Какие методы аутентификации и подтверждения доступны в Microsoft Entra ID?

Корпорация Майкрософт рекомендует методы проверки подлинности без пароля, такие как Windows Hello, Passkeys (FIDO2) и приложение Microsoft Authenticator, так как они обеспечивают наиболее безопасный вход. Хотя пользователь может входить в систему, используя другие распространенные методы, такие как имя пользователя и пароль, пароли следует заменять более безопасными методами проверки подлинности.

Многофакторная аутентификация Microsoft Entra добавляет еще один уровень безопасности в дополнение к использованию только пароля при входе пользователя. Пользователю может быть предложено получить другие формы проверки подлинности, например ответить на push-уведомление, ввести код из программного или аппаратного маркера или ответить на текстовый или телефонный звонок.

Чтобы упростить управление пользователями и регистрацию для MFA и самостоятельного сброса пароля (SSPR) рекомендуется включить объединенную регистрацию сведений о безопасности. Для обеспечения устойчивости рекомендуется требовать от пользователей регистрировать несколько методов проверки подлинности. Если пользователю недоступен один из методов при входе в систему или при использовании самовосстановления пароля (SSPR), он может выбрать другой способ проверки подлинности. Дополнительные сведения см. в статье "Создание устойчивой стратегии управления доступом" в идентификаторе Microsoft Entra.

Принцип работы методов проверки подлинности

Некоторые методы проверки подлинности можно использовать в качестве основных при входе в приложение или устройство, например вход с помощью ключа безопасности FIDO2 или пароля. Другие методы проверки подлинности доступны только в качестве дополнительного фактора при использовании многофакторной проверки подлинности Microsoft Entra или SSPR.

В следующей таблице продемонстрировано, когда метод проверки подлинности можно использовать во время входа:

Способ	Основная проверка подлинности	Дополнительная проверка подлинности
Windows Hello для бизнеса	Да	Министерство иностранных дел1
Push-уведомление Microsoft Authenticator	Нет	MFA и SSPR
Microsoft Authenticator без пароля	Да	Нет2
Секретный ключ Microsoft Authenticator	Да	МИД
Authenticator Lite	Нет	MFA
Ключ доступа (FIDO2)	Да	MFA
Проверка подлинности на основе сертификатов (CBA)	Да	МИД
Аппаратные токены OATH (предварительная версия)	Нет	MFA и SSPR
Программные токены OATH	Нет	MFA и SSPR
Внешние методы проверки подлинности (предварительная версия)	Нет	MFA
Временный доступ по пропуску (TAP)	Да	MFA
Текст	Да	MFA и SSPR
Голосовой звонок	Нет	MFA и SSPR
QR-код (предварительная версия)	Да	Нет
Пароль	Да	Нет

¹Windows Hello для бизнеса может служить дополнительными учетными данными для многофакторной аутентификации, если используется в аутентификации FIDO2. Пользователям необходимо зарегистрировать ключ доступа (FIDO2).

²вход без пароля можно использовать для вторичной проверки подлинности, только если CBA используется для первичной проверки подлинности.

³Альтернативные телефонные методы можно использовать только для MFA (многофакторной аутентификации).

Все эти методы проверки подлинности можно настроить в Центре администрирования Microsoft Entra и все чаще настраивать с использованием Microsoft Graph REST API.

Дополнительные сведения о том, как работает каждый из способов проверки подлинности, см. в следующих статьях и разделах:

• Windows Hello для бизнеса

• Приложение Microsoft Authenticator

• Authenticator Lite

• Секретный ключ (FIDO2)

• Аутентификация на основе сертификата

• Аппаратные токены OATH (предварительная версия)

• Токены OATH программного обеспечения

• Внешние методы проверки подлинности (предварительная версия)

• Временный код доступа (TAP)

• Вход с использованием службы коротких сообщений (SMS) и верификация

• Проверка голосового звонка

• QR-код (предварительная версия)

• Пароль

Примечание.

В идентификаторе Microsoft Entra пароль часто является одним из основных методов проверки подлинности. Невозможно отключить метод проверки подлинности с помощью пароля. Если вы используете пароль в качестве основного фактора проверки подлинности, увеличьте безопасность событий входа с помощью многофакторной проверки подлинности Microsoft Entra.

Эти другие методы проверки можно использовать в определенных сценариях:

• Пароли приложений - используются для старых приложений, которые не поддерживают современную аутентификацию, и могут быть настроены каждым пользователем для многофакторной аутентификации Microsoft Entra.
• Контрольные вопросы используются только для самостоятельного сброса пароля (SSPR).
• Адрес электронной почты используется только для самостоятельного сброса пароля (SSPR).

Используемые и неиспользуемые методы

Администраторы могут просматривать методы проверки подлинности пользователей в Центре администрирования Microsoft Entra. Сначала перечислены доступные методы, а затем неиспользуемые методы.

Каждый метод проверки подлинности может стать неиспользуемым по разным причинам. Например, срок действия временного пропуска доступа может истечь, или ключ безопасности FIDO2 может не пройти аттестацию. Портал обновляется, чтобы указать причину, по которой метод не подходит для использования.

Методы проверки подлинности, которые больше не доступны из-за обязательной повторной регистрации многофакторной проверки подлинности , также отображаются здесь.

Связанный контент

Чтобы приступить к работе, ознакомьтесь с руководством по самостоятельному сбросу пароля (SSPR) и многофакторной проверке подлинности Microsoft Entra.

Дополнительные сведения о концепциях SSPR см. в статье о том, как работает самостоятельный сброс пароля Microsoft Entra.

Дополнительные сведения о принципах многофакторной проверки подлинности см. в статье «Как работает многофакторная проверка подлинности в Microsoft Entra».

Узнайте, как настроить способы проверки подлинности с помощью REST API Microsoft Graph.

Сведения о том, какие методы проверки подлинности используются, см. в разделе Анализ методов многофакторной аутентификации Microsoft Entra с помощью PowerShell.