Поделиться через


Как убедиться, что пользователи настроены для обязательной многофакторной проверки подлинности

В этом разделе рассматриваются действия по проверке того, что пользователи в вашей организации настроены на соответствие требованиям для использования MFA для входа на порталы администрирования Майкрософт. Дополнительные сведения о том, какие приложения и учетные записи затронуты и как работает развертывание, см. в статье "Планирование обязательной многофакторной проверки подлинности для Azure" и других порталов администрирования.

Проверить MFA для личной учетной записи

Пользователь может использовать свои личная учетная запись для создания клиента Microsoft Entra только для нескольких пользователей. Если вы использовали личная учетная запись для подписки на Azure, выполните следующие действия, чтобы убедиться, что учетная запись настроена для MFA.

  1. Войдите в свою учетную запись Майкрософт с дополнительными параметрами безопасности.
  2. В разделе "Дополнительная безопасность и двухфакторная проверка подлинности" выберите "Включить".
  3. Следуйте инструкциям на экране.

Дополнительные сведения см. в статье "Использование двухфакторной проверки подлинности с учетной записью Майкрософт".

Найдите пользователей, которые входят в систему как с использованием многофакторной аутентификации, так и без неё.

Используйте следующие ресурсы, чтобы найти пользователей, которые входят в систему с MFA и без него.

  • Чтобы экспортировать список пользователей и их методов проверки подлинности, используйте PowerShell.
  • При выполнении запросов для анализа входов пользователей используйте идентификаторы приложений , требующих MFA.

Проверка включения MFA (многофакторной аутентификации)

Все пользователи, обращающиеся к порталам администрирования и клиентам Azure, которым требуется MFA, должны быть настроены для использования MFA . Обязательный MFA не ограничивается привилегированными ролями. Рекомендуется использовать MFA для всех пользователей, имеющих доступ к любому порталу администрирования.

Чтобы убедиться, что MFA настроена для пользователей или включить его при необходимости, выполните следующие действия.

  1. Войдите в портал Azure в качестве глобального читателя.

  2. Перейдите к идентификация>обзор.

  3. Проверьте тип лицензии для подписки клиента.

  4. Следуйте инструкциям в зависимости от типа лицензии, чтобы убедиться, что многофакторная аутентификация включена, или включите её при необходимости. Чтобы выполнить эти действия, необходимо выйти из учетной записи глобального читателя и войти под более привилегированной ролью.

Проверка включения MFA для лицензии Microsoft Entra ID P1 или Microsoft Entra ID P2

Если у вас есть лицензия Microsoft Entra ID P1 или Microsoft Entra ID P2, можно создать политику условного доступа, чтобы требовать MFA для пользователей, обращающихся к порталам администрирования Майкрософт:

  1. Войдите в Центр администрирования Microsoft Entra в качестве администратора условного доступа.
  2. Перейдите к защите>условного доступа>политикам.
  3. Выберите Новая политика.
  4. Присвойте политике имя. Мы рекомендуем организациям присваивать политикам понятные имена.
  5. В разделе Назначения выберите Идентификаторы пользователей или рабочих нагрузок.
  6. В разделе "Включить" выберите "Все пользователи" или группу пользователей, которые входят в приложения, для которых требуется MFA.
  7. В разделе Целевые ресурсы>Облачные приложения>Включить, Выбор приложений, выберите Порталы администрирования Microsoft.
  8. В разделе Управление доступом>Предоставление доступа выберите "Предоставить доступ", Требовать уровень проверки подлинности, выберите многофакторную проверку подлинности и выберите "Выбрать".
  9. Подтвердите параметры и задайте для параметра Включить политику значение Только отчет.
  10. Нажмите Создать, чтобы создать и включить политику.

Дополнительные сведения см. в статье "Общая политика условного доступа: требуется многофакторная проверка подлинности для администраторов, обращаюющихся к порталам администрирования Майкрософт".

Убедитесь, что включена функция многофакторной аутентификации (MFA) для Microsoft 365 или бесплатной версии Microsoft Entra ID

Если у вас есть бесплатная лицензия Microsoft 365 или Microsoft Entra ID Free, можно включить MFA с помощью стандартных значений безопасности. Пользователям при необходимости предлагается воспользоваться MFA, но нельзя определить собственные правила для управления его использованием.

Чтобы включить параметры безопасности по умолчанию, выполните следующие действия.

  1. Войдите в центр администрирования Microsoft Entra как минимум в качестве Администратора безопасности.
  2. Перейдите к Идентификация>Общие сведения>Свойства.
  3. Выберите Управление параметрами безопасности по умолчанию.
  4. Задайте для параметра "Безопасность" значение"Включено".
  5. Выберите Сохранить.

Дополнительные сведения о параметрах безопасности по умолчанию см. в разделе "Безопасность по умолчанию" в идентификаторе Microsoft Entra ID.

Если вы не хотите использовать параметры безопасности по умолчанию, можно включить MFA для каждого пользователя. При включении пользователей по отдельности они выполняют многофакторную проверку подлинности при каждом входе. Администратор проверки подлинности может включить некоторые исключения. Чтобы включить многофакторную проверку подлинности для каждого пользователя, выполните приведенные действия.

  1. Войдите в Центр администрирования Microsoft Entra в качестве как минимум Администратора проверки подлинности.
  2. Перейдите в раздел Идентификация>Пользователи>Все пользователи.
  3. Выберите учетную запись пользователя и нажмите кнопку "Включить MFA".
  4. Подтвердите свой выбор во всплывающем окне, которое откроется.

После включения пользователей уведомите их по электронной почте. Сообщите пользователям о том, что при следующем входе в систему им будет показан запрос на регистрацию. Дополнительные сведения см. в разделе Включить многофакторную аутентификацию Microsoft Entra для защиты входа.

Дополнительные сведения о MFA см. в следующих разделах: