Управление методами проверки подлинности для идентификатора Microsoft Entra
Идентификатор Microsoft Entra позволяет использовать ряд методов проверки подлинности для поддержки различных сценариев входа. Администраторы могут специально настроить каждый метод для удовлетворения своих целей для взаимодействия с пользователем и безопасности. В этом разделе объясняется, как управлять методами проверки подлинности для идентификатора Microsoft Entra ID и как параметры конфигурации влияют на сценарии входа пользователей и сброса пароля.
Политика аутентификации
Политика методов проверки подлинности — это рекомендуемый способ управления методами проверки подлинности, включая современные методы, такие как проверка подлинности без пароля. Администраторы политики проверки подлинности могут изменить эту политику, чтобы включить методы проверки подлинности для всех пользователей или определенных групп.
Методы, включенные в политику методов аутентификации, можно обычно использовать в любом месте в Microsoft Entra ID как для сценариев аутентификации, так и для сброса пароля. Исключением является то, что некоторые методы аутентификации по сути ограничены к использованию, например, такие как FIDO2 и Windows Hello для бизнеса, а другие ограничены к использованию в сбросе пароля, например, такие как вопросы безопасности. Для более точного управления доступными методами в данной ситуации аутентификации, рассмотрите возможность использования функции Сила проверки подлинности.
Большинство методов также имеют параметры конфигурации для более точного управления способом использования этого метода. Например, если включить голосовые звонки, можно также указать, можно ли использовать офисный телефон в дополнение к мобильному телефону.
Или предположим, что вы хотите включить проверку подлинности без пароля с помощью Microsoft Authenticator. Можно задать дополнительные параметры, например отображение расположения входа пользователя или имени приложения, вошедшего в систему. Эти параметры предоставляют больше контекста для пользователей при входе в систему и помогают предотвратить случайные подтверждения MFA.
Чтобы управлять политикой методов проверки подлинности, войдите в Центр администрирования Microsoft Entra как минимум Администратор политики проверки подлинности и перейдите к Защите>Методам проверки подлинности>Политики.
Только интерфейс конвергентной регистрации знает о политике методов проверки подлинности. Пользователи, подпадающие под политику методов проверки подлинности и не участвующие в конвергентной регистрации, не увидят правильными методами для регистрации.
Устаревшие политики MFA и SSPR
Две другие политики, расположенные в параметрах многофакторной проверки подлинности и параметрах сброса пароля, предоставляют устаревший способ управления некоторыми методами проверки подлинности для всех пользователей в клиенте. Вы не можете контролировать использование метода проверки подлинности с поддержкой или способ использования метода.
Внимание
В марте 2023 года мы объявили об отмене управления методами проверки подлинности в устаревших политиках многофакторной проверки подлинности и самостоятельном сбросе пароля (SSPR). Начиная с 30 сентября 2025 г. методы проверки подлинности нельзя управлять в этих устаревших политиках MFA и SSPR. Мы рекомендуем клиентам использовать ручное управление миграцией, чтобы перейти к политике методов проверки подлинности до даты завершения поддержки.
Чтобы управлять устаревшей политикой MFA, перейдите к >методам проверки подлинности>политикам>многофакторной проверки подлинности>дополнительным параметрам многофакторной проверки подлинности на основе облака.
Чтобы управлять методами проверки подлинности для самостоятельного сброса пароля (SSPR), перейдите к Protection>Password reset>Методы проверки подлинности. Параметр мобильного телефона в этой политике позволяет отправлять голосовые звонки или текстовые сообщения на мобильный телефон. Параметр телефона Office разрешает только голосовые звонки.
Совместная работа политик
Параметры не синхронизируются между политиками, что позволяет администраторам управлять каждой политикой независимо. Идентификатор Microsoft Entra учитывает параметры во всех политиках, поэтому пользователь, который включен для метода проверки подлинности в любой политике, может зарегистрировать и использовать этот метод. Чтобы запретить пользователям использовать метод, его необходимо отключить во всех политиках.
Рассмотрим пример, в котором пользователь, принадлежащий группе учета, хочет зарегистрировать Microsoft Authenticator. Процесс регистрации сначала проверяет политику методов проверки подлинности. Если группа учета включена для Microsoft Authenticator, пользователь может зарегистрировать ее.
В противном случае процесс регистрации проверяет старую политику многофакторной аутентификации (MFA). В этой политике любой пользователь может зарегистрировать Microsoft Authenticator, если для MFA включен один из следующих параметров:
- Уведомление в мобильном приложении
- Код проверки из мобильного приложения или аппаратного маркера
Если пользователь не может зарегистрировать Microsoft Authenticator на основе любой из этих политик, процесс регистрации проверяет устаревшую политику SSPR. В этой политике пользователь также может зарегистрировать Microsoft Authenticator, если пользователь включен для SSPR, а любой из этих параметров включен:
- Уведомление мобильного приложения
- Код мобильного приложения
Для пользователей, которые активированы для использования мобильного телефона в SSPR, независимый контроль между политиками может повлиять на процесс входа. Если другие политики имеют отдельные параметры для текстовых сообщений и голосовых звонков, мобильный телефон для SSPR включает оба варианта. В результате любой пользователь, использующий мобильный телефон для SSPR, также может использовать голосовые звонки для сброса пароля, даже если другие политики не разрешают голосовые звонки.
Аналогичным образом предположим, что вы включите голосовые звонки для группы. После включения вы обнаружите, что даже пользователи, не являющиеся участниками группы, могут войти с помощью голосового звонка. В этом случае, скорее всего, эти пользователи настроены на мобильный телефон в устаревшей политике SSPR или на вызов на телефон в устаревшей политике MFA.
Миграция между политиками
Политика методов проверки подлинности предоставляет руководство по миграции, помогающее объединить администрирование всех методов проверки подлинности. Все необходимые методы можно включить в политике методов проверки подлинности, если политика предназначена для целевых групп пользователей или всех пользователей. Руководство по миграции методов проверки подлинности автоматизирует шаги по аудиту текущих параметров политики для MFA и SSPR и консолидации их в политике методов проверки подлинности. Вы можете получить доступ к руководству из центра администрирования Microsoft Entra, перейдя к Защите>Методам аутентификации>Политикам.
Вы также можете вручную перенести параметры политики. Миграция имеет три параметра, позволяющих вам двигаться в удобном для вас темпе и избегать проблем с авторизацией или SSPR во время перехода.
После завершения миграции методы в устаревших политиках MFA и SSPR можно отключить. Вы можете централизованно контролировать методы проверки подлинности для входа и SSPR в одном месте, а устаревшие политики MFA и SSPR будут отключены.
Примечание.
Включение секретных вопросов можно сделать только при использовании устаревшей политики SSPR. Если вы используете вопросы безопасности и не хотите отключать их, убедитесь, что они включены в устаревшей политике SSPR до тех пор, пока не будет доступен элемент управления миграцией. Вы можете перенести оставшиеся методы аутентификации и по-прежнему управлять вопросами безопасности в устаревшей политике SSPR.
Чтобы просмотреть параметры миграции, откройте политику методов проверки подлинности и нажмите кнопку " Управление миграцией".
В таблице ниже представлено описание каждого из этих параметров.
| Вариант | Описание |
|---|---|
| Подготовка к миграции | Политика методов проверки подлинности используется только для проверки подлинности. Параметры наследуемой политики учитываются. |
| Выполняется миграция | Политика методов проверки подлинности используется для проверки подлинности и SSPR. Параметры устаревшей политики учитываются. |
| Миграция завершена | Для проверки подлинности и SSPR используется только политика методов проверки подлинности. Устаревшие параметры политики игнорируются. |
По умолчанию арендаторы имеют значение "Предварительная миграция" или "Миграция в процессе" в зависимости от текущего состояния арендатора. Если вы начинаете с предварительной миграции, вы можете перейти к любому из состояний в любое время. Если вы начали миграцию в процессе выполнения, вы можете перемещаться между миграцией в процессе выполнения и Microsoft Complete в любое время, но не будет разрешено перейти к предварительной миграции. Если перейти к статусу 'Миграция завершена', а затем выбрать откат к предыдущему состоянию, мы будем спрашивать, почему, чтобы мы могли произвести оценку производительности продукта.
Примечание.
После полного переноса всех методов проверки подлинности следующие элементы устаревшей политики SSPR остаются активными:
- Количество методов, необходимых для сброса управления: администраторы могут продолжать изменять, сколько методов аутентификации должно быть подтверждено перед тем, как пользователь сможет выполнить SSPR.
- Политика администратора SSPR: администраторы могут продолжать регистрировать и использовать любые методы, перечисленные в устаревшей политике администратора SSPR или методах, которые они могут использовать в политике методов проверки подлинности.
В будущем обе эти функции будут интегрированы с политикой методов проверки подлинности.
Известные проблемы и ограничения
В последних обновлениях мы удалили возможность нацеливания на отдельных пользователей. Ранее целевые пользователи останутся в политике, но мы рекомендуем переместить их в целевую группу.
Регистрация метода проверки подлинности может завершиться ошибкой, если многие группы включены в политику методов проверки подлинности или кампанию регистрации. Рекомендуется объединить несколько групп в одну группу для каждого метода проверки подлинности. Чтобы сохранить регистрацию для пользователей во время консолидации, добавьте новую группу и удалите текущие группы в той же операции.
Примечание.
Возможно, вы не сможете сохранить обновления политики методов проверки подлинности, если она предназначена для многих групп, а размер политики превышает 20 КБ. Хотя мы работаем над увеличением ограничения размера политики, консолидируйте целевые группы как можно больше.