Когда следует использовать поставщик многофакторной проверки подлинности Microsoft Entra
Внимание
С 1 сентября 2018 года создавать новые поставщики аутентификации невозможно. Можно продолжать использовать текущие поставщики проверки подлинности. Дли них доступно обновление, но переход на них теперь невозможен. Многофакторная проверка подлинности будет по-прежнему доступна в качестве функции в лицензиях Microsoft Entra ID P1 или P2.
Двухфакторная проверка доступна по умолчанию для администраторов в идентификаторе Microsoft Entra ID и пользователей Microsoft 365. Однако, если вы хотите воспользоваться расширенными функциями, необходимо включить многофакторную проверку подлинности Microsoft Entra с помощью условного доступа. Дополнительные сведения см. в разделе "Общая политика условного доступа": требуется многофакторная проверка подлинности для всех пользователей.
Поставщик многофакторной проверки подлинности Microsoft Entra используется для использования функций, предоставляемых многофакторной проверкой подлинности Microsoft Entra для пользователей, у которых нет лицензий.
Предупреждения о пакете SDK для Azure MFA
Обратите внимание на то, что этот пакет SDK является нерекомендуемым и будет работать только до 14 ноября 2018 года. После этого вызовы к пакету SDK будут завершаться сбоем.
Что такое поставщик MFA?
Поставщики аутентификации бывают двух типов. Их отличие заключается в способе оплаты за подписку Azure. При оплате за каждую проверку подлинности вычисляется количество событий проверки подлинности, выполненных для клиента в течение месяца. Этот вариант лучше всего подходит, если некоторые учетные записи проходят проверку подлинности только иногда. Параметр для каждого пользователя вычисляет количество учетных записей, которые могут выполнять MFA, что является всеми учетными записями в идентификаторе Microsoft Entra и всеми включенными учетными записями на сервере MFA. Этот вариант лучше всего подходит, если у некоторых пользователей есть лицензии, но необходимо расширить MFA для большего числа пользователей за пределами ограничений лицензирования.
Управление поставщиком MFA
Вы не можете изменить модель использования (для каждого пользователя или для каждой проверки подлинности) после создания поставщика MFA.
Если вы приобрели достаточно лицензий, чтобы охватить всех пользователей, для которых включена MFA, можно полностью удалить поставщик MFA.
Если поставщик MFA не связан с клиентом Microsoft Entra или вы связываете нового поставщика MFA с другим клиентом Microsoft Entra, параметры пользователя и параметры конфигурации не передаются. Кроме того, вам потребуется повторно активировать существующие серверы Azure MFA с помощью учетных данных активации, созданных с помощью поставщика многофакторной идентификации.
Удаление поставщика проверки подлинности
Внимание
При удалении поставщика проверки подлинности подтверждение не требуется. Удаление нельзя отменить.
Поставщики проверки подлинности можно найти в Центре администрирования Microsoft Entra. Войдите по крайней мере администратор политики проверки подлинности. Перейдите к поставщику многофакторной проверки подлинности>защиты>. Щелкните перечисленные поставщики, чтобы просмотреть сведения и конфигурации, связанные с этим поставщиком.
Перед удалением поставщика проверки подлинности запишите все настроенные для него параметры. Определите, какие параметры необходимо перенести в общие параметры многофакторной проверки подлинности из настроек поставщика, и завершите их перенос.
Серверы Azure MFA, связанные с поставщиками, должны быть повторно активированы с помощью учетных данных, созданных в параметрах сервера. Перед повторной активацией необходимо удалить следующие файлы из каталога \Program Files\Multi-Factor Authentication Server\Data\
на серверах многофакторной проверки подлинности Azure в вашей среде:
- caCert
- cert
- groupCACert
- groupKey
- groupName
- licenseKey
- pkey
Убедившись, что все параметры перенесены, перейдите к поставщикам и выберите многоточие ... и нажмите кнопку "Удалить".
Предупреждение
При удалении поставщика проверки подлинности будут удалены все связанные с ним отчеты. Перед удалением поставщика можно сохранить отчеты о его работе.
Примечание.
Пользователям с более старыми версиями приложения Microsoft Authenticator и сервера многофакторной проверки подлинности Azure может потребоваться повторная регистрация приложения.
Следующие шаги
Настройка параметров многофакторной проверки подлинности
Общая политика условного доступа: требуется MFA для всех пользователей