Поделиться через

Многофакторная проверка подлинности во внешних клиентах

  • Статья

Область применения: Белый круг с серым символом X. клиенты рабочей силы внешниеЗеленый круг с символом белой галочки. клиенты (дополнительные сведения)

Многофакторная проверка подлинности (MFA) добавляет уровень безопасности в приложения, требуя, чтобы пользователи предоставили второй метод проверки удостоверения во время регистрации или входа. Внешние клиенты поддерживают два метода проверки подлинности в качестве второго фактора:

  • Отправка одноразового секретного кода по электронной почте
  • Проверка подлинности на основе SMS, доступная в виде надстройки (см. сведения).

Применение MFA повышает безопасность вашей организации путем добавления дополнительного уровня проверки, что делает его более сложным для несанкционированных пользователей для получения доступа.

Создание политики MFA

В внешнем клиенте можно использовать условный доступ Microsoft Entra для создания политики, которая запрашивает пользователей MFA при регистрации или входе в приложение. Эта политика создается в Центре администрирования Microsoft Entra в разделе "Условный доступ" в разделе "Защита". Вы можете указать, к каким пользователям и группам применяется политика, включая всех пользователей и исключая любые учетные записи аварийного доступа или взлома.

В политике определяются приложения, требующие многофакторной проверки подлинности. Политику можно применить ко всем облачным приложениям или выбрать определенные приложения, исключая все приложения, которые не требуют многофакторной проверки подлинности. Затем вы настраиваете политику для предоставления доступа только в том случае, если пользователи завершают требование MFA.

Дополнительные сведения см. в статье о создании политики условного доступа во внешнем клиенте.

Включение методов MFA

При выборе параметров поставщика удостоверений в потоках пользователей вы определяете методы проверки подлинности первого фактора для регистрации и входа. Методы проверки второго фактора для MFA настраиваются в отдельном разделе Центра администрирования Microsoft Entra в разделе "Проверка подлинности " в разделе "Защита ".

В зависимости от того, какой вариант выбран в качестве первого фактора, доступны различные методы проверки второго фактора для многофакторной проверки подлинности (MFA).

  • Электронная почта с использованием паролей и поставщиков удостоверений социальных сетей: для любого из этих методов первого фактора можно включить одноразовый секретный код электронной почты, SMS или как методы проверки второго фактора для MFA.
  • Одноразовый секретный код электронной почты: если в качестве метода проверки подлинности первого фактора выбран одноразовый секретный код, его нельзя использовать для проверки второго фактора. Поэтому для MFA можно включить только проверку на основе SMS.

Дополнительные сведения см. в том , как включить методы MFA во внешнем клиенте.

Отправка одноразового секретного кода по электронной почте

Проверка подлинности однократного секретного кода электронной почты доступна во внешнем клиенте как в качестве метода проверки первого и второго фактора. Чтобы разрешить использование одноразовых секретных кодов электронной почты для MFA, метод проверки подлинности локальной учетной записи должен иметь значение Email с паролем. Если вы выберете электронную почту с одноразовым секретным кодом, клиенты, использующие этот метод для первичного входа, не смогут использовать его для вторичной проверки MFA.

Если для MFA включен одноразовый секретный код электронной почты, пользователь входит в систему с помощью основного метода входа и уведомляется о том, что код будет отправлен по адресу электронной почты пользователя. Пользователь выбирает отправку кода, извлекает секретный код из почтового ящика и вводит его в окне входа. Пользователь должен завершить этот процесс проверки в течение 10 минут.

Проверка подлинности на основе SMS

SMS предоставляется по дополнительным затратам для проверки второго фактора во внешних клиентах. В настоящее время SMS недоступен для проверки подлинности первого фактора или самостоятельного сброса пароля во внешних клиентах.

При включении SMS для MFA пользователи войдите с помощью основного метода и предложите проверить удостоверение с помощью кода, отправленного по тексту. Они вводят свой номер телефона и получают SMS с кодом проверки.

Снимок экрана: текст SMS для MFA.

Внешний идентификатор устраняет мошеннические регистрации и входы через SMS, применяя следующие меры:

  • Ограничения регулирования телефонии помогают предотвратить сбои и замедление. См . ограничения и ограничения службы.
  • CAPTCHA для SMS MFA помогает предотвратить автоматизированные атаки, различая пользователей от автоматизированных ботов. Если обнаружен рискованных пользователей, мы заблокируем вход пользователя или попросите пользователя завершить CAPTCHA перед отправкой кода проверки SMS.

Ценовые категории SMS по странам или регионам

В следующей таблице приведены сведения о разных ценовых категориях служб проверки подлинности на основе SMS в разных странах или регионах. Сведения о ценах см. в Внешняя идентификация Microsoft Entra ценах.

SMS является функцией надстройки и требует связанной подписки. Если срок действия подписки истек или отменен, конечные пользователи больше не смогут проходить проверку подлинности с помощью SMS, что может заблокировать вход в систему в зависимости от политики MFA.

Уровень Страны или регионы
Низкая стоимость проверки подлинности телефона Австралия, Бразилия, Бруней, Канада, Чили, Китай, Колумбия, Кипр, Северная Македония, Польша, Португалия, Южная Корея, Таиланд, Турция, США
Средняя низкая стоимость проверки подлинности телефона Гренландия, Албания, Американская Самоа, Австрия, Багамские острова, Бахрейн, Босния и Герцеговина, Ботсвана, Коста-Рика, Чехия, Дания, Эстония, Фареские острова, Финляндия, Франция, Греция, Гонконг, Венгрия, Исландия, Ирландия, Япония, Япония, Латвия, Литва, Люксембург, Макао, Мальта, Мексика, Намибия, Новая Зеландия, Никарагуа, Норвегия, Румыния, Сан-Томе и Príncipe, Республика Сейшельские острова, Сингапур, Словакия, Соломонские острова, Испания, Швеция, Швейцария Тайвань, Соединенное Королевство, США Виргинские острова, Уругвае
Средняя стоимость проверки подлинности телефона Ангола, Ангола, Ангилья, Антарктида, Антигуа и Барбуда, Аргентина, Армения, Аруба, Вознесение, Барбадос, Бельгия, Боливия, Британские Виргинские острова, Болгария, Буркина-Фасо, Камерун, Каймановы острова, Центральноафриканские острова, Кука, Хорватия, Диего Гарсия, Доминиканская Республика, Восточная Республика, Эквадор, Сальвадор, Эритрея, Фолклендские острова, Фиджи, Французская Гиана, Гамбия, Грузия, Германия, Гибралтар, Боливия, Гуадупе, Гуам, Гвинея, Гайана, Гондурас, Индия, Слоновое побережье, Кения, Кирибати, Лаос, Либерия, Малайзия, Маршалловы острова, Мартиника, Маврикий, Монако, Черногория, Монтсеррат, Нидерланды, Нидерланды Антиллис, Нью-Каледония, Оман, Оман, Палау, Панама, Панама, Перу, Пуэрто-Рико, Пуэрто-Рико, Réunion, Руанда, Сент-Хелена, Сент-Китс и Невис, Сент-Люсия, Сент-Пьер и Микелон, Сент-Винсент и Гренадины, Сайпан, Самоа, Сан-Марино, Саудовская Аравия, Синт Маартен, Словения, Южная Африка, Южный Судан, Свазиленд (Новое имя — Королевство Эсватини), Токлау, Тонга, Турки и Кайкос, Тувалу, Объединенные Арабские Эмираты, Вануату, Венесуэла, Вьетнам, Уоллис и Футуна
Высокая стоимость проверки подлинности телефона Лихтенштейн, Бермуда, Камбоджа, Кабо-Верде, Демократическая Республика Конго, Доминика, Египет, Экваториальная Гвинея, Гана, Гватемала, Гвинея-Бисау, Израиль, Израиль, Ямайка, Косово, Мальта, Мали, Мали, Марокко, Мозамбик, Папуа-Новая Гвинея, Филиппины, Катар, Сьерра-Леоне, Тринидад и Томаго, Украина, Зимбабве, Афганистан, Алжир, Азербайджан, Бангладеш, Беларусь, Белиз, Бурунди, Бурунди, Чад, Конго, Конго, Эфиопия, Гаити, Индонезия, Ирак, Иордания, Кувейт, Кыргызстан, Ливан, Ливия, Мадагаскар, Малави, Монголия, Мьянма, Науру, Непал, Нигер, Нигерия, Пакистан, Палестинский национальный орган, Россия, Сенегал, Сербия, Сомали, Шри-Ланка, Судан, Таджикистан, Танзания, Тунис, Тунис, Туркменистан, Уганда, Узбекистан, Йемен, Замбия

Выбор регионов для SMS

Начиная с января 2025 года некоторые коды стран по умолчанию будут отключены для проверки SMS. Если вы хотите разрешить трафик из деактивированных регионов, необходимо активировать их для приложения с помощью политики Microsoft Graph onPhoneMethodLoadStartevent . См. раздел "Регионы, требующие согласия на проверку SMS".

Следующие шаги

Добавление многофакторной проверки подлинности (MFA) в приложение