дополнительные сведения об управлении параметрами пользователей и устройств с помощью многофакторной проверки подлинности Microsoft Entra в облаке.

Что делать, если пользователь потерял телефон с паролями приложений?

Чтобы предотвратить несанкционированный доступ, удалите все пароли приложений пользователя. После получения нового устройства пользователь сможет создать их заново. Дополнительные сведения об управлении параметрами пользователей и устройств с помощью многофакторной проверки подлинности Microsoft Entra в облаке.

Что, если пользователь не может войти в приложения, работающие не через браузер?

Если в организации используются устаревшие клиенты и допускается использование паролей приложений, то пользователи не смогут войти в эти клиенты, используя учетные данные. Вместо этого они должны настроить пароли приложений. Пользователи должны очистить (удалить) сведения для входа в систему, перезапустить приложение и войти в него, используя свое имя пользователя и пароль приложения, а не обычный пароль.

Если в организации не используются устаревшие клиенты, не разрешайте пользователям создавать пароли приложений.

Примечание.

Современная проверка подлинности для клиентов Office 2013

Пароли необходимы только для тех приложений, которые не поддерживают современные методы проверки подлинности. Клиенты Office 2013 поддерживают современные протоколы проверки подлинности, но их необходимо настроить. Современная проверка подлинности доступна для любого клиента, на котором установлено обновление для Office 2013,выпущенное в марте 2015 г. или позднее. Дополнительные сведения приведены в публикации блога Обновленная современная аутентификация Office 365.

Мои пользователи говорят, что иногда они не получают текстовое сообщение или время ожидания проверки.

Доставка текстовых сообщений не гарантируется, так как неконтролируемые факторы могут повлиять на надежность службы. К таким факторам относится страна или регион назначения, оператор мобильной связи и сила сигнала.

Блокировать текстовое сообщение или телефонный звонок с проверочным кодом также могут сторонние приложения безопасности. Если вы используете стороннее приложение безопасности, попробуйте отключить защиту, а затем запросите другой проверочный код MFA.

Пользователям, которые испытывают трудности с получением текстовых сообщений, мы советуем использовать приложение Microsoft Authenticator или телефонные звонки. Приложение Microsoft Authenticator может получать уведомления как по сотовой сети, так и через Wi-Fi. Кроме того, мобильное приложение может создать код подтверждения даже при полном отсутствии связи. Приложение Microsoft Authenticator доступно для Android, iOS и Windows Phone.

Можно ли изменить время ожидания, в течение которого пользователи должны ввести код проверки из текстового сообщения?

В некоторых случаях да.

Для односторонного SMS-сообщения с сервером MFA версии 7.0 или более поздней версии можно настроить параметр времени ожидания, задав раздел реестра. После того как облачная служба MFA отправит текстовое сообщение, на сервер MFA вернется код проверки (или одноразовый секретный код). По умолчанию сервер MFA хранит код в памяти 300 секунд. Если пользователь вводит свой код по истечении 300 секунд, ему будет отказано в доступе. Чтобы изменить значение времени ожидания по умолчанию, выполните следующие действия:

  1. Переход к HKLM\Software\Wow6432Node\Positive Networks\PhoneFactor.
  2. Создайте раздел реестра DWORD с именем pfsvc_pendingSmsTimeoutSeconds и задайте время в секундах, в течение которого сервер MFA будет хранить одноразовые секретные коды.

Совет

При наличии нескольких серверов MFA код проверки, который был отправлен пользователю, знает только тот, который обработал исходный запрос идентификации. Когда пользователь вводит код, запрос проверки подлинности для его подтверждения должен быть отправлен на тот же сервер. Если проверка кода отправляется на другой сервер, в проверке подлинности будет отказано.

Если пользователь не ответит на текстовое сообщение в течение определенного времени ожидания, в проверке подлинности будет отказано.

Для односторонних SMS с многофакторной проверкой подлинности Microsoft Entra в облаке (включая адаптер AD FS или расширение сервера политики сети), нельзя настроить параметр времени ожидания. Идентификатор Microsoft Entra хранит код проверки в течение 180 секунд.

Можно ли использовать аппаратные маркеры с сервером Многофакторной идентификации?

Если вы используете сервер Многофакторной идентификации, вы можете импортировать сторонние маркеры однофакторной проверки подлинности (OATH), однократные маркеры пароля (TOTP), а затем использовать их для двухфакторной проверки подлинности.

Маркеры ActiveIdentity, которые являются токенами OATH TOTP, можно использовать, если вы помещаете секретный ключ в CSV-файл и импортируете на сервер Многофакторной идентификации. OATH-токены можно использовать со службами федерации Active Directory (AD FS), протоколом RADIUS (до тех пор, пока клиентская система может принимать пользовательский ввод) или при проверке подлинности на основе форм IIS.

Сторонние токены OATH TOTP можно импортировать в следующих форматах.

  • PSKC.
  • CSV, если файл содержит серийный номер, секретный ключ в формате Base 32 и там указан интервал времени.

Можно ли использовать сервер многофакторной идентификации для защиты служб терминалов?

Да, но если вы используете Windows Server 2012 R2 или более позднюю версию, то обеспечить безопасность служб терминалов можно только с помощью шлюза удаленных рабочих столов.

Изменения безопасности в Windows Server 2012 R2 изменили способ подключения сервера многофакторной идентификации к пакету безопасности локального центра безопасности (LSA) в Windows Server 2012 и более ранних версиях. Для версий служб терминалов, используемых в Windows Server 2012 и более ранних версий, можно защитить приложение с помощью проверки подлинности Windows. Если вы используете Windows Server 2012 R2, необходим шлюз удаленных рабочих столов.

Я настроил идентификатор вызывающего абонента на сервере MFA, но мои пользователи по-прежнему получают многофакторные вызовы проверки подлинности от анонимного вызывающего объекта.

Когда многофакторные вызовы проверки подлинности размещаются через общедоступную телефонную сеть, иногда они направляются через перевозчик, который не поддерживает идентификатор абонента. Из-за этого поведения оператора идентификатор вызывающего объекта не гарантируется, даже если система многофакторной проверки подлинности всегда отправляет его.

Почему пользователи получают предложение зарегистрировать свои сведения о безопасности?

Существует несколько причин, почему пользователи могут получать такой запрос:

  • Пользователь был включен для MFA своим администратором в идентификаторе Microsoft Entra ID, но у него еще нет сведений о безопасности, зарегистрированных для своей учетной записи.
  • Пользователь был включен для самостоятельного сброса пароля в идентификаторе Microsoft Entra. Сведения о безопасности помогут ему в будущем сбросить пароль, если он его забудет.
  • При доступе к приложению с политикой условного доступа, для которой требуется MFA, но пользователь не был зарегистрирован для MFA.
  • Пользователь регистрирует устройство с идентификатором Microsoft Entra (включая присоединение к Microsoft Entra), а для регистрации устройства требуется MFA, но пользователь ранее не зарегистрировался для MFA.
  • Пользователь создает Windows Hello для бизнеса в Windows 10 (для которого требуется MFA), но не был зарегистрирован для MFA.
  • Организация создала и включила политику регистрации для MFA, которая была применена к пользователю.
  • Пользователь уже зарегистрирован для MFA, но выбрал метод проверки, отключенный администратором. В таком случае пользователь должен зарегистрироваться для MFA еще раз, чтобы выбрать новый метод проверки по умолчанию.

ошибки

Что делать пользователю, если при использовании уведомлений через мобильное приложение он видит сообщение об ошибке приблизительно следующего содержания: "Запрос на проверку подлинности не предназначен для активированной учетной записи"?

Попросите пользователя выполнить следующую процедуру, чтобы удалить учетную запись из Microsoft Authenticator, а затем снова добавить ее:

  1. Перейдите к своему профилю учетной записи и войдите с помощью учетной записи организации.
  2. Щелкните Дополнительная проверка безопасности.
  3. Удалите учетную запись из приложения Microsoft Authenticator.
  4. Нажмите кнопку Настроить и следуйте инструкциям по перенастройке приложения Microsoft Authenticator.

Что делать пользователю, если при входе в приложение без использования браузера он видит сообщение об ошибке 0x800434D4L?

При попытке войти в установленное на локальном компьютере приложение, не использующее браузер, которое не работает с учетной записью, требующей двухфакторную проверку, возникает ошибка 0x800434D4L.

Для устранения этой ошибки нужно использовать отдельные учетные записи пользователя для операций администрирования и для операций, не связанных с администрированием. Позже вы сможете связать почтовые ящики с этими учетными записями, чтобы иметь возможность входить в Outlook с помощью учетной записи без привилегий администратора. Чтобы больше узнать об этом решении, ознакомьтесь с предоставлением администратору возможности открывать и просматривать содержимое почтового ящика пользователя.

Каковы возможные причины отказа пользователя с кодом ошибки "LsaLogonUser failed with NTSTATUS -1073741715 for MFA Server"?

Ошибка 1073741715 = Ошибка входа в систему -> Попытка входа в систему недействительна. Это происходит из-за неправильного имени пользователя или из-за проверки подлинности.

Вероятная причина этой ошибки: если введенные первичные учетные данные верны, возможно, существует несоответствие между поддерживаемой версией NTLM на сервере MFA и контроллере домена. Сервер MFA поддерживает только NTLMv1 (LmCompatabilityLevel=1 thru 4) и не поддерживает NTLMv2 (LmCompatabilityLevel=5).

Следующие шаги

Если вы не нашли здесь ответ на свой вопрос, можно также использовать следующие варианты поддержки:

  • В базе знаний службы технической поддержки Майкрософт можно искать решения распространенных технических проблем.
  • Найдите и просмотрите технические вопросы и ответы от сообщества или задайте свой собственный вопрос в Microsoft Entra Q&A.
  • Обратитесь в службу поддержки сервера Многофакторной идентификации Майкрософт. Вы можете облегчить нам задачу, если при обращении предоставите максимально полные сведения о проблеме. Вы можете сообщить нам, на какой странице возникла ошибка, а также какой точный код ошибки, идентификатор сеанса и идентификатор пользователя, получившего эту ошибку.