Практическое руководство. Настройка политики регистрации многофакторной проверки подлинности

Корпорация Майкрософт помогает управлять развертыванием многофакторной проверки подлинности (MFA), настроив политику Microsoft Entra ID Protection таким образом, чтобы требовать регистрации MFA независимо от современного аутентификационного приложения, в которое вы входите. Многофакторная аутентификация предоставляет способ подтвердить вашу личность, используя не только имя пользователя и пароль. Он предоставляет второй уровень безопасности для входа пользователей. Чтобы пользователи могли реагировать на запросы MFA, они должны сначала зарегистрировать методы проверки подлинности, такие как приложение Microsoft Authenticator.

Рекомендуется требовать многофакторную проверку подлинности для всех входов пользователей. Основываясь на наших исследованиях, ваша учетная запись более чем на 99% реже будет скомпрометирована, если вы используете MFA. Даже если многофакторная проверка подлинности не требуется все время, эта политика гарантирует, что пользователи будут готовы при необходимости многофакторной проверки подлинности.

Дополнительные сведения см. в статье Общие политики условного доступа: требуется многофакторная проверка подлинности для всех пользователей.

Настройки политики

1. Войдите в Центр администрирования Microsoft Entra как минимум Администратор безопасности.
2. Перейдите к Защита>Защита идентификации>Политика регистрации многофакторной аутентификации.
   1. В разделе Назначения>Пользователи.
      1. В разделе Включить выберите Все пользователи или Выбрать отдельных пользователей и группы, если вы ограничиваете развертывание.
      2. В разделе Исключить выберите Пользователи и группы, а затем выберите учетные записи для аварийного доступа или для обхода стандартной системы контроля доступа в вашей организации.
3. Задайте для принудительного применения политики значение "Включено".
4. Выберите Сохранить.

Взаимодействие с пользователем

Защита идентификаторов Microsoft Entra предложит пользователям зарегистрировать следующий вход в интерактивном режиме, и у них есть 14 дней для завершения регистрации. В течение этого 14-дневного периода они могут обойти регистрацию, если MFA не требуется в качестве условия, но в конце периода они должны зарегистрировать, прежде чем они смогут завершить процесс входа.

Общие сведения о связанном пользовательском интерфейсе см. в следующих статьях:

• Опыт входа с защитой идентификации Microsoft Entra.

Связанный контент

• Включение политик входа и риска для пользователей
• Включение функции самостоятельного сброса пароля в Microsoft Entra
• Включение многофакторной проверки подлинности Microsoft Entra