Поделиться через

Настройка параметров многофакторной проверки подлинности Microsoft Entra

  • Статья

Чтобы настроить взаимодействие с конечным пользователем для многофакторной проверки подлинности (MFA) Microsoft Entra, можно настроить параметры для таких параметров, как пороговые значения блокировки учетных записей или оповещения о мошенничестве и уведомления.

Примечание.

Отчет о подозрительном действии заменяет устаревшие функции блокировки или разблокировки пользователей, оповещений о мошенничестве и уведомлений. 1 марта 2025 г. устаревшие функции будут удалены.

В следующей таблице описаны параметры MFA Microsoft Entra, а подразделы подробно описывают каждый параметр.

Функция Описание
Блокировка учетной записи (только сервер MFA) Временно блокируйте учетные записи для использования Microsoft Entra MFA, если подряд слишком много попыток аутентификации отклонено. Эта функция применяется только к пользователям, использующим сервер MFA для ввода ПИН-кода для проверки подлинности.
Сообщить о подозрительном действии Настройка параметров, которые позволяют пользователям сообщать о мошеннических запросах на проверку. Отчет о подозрительном действии заменяет следующие функции: блокировка и разблокировка пользователей, оповещение о мошенничестве и уведомления.
Предупреждение о мошенничестве Эта функция будет удалена 1 марта 2025 г. Используйте Сообщить о подозрительной активности, чтобы позволить пользователям сообщать о мошеннических запросах проверки.
Блокировка и разблокировка пользователей Эта функция будет удалена 1 марта 2025 г. Используйте Сообщить о подозрительной активности, чтобы пользователи могли сообщать о мошеннических запросах на проверку. Эти оповещения интегрированы с Защита идентификации Microsoft Entra. Вы можете использовать политики на основе рисков или создавать собственные рабочие потоки, основываясь на событиях обнаружения рисков, чтобы временно ограничить доступ пользователей и устранить риск.
Уведомления Эта функция будет удалена 1 марта 2025 г. Используйте Сообщить о подозрительных действиях, чтобы пользователи могли сообщать о мошеннических запросах проверки. Вы можете использовать уведомления о рисках или создавать собственные рабочие процессы с помощью событий обнаружения рисков, чтобы включить Уведомления по электронной почте для зарегистрированных пользователем событий мошенничества.
OATH-токены Используется в облачных средах Microsoft Entra MFA для управления токенами OATH для пользователей.
Параметры телефонного звонка Настройте параметры, относящиеся к телефонным звонками и приветствиям в облачных и локальных средах.
Поставщики Здесь отображаются все существующие поставщики проверки подлинности, которые вы ранее связали с этой учетной записью. Добавление новых поставщиков отключено с 1 сентября 2018 г.

Блокировка учетной записи (только сервер MFA)

Примечание.

Блокировка учетной записи влияет только на пользователей, которые входят в систему с помощью сервера MFA в локальной сети.

Чтобы предотвратить повторные попытки прохождения MFA при атаке, с помощью параметров блокировки учетных записей можно указать количество неудачных попыток, по истечении которых учетная запись блокируется на определенный период времени. Параметры блокировки учетной записи применяются только при вводе ПИН-кода для запроса MFA с помощью локального сервера MFA.

Доступны следующие параметры:

  • "Число отказов многофакторной аутентификации, ведущих к блокировке учетной записи".
  • Время до сброса счетчика блокировки учетной записи (в минутах)
  • "Время до авторазблокировки учетной записи (в минутах)".

Чтобы настроить блокировку учетных записей:

  1. Войдите в центр администрирования Microsoft Entra как минимум администратор политики аутентификации.

  2. Перейдите к Защите>Многофакторной аутентификации>Блокировке учетной записи. Чтобы просмотреть многофакторную проверку подлинности, может потребоваться нажать кнопку "Показать больше".

  3. Введите значения для своей среды, а затем нажмите кнопку Сохранить.

    Снимок экрана: параметры блокировки учетной записи.

Сообщить о подозрительном действии

Отчет о подозрительных действиях заменяет эти устаревшие функции: блокировать и разблокировать пользователей, оповещение о мошенничестве и уведомления.

При получении неизвестного и подозрительного запроса MFA пользователи могут сообщить о попытке мошенничества с помощью Microsoft Authenticator или по телефону. Эти оповещения интегрированы с Microsoft Entra ID Protection для более всеобъемлющего охвата и возможностей.

Пользователи, которые сообщают о запросе MFA как подозрительном, назначаются со статусом высокий уровень риска пользователя. Администраторы могут использовать политики на основе рисков, чтобы ограничить доступ для этих пользователей или включить самостоятельный сброс пароля (SSPR) для пользователей, чтобы устранить проблемы самостоятельно.

Если вы ранее использовали функцию автоматической блокировки оповещения о мошенничестве и не имеет лицензии Microsoft Entra ID P2 для политик на основе рисков, вы можете использовать события обнаружения рисков вручную для идентификации и отключения затронутых пользователей или настройки автоматизации с помощью пользовательских рабочих процессов с Microsoft Graph. Дополнительные сведения об изучении и устранении рисков пользователей см. в следующем разделе:

Чтобы включить Сообщить о подозрительной активности в разделе Настройки политики методов проверки подлинности:

  1. Войдите в Центр администрирования Microsoft Entra в роли по крайней мере Администратора политики проверки подлинности.
  2. Перейдите к Защита>Методы проверки подлинности>Параметры.
  3. Установите параметр Сообщать о подозрительной активности на Включено. Эта функция остается отключенной, если вы выберете управление корпорацией Майкрософт. Дополнительные сведения об управляемых значениях Майкрософт см. в разделе "Защита методов проверки подлинности" в идентификаторе Microsoft Entra. Снимок экрана, показывающий, как включить функцию «Сообщать о подозрительной активности».
  4. Выберите всех пользователей или определенную группу.
  5. Если вы также загружаете пользовательские приветствия для арендатора, выберите код отчетности. Код отчетности — это номер, который пользователи ввели в свой телефон, чтобы сообщить о подозрительных действиях. Код отчетов применим только в том случае, если пользовательские приветствия также загружаются администратором политики аутентификации. В противном случае код по умолчанию равен 0, независимо от любого значения, указанного в политике.
  6. Нажмите кнопку Сохранить.

Примечание.

Если включить Отчёт о подозрительной активности и указать настраиваемое значение голосовой отчетности, пока у клиента все еще включено Оповещение о мошенничестве параллельно с настраиваемым номером голосовой отчетности, будет использовано значение Отчёта о подозрительной активности вместо Оповещения о мошенничестве.

Устранение рисков для клиентов с лицензией Microsoft Entra ID P1

Когда пользователь сообщает запрос MFA как подозрительный, событие отображается в журналах входа (как вход, отклоненный пользователем), в журналах аудита и в отчете об обнаружении рисков.

Отчет Центр администрирования Сведения
Отчет об обнаружении рисков Защита>Защита личности>Обнаружение рисков Тип обнаружения: пользователь сообщил о подозрительном действии
Уровень риска: высокий
Сообщил конечный пользователь
Журналы входа Удостоверения>Мониторинг и состояние>Журналы входа>Сведения об аутентификации Подробные сведения о результатах будут отображаться как MFA отклонено, введен код мошенничества
Журналы аудита Идентификация, мониторинг и состояние>>Журналы аудита Отчет о мошенничестве появится в разделе типа активности Сообщено о мошенничестве.

Примечание.

Пользователь не считается подвергающимся высокому риску, если он проходит аутентификацию без пароля.

Вы также можете запросить обнаружение рисков и пользователей, помеченных как рискованные с помощью Microsoft Graph.

интерфейс программирования приложений (API) Подробные сведения
Тип ресурса riskDetection riskEventType: userReportedSuspiciousActivity
Список рискованныхUsers riskLevel = высокий

Для исправления вручную администраторы или вспомогательные службы могут попросить пользователей сбросить пароль с помощью самостоятельного сброса пароля (SSPR) или сделать это от их имени. Для автоматического исправления используйте API Microsoft Graph или PowerShell для создания скрипта, который изменяет пароль пользователя, заставляет SSPR, отменяет сеансы входа или временно отключает учетную запись пользователя.

Устранение рисков для клиентов с лицензией Microsoft Entra ID P2

Клиенты с лицензией Microsoft Entra ID P2 могут использовать политики условного доступа на основе рисков для автоматического устранения риска пользователей в дополнение к параметрам лицензии Microsoft Entra ID P2.

Настройте политику, которая оценивает риск пользователя в разделе Условия>Риск пользователя. Найдите пользователей, где риск = высокий, чтобы заблокировать вход или требовать от них сброс пароля.

Скриншот, показывающий, как включить политику условного доступа на основе рисков.

Для получения дополнительной информации смотрите политику условного доступа, основанную на риске при входе.

Сообщите о подозрительных действиях и предупреждении о мошенничестве

Сообщите о подозрительной активности, и устаревшая реализация Оповещения о мошенничестве могут работать параллельно. Вы можете сохранить функциональность Оповещения о мошенничестве для всего арендатора, пока вы начнете использовать Сообщать о подозрительной активности с целевой тестовой группой.

Если Оповещение о мошенничестве включено с помощью автоматической блокировки и отчет о подозрительной активности включен, пользователь будет добавлен в список блокировки и установлен как высокорисковый и попадает в область действия любых других настроенных политик. Эти пользователи должны быть удалены из списка блокировок и устранены их риски, чтобы разрешить им войти в систему с помощью MFA.

Предупреждение о мошенничестве

Сообщение о подозрительных действиях заменяет предупреждение о мошенничестве из-за интеграции с Microsoft Entra ID Protection для устранения на основе оценки рисков, улучшения возможностей отчетности и применения принципа наименьших привилегий в администрировании. Функция оповещения о мошенничестве будет удалена 1 марта 2025 г.

Функция оповещения о мошенничестве позволяет пользователям сообщать о мошеннических попытках доступа к своим ресурсам. При получении неизвестного и подозрительного запроса MFA пользователи могут сообщить о мошеннической попытке доступа с помощью приложения Microsoft Authenticator или по телефону. Доступны следующие параметры конфигурации оповещений о мошенничестве:

  • Автоматически блокировать пользователей, сообщающих о мошенничестве. Если пользователь сообщает о мошенничестве, попытка многофакторной проверки подлинности Microsoft Entra для учетной записи пользователя блокируется в течение 90 дней или до тех пор, пока администратор не разблокирует учетную запись. Администратор может просматривать входы в отчете о входах и предпринимать соответствующие действия для предотвращения мошенничества в будущем. Затем администратор может разблокировать учетную запись пользователя.

  • Код для уведомления о мошенничестве во время первоначального приветствия. Когда пользователи получают телефонный звонок для выполнения многофакторной проверки подлинности, они обычно нажимают # , чтобы подтвердить вход. Чтобы сообщить о мошенничестве, сперва нужно ввести код, а затем нажать кнопку #. По умолчанию используется код 0, но вы можете его изменить. Если включена автоматическая блокировка, после того как пользователь нажимает 0#, чтобы сообщить о мошенничестве, необходимо нажать 1, чтобы подтвердить блокировку учетной записи.

    Примечание.

    Голосовые приветствия корпорации Майкрософт по умолчанию просят пользователей нажать 0# для отправки предупреждения о мошенничестве. Если используется любой другой код, кроме 0, необходимо записать и отправить собственное пользовательское голосовое приветствие с соответствующими инструкциями для пользователей.

Чтобы включить и настроить оповещения о мошенничестве, выполните следующие действия.

  1. Войдите в Центр администрирования Microsoft Entra как минимум в качестве Администратора политики аутентификации.
  2. Перейдите к Защита>Многофакторная аутентификация>Оповещение о мошенничестве.
  3. Для параметра Разрешить пользователям отправлять предупреждения о мошенничестве установите значение Вкл.
  4. При необходимости настройте параметр Автоматически блокировать пользователей, сообщающих о мошенничестве или Код для уведомления о мошенничестве во время первоначального приветствия.
  5. Выберите Сохранить.

Блокировка и разблокировка пользователей

Отчет о подозрительных действиях заменяет оповещение о мошенничестве благодаря интеграции с Защитой идентификации Microsoft Entra ID, улучшению управления рисками, расширенным возможностям составления отчетов и администрированию с минимальными привилегиями. Функция блокировки и разблокировки пользователей будет удалена 1 марта 2025 г.

Если устройство пользователя потеряно или украдено, можно заблокировать попытки Microsoft Entra MFA для связанной учетной записи. Любые попытки Microsoft Entra MFA для заблокированных пользователей автоматически отклоняются. Пользователю не требуется проходить проверку с использованием MFA в течение 90 дней с момента его блокировки.

Блокировка пользователя

Чтобы заблокировать пользователя, выполните описанные ниже действия.

  1. Перейдите к Защита>Многофакторная аутентификация>Блокировка и разблокировка пользователей.
  2. Выберите Добавить, чтобы заблокировать пользователя.
  3. Введите имя блокируемого пользователя в формате username@domain.com, а затем введите комментарий в поле Причина.
  4. Нажмите кнопку ОК, чтобы заблокировать пользователя.

Разблокирование пользователя

Чтобы разблокировать пользователя, выполните следующие действия.

  1. Перейдите в раздел Защита>Многофакторная аутентификация>Блокировка/разблокировка пользователей.
  2. В столбце Действие рядом с пользователем выберите Разблокировать.
  3. Введите комментарий в поле Причина разблокировки.
  4. Нажмите кнопку ОК, чтобы разблокировать пользователя.

Уведомления

Сообщение о подозрительных действиях заменяет уведомления благодаря интеграции с Microsoft Entra ID Protection для устранения на основе уровня риска, улучшения возможностей создания отчетов и обеспечения минимально необходимых привилегий в управлении. Функция уведомлений будет удалена 1 марта 2025 г.

Вы можете настроить идентификатор Microsoft Entra для отправки Уведомления по электронной почте, когда пользователи сообщают о предупреждениях о мошенничестве. Эти уведомления обычно отправляются администраторам удостоверений, так как учетные данные пользователя, скорее всего, будут скомпрометированы. В следующем примере показано, как выглядит уведомление по электронной почте для оповещения о мошенничестве.

Снимок экрана: почтовое уведомление с оповещением о мошенничестве.

Чтобы настроить уведомления для оповещения о мошенничестве:

  1. Перейдите к защите>многофакторной проверке подлинности>уведомлениям.
  2. Введите адрес электронной почты для отправки уведомления.
  3. Чтобы удалить существующий адрес электронной почты, выберите параметр рядом с соответствующим адресом электронной почты, а затем выберите Удалить.
  4. Выберите Сохранить.

Токены OATH

Идентификатор Microsoft Entra поддерживает использование токенов OATH TOTP SHA-1, которые обновляют коды каждые 30 или 60 секунд. Вы можете приобрести эти маркеры у любого поставщика по выбору.

Аппаратные токены OATH TOTP, как правило, поставляются с предварительно запрограммированным в токене секретным ключом или начальным значением. Эти ключи необходимо ввести в идентификатор Microsoft Entra, как описано в следующих шагах. Максимальная длина секретного ключа — 128 символов, что может быть несовместимо с некоторыми маркерами. Секретный ключ может содержать только буквы a–z или A–Z и цифры 1–7. Он должен быть закодирован в Base32.

Программируемые аппаратные токены OATH TOTP, которые можно пересемянить, также могут быть настроены с Microsoft Entra ID в процессе установки программных токенов.

Аппаратные маркеры OATH поддерживаются как часть общедоступной предварительной версии. См. подробные сведения о дополнительных условиях использования предварительных выпусков Microsoft Azure.

Снимок экрана: раздел токенов OATH.

После получения токенов их необходимо передать в формате CSV-файла. Укажите UPN, серийный номер, секретный ключ, интервал времени, производителя и модель, как показано в этом примере:

upn,serial number,secret key,time interval,manufacturer,model
Helga@contoso.com,1234567,1234567abcdef1234567abcdef,60,Contoso,HardwareKey

Примечание.

Обязательно включите строку заголовка в CSV-файл.

  1. Войдите в Центр администрирования Microsoft Entra в качестве глобального администратора.
  2. Перейдите к Защите>Многофакторной аутентификации>OATH-токенам и отправьте CSV-файл.

В зависимости от размера CSV-файла этот процесс может занять несколько минут. Выберите Обновить, чтобы узнать текущее состояние. Если в файле есть ошибки, можно скачать их список в формате CSV-файла. Имена полей в скачанном CSV-файле отличаются от тех, что указаны в загруженной версии.

После устранения ошибок администратор может активировать каждый ключ, выбрав Активировать для токена и введя одноразовый пароль, отображаемый на токене.

Пользователи могут настроить сочетание до 5 аппаратных OATH-токенов или приложений проверки подлинности, таких как приложение Microsoft Authenticator, для использования в любое время.

Внимание

Убедитесь, что каждый токен назначен только одному пользователю. В будущем поддержка назначения одного маркера нескольким пользователям остановится, чтобы предотвратить риск безопасности.

Параметры телефонного звонка

Если пользователи получают телефонные звонки для запросов MFA, вы можете настроить их взаимодействие, например идентификатор вызывающей стороны или приветствие, которое они услышат.

В США, если вы не настроили идентификатор абонента MFA, голосовые звонки от Корпорации Майкрософт поступают из следующих номеров. Пользователи с фильтрами нежелательной почты должны исключить эти числа.

Номер по умолчанию: +1 (855) 330-8653

В следующей таблице перечислены дополнительные числа для разных стран или регионов.

Страна или регион Номер(а)
Австрия +43 6703062076
Бангладеш +880 9604606026
Китай +44 1235619418, +44 1235619536, +44 1235619537, +44 1235619538, +44 1235619539, +44 1235619535, +44 7897087681, +44 7897087690, +44 7897087692, +66 977832930
Хорватия +385 15507766
Эквадор +593 964256042
Эстония +372 6712726
Франция +33 744081468
Гана +233 308250245
Греция +30 2119902739
Гватемала +502 23055056
Гонконг, САР +852 25716964
Индия +91 3371568300, +91 1205089400, +91 4471566601, +91 2271897557, +91 1203524400, +91 3335105700, +91 2235544120, +91 4435279600
Иордания +962 797639442
Кения +254 709605276
Нидерланды +31 202490048
Нигерия +234 7080627886
Пакистан +92 4232618686, +44 7897087681, +44 7897087690, +44 7897087692, +66 977832930
Польша +48 699740036
Саудовская Аравия +966 115122726
ЮАР +27 872405062
Испания +34 913305144
Шри-Ланка +94 117750440
Швеция +46 701924176
Тайвань +886 277515260, +886 255686508
Турция +90 8505404893
Украина +380 443332393
ОАЭ +971 44015046
Вьетнам +84 2039990161

Примечание.

Когда вызовы многофакторной проверки подлинности Microsoft Entra размещаются через общедоступную телефонную сеть, иногда звонки направляются через оператор, который не поддерживает идентификатор абонента. Из-за этого идентификатор вызывающего объекта не гарантируется, хотя многофакторная проверка подлинности Microsoft Entra всегда отправляет его. Это относится как к телефонным звонкам, так и к текстовым сообщениям, предоставляемым многофакторной проверкой подлинности Microsoft Entra. Если вам нужно проверить, является ли текстовое сообщение из многофакторной проверки подлинности Microsoft Entra, ознакомьтесь с краткими кодами, используемыми для отправки сообщений?.

Чтобы настроить собственный номер звонящего, выполните следующие действия.

  1. Перейдите к Защите>Многофакторной аутентификации>Настройкам телефонных вызовов.
  2. Задайте для параметра Идентификатор вызывающего абонента MFA номер, который нужно отображать на телефонах пользователей. Допустимы только номера телефонов США.
  3. Выберите Сохранить.

Примечание.

Когда вызовы многофакторной проверки подлинности Microsoft Entra размещаются через общедоступную телефонную сеть, иногда звонки направляются через оператор, который не поддерживает идентификатор абонента. Из-за этого номер вызывающего абонента не гарантируется, хотя многофакторная аутентификация Microsoft Entra всегда передает его. Это относится как к телефонным звонкам, так и к текстовым сообщениям, предоставляемым многофакторной проверкой подлинности Microsoft Entra. Если вам нужно проверить, является ли текстовое сообщение из многофакторной проверки подлинности Microsoft Entra, ознакомьтесь с краткими кодами, используемыми для отправки сообщений?.

Пользовательские голосовые сообщения

Вы можете использовать собственные записи или приветствия для многофакторной проверки подлинности Microsoft Entra. Их можно использовать вместе с записями корпорации Майкрософт по умолчанию или вместо них.

Прежде чем начать, ознакомьтесь со следующими ограничениями:

  • Поддерживаются только форматы файлов WAV и MP3.
  • Максимальный размер файла составляет 1 МБ.
  • Сообщения о проверке подлинности должны длиться меньше, чем 20 секунд. Сообщения, которые длиннее 20 секунд, могут вызвать сбой проверки. Если пользователь не успеет ответить до окончания сообщения, проверка прервется.

Особенности языка пользовательского сообщения

При воспроизведении пользовательского голосового сообщения для пользователя язык сообщения зависит от следующих факторов:

  • Язык пользователя.
    • Язык, обнаруживаемый в браузере пользователя.
    • Другие сценарии аутентификации могут выполняться по-разному.
  • Язык любых доступных пользовательских сообщений.
    • Этот язык выбирает администратор при добавлении пользовательского сообщения.

Например, если имеется только одно настраиваемое сообщение, и оно на немецком языке:

  • Пользователь, который выполняет аутентификацию на немецком языке, услышит немецкое пользовательское сообщение.
  • Пользователь, который выполняет аутентификацию на английском языке, услышит стандартное английское сообщение.

Значения по умолчанию для пользовательских голосовых сообщений

Приведенные ниже примеры сценариев можно использовать для создания собственных пользовательских сообщений. Если не настроены пользовательские сообщения, то по умолчанию используются приведенные ниже фразы.

Название сообщения Скрипт
Проверка подлинности пройдена успешно Вход выполнен успешно. До свидания.
Запрос на расширение Благодарим за использование системы проверки входа Microsoft. Для продолжения нажмите клавишу с решеткой.
Подтверждение мошенничества Отправлено предупреждение о мошенничестве. Чтобы разблокировать свою учетную запись, обратитесь в службу поддержки ИТ-отдела вашей компании.
Приветствие с сообщением о мошенничестве (стандарт) Благодарим за использование системы проверки входа Microsoft. Нажмите решетку, чтобы завершить проверку. Если вы не инициировали эту проверку, возможно, кто-то пытается получить доступ к вашей учетной записи. Нажмите ноль решетка, чтобы отправить оповещение о мошенничестве. Это позволит уведомить ИТ-специалистов вашей компании и заблокирует дальнейшие попытки проверки.
Получено сообщение о мошенничестве Отправлено предупреждение о мошенничестве. Чтобы разблокировать свою учетную запись, обратитесь в службу поддержки ИТ-отдела вашей компании.
Активация Благодарим за использование системы проверки входа Microsoft. Нажмите решетку, чтобы завершить проверку.
Проверка подлинности не пройдена — повторите В проверке отказано.
Повтор (стандарт) Благодарим за использование системы проверки входа Microsoft. Нажмите решетку, чтобы завершить проверку.
Приветствие (стандарт) Благодарим за использование системы проверки входа Microsoft. Нажмите решетку, чтобы завершить проверку.
Приветствие (ПИН-код) Благодарим за использование системы проверки входа Microsoft. Пожалуйста, введите ПИН-код, а затем нажмите решетку (#), чтобы завершить проверку.
Мошенническое приветствие (ПИН-код) Благодарим за использование системы проверки входа Microsoft. Пожалуйста, введите ваш ПИН-код, затем нажмите клавишу решетки, чтобы завершить проверку. Если вы не инициировали эту проверку, возможно, кто-то пытается получить доступ к вашей учетной записи. Нажмите ноль и решетку, чтобы отправить оповещение о мошенничестве. Это позволит уведомить ИТ-специалистов вашей компании и заблокирует дальнейшие попытки проверки.
Повтор (ПИН-код) Благодарим за использование системы проверки входа Microsoft. Введите ПИН-код и нажмите решетку, чтобы завершить проверку.
Подсказка о расширении после цифр Если вы уже на этом добавочном номере, нажмите клавишу решетки, чтобы продолжить.
Проверка подлинности не пройдена Не удается выполнить вход в систему. Повторите попытку позже. Повторите попытку позже".
Приветствие активации (стандартное) Благодарим за использование системы проверки входа Microsoft. Нажмите решетку, чтобы завершить проверку.
Повтор активации (стандартный) Благодарим за использование системы проверки входа Microsoft. Нажмите решетку, чтобы завершить проверку.
Приветствие активации (ПИН-код) Благодарим за использование системы проверки входа Microsoft. Введите ПИН-код, затем нажмите клавишу решетки, чтобы завершить проверку.
Запрос на ввод добавочного номера перед цифрами Благодарим за использование системы проверки входа Microsoft. Переведите этот вызов на <добавочный номер>.

Настройка пользовательского сообщения

Чтобы использовать пользовательские сообщения, выполните следующие действия.

  1. Перейдите к Защита>Многофакторной аутентификации>Настройки телефонного звонка.
  2. Щелкните Добавить приветствие.
  3. Выберите тип приветствия, например Приветствие (стандарт) или Проверка подлинности пройдена успешно.
  4. Выберите язык См. предыдущий раздел о поведении языка пользовательских сообщений.
  5. Пролистайте и выберите файл формата MP3 или WAV для загрузки.
  6. Нажмите кнопку Применить, а затем — Сохранить.

Параметры службы MFA

Параметры паролей приложений, доверенных IP-адресов, параметров проверки подлинности и запоминания многофакторной проверки подлинности на доверенных устройствах доступны в параметрах службы. Это устаревший портал.

Вы можете получить доступ к параметрам службы из Центра администрирования Microsoft Entra, перейдя в раздел Защита>, Многофакторная аутентификация>, Начало работы>, Настроить>, Дополнительные параметры MFA на базе облака. Откроется окно или вкладка с дополнительными параметрами службы.

Надежные IP-адреса

Условия расположения — это рекомендуемый способ настройки MFA с условным доступом из-за поддержки IPv6 и других улучшений. Дополнительные сведения об условиях расположения см. в разделе "Использование условия расположения" в политике условного доступа. Инструкции по определению расположений и созданию политики условного доступа см. в статье "Условный доступ: блокировка доступа по расположению".

Функция доверенных IP-адресов многофакторной аутентификации Microsoft Entra также обходит запросы MFA для пользователей, которые входят в систему из определенного диапазона IP-адресов. Вы можете задать диапазоны надежных IP-адресов для локальных сред. Когда пользователи находятся в одном из этих местоположений, запрос многофакторной аутентификации Microsoft Entra не появляется. Чтобы использовать функцию доверенных IP-адресов, необходим выпуск Microsoft Entra ID P1.

Примечание.

Надежные IP-адреса могут содержать диапазоны частных адресов только при использовании сервера MFA. Для облачной многофакторной проверки подлинности Microsoft Entra можно использовать только диапазоны общедоступных IP-адресов.

Диапазоны IPv6 поддержаны в именованных местах.

Если ваша организация использует расширение NPS для многофакторной проверки подлинности локальных приложений, то IP-адресом источника всегда будет адрес NPS-сервера, через который выполняется попытка проверки подлинности.

Тип клиента Microsoft Entra Параметры функции доверенных IP-адресов
Управляется Определенный диапазон IP-адресов: администраторы указывают диапазон IP-адресов, которые могут обойти многофакторную проверку подлинности для пользователей, которые входят из интрасети компании. Можно настроить не более 50 диапазонов надежных IP-адресов.
Федерация Все федеративные пользователи: все федеративные пользователи, которые входят в систему внутри организации, могут обойти многофакторную проверку подлинности. Пользователи обходят проверки, предоставляя утверждение, выданное службами федерации Active Directory (AD FS).
Определенный диапазон IP-адресов: администраторы указывают диапазон IP-адресов, которые могут обойти многофакторную проверку подлинности для пользователей, которые вошли из интрасети компании.

Обход с использованием доверенных IP-адресов работает только внутри интрасети компании. Если выбрать параметр "Все федеративные пользователи" и пользователь входит за пределы интрасети компании, пользователь должен пройти проверку подлинности с помощью многофакторной проверки подлинности. Процесс остается таким же, даже если пользователь предоставляет утверждение AD FS.

Примечание.

Если политики MFA и условного доступа для каждого пользователя настроены в клиенте, необходимо добавить доверенных IP-адресов в политику условного доступа и обновить параметры службы MFA.

Взаимодействие с пользователем в корпоративной сети

Если функция доверенных IP-адресов отключена, для потоков браузера требуется многофакторная проверка подлинности. Пароли приложений требуются для более старых многофункциональных клиентских приложений.

При использовании доверенных IP-адресов многофакторная проверка подлинности не требуется для потоков браузера. Пароли приложений не требуются для более старых полнофункциональных клиентских приложений при условии, что пользователь не создал пароль приложения. После начала использования пароля приложения он становится обязательным.

Взаимодействие с пользователем вне корпоративной сети

Независимо от того, определены ли доверенные IP-адреса, для потоков браузера требуется многофакторная проверка подлинности. Пароли приложений требуются для более старых многофункциональных клиентских приложений.

Включение именованных местоположений с помощью условного доступа

Можно использовать правила условного доступа для определения именованных расположений, выполнив описанные ниже действия.

  1. Войдите в Центр администрирования Microsoft Entra как минимум в роли администратора условного доступа.
  2. Перейдите к Защита>Условный доступ>Именованные расположения.
  3. Выберите Новое расположение.
  4. Введите имя расположения.
  5. Выберите Отметить как надежное расположение.
  6. Введите диапазон IP-адресов в нотации CIDR для своей среды. Например, 40.77.182.32/27.
  7. Нажмите кнопку создания.

Включение функции надежных IP-адресов с помощью условного доступа

Чтобы включить надежные IP-адреса с помощью политик условного доступа, выполните приведенные ниже действия.

  1. Войдите в центр администрирования Microsoft Entra в качестве не менее чем администратора условного доступа.

  2. Перейдите в Защита>Условный доступ>именованные расположения.

  3. Выберите Настроить доверенные IP-адреса для многофакторной проверки подлинности.

  4. На странице Параметры службы в разделе Надежные IP-адреса выберите один из следующих вариантов:

    • Для запросов от федеративных пользователей, исходящих из моей интрасети. Чтобы выбрать этот вариант, установите флажок. Все федеративные пользователи, которые входят в систему из корпоративной сети, обходят многофакторную проверку подлинности с помощью утверждения, выданного AD FS. Убедитесь, что в службах AD FS установлено правило добавления утверждения интрасети для соответствующего трафика. Если правило не существует, создайте такое правило в AD FS:

      c:[Type== "https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork"] => issue(claim = c);

      Примечание.

      Опция Пропуск многофакторной аутентификации для запросов от федеративных пользователей во внутренней сети будет влиять на оценку условного доступа для местоположений. Любой запрос с утверждением insidecorporatenetwork будет рассматриваться как поступающий из надежного расположения, если этот параметр выбран.

    • Для запросов от определенного диапазона общедоступных IP-адресов. Чтобы выбрать этот вариант, введите IP-адреса в соответствующем текстовом поле в нотации CIDR.

      • Для IP-адресов, которые находятся в диапазоне от xxx.xxx.xxx.1 до xxx.xxx.xxx.254, используйте такую нотацию, как xxx.xxx.xxx.0/24.
      • Для одного IP-адреса используйте такую нотацию: xxx.xxx.xxx.xxx/32.
      • Можно ввести до 50 диапазонов IP-адресов. Пользователи, которые входят из этих IP-адресов, обходят многофакторную проверку подлинности.

  5. Выберите Сохранить.

Включение функции надежных IP-адресов с помощью параметров службы

Если вы не хотите использовать политики условного доступа для включения доверенных IP-адресов, можно настроить параметры службы для многофакторной проверки подлинности Microsoft Entra, выполнив следующие действия.

  1. Войдите в Центр администрирования Microsoft Entra в качестве как минимум Администратора политик проверки подлинности.

  2. Перейдите к Защита>Многофакторной аутентификации>Дополнительные настройки многофакторной аутентификации на облачной основе.

  3. На странице параметров службы в разделе доверенных IP-адресов выберите один или оба из следующих параметров:

    • For requests from federated users on my intranet (Для запросов от федеративных пользователей, исходящих из моей интрасети). Чтобы выбрать этот вариант, установите флажок. Все федеративные пользователи, которые входят в систему из корпоративной сети, обходят многофакторную проверку подлинности с помощью утверждения, выданного AD FS. Убедитесь, что в службах AD FS установлено правило для добавления претензии интрасети к соответствующему трафику. Если правило не существует, создайте такое правило в AD FS:

      c:[Type== "https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork"] => issue(claim = c);

    • For requests from a specified range of IP address subnets (Для запросов от определенного диапазона IP-адресов подсетей). Чтобы выбрать этот вариант, введите IP-адреса в соответствующем текстовом поле в нотации CIDR.

      • Для IP-адресов, которые находятся в диапазоне от xxx.xxx.xxx.1 до xxx.xxx.xxx.254, используйте такую нотацию, как xxx.xxx.xxx.0/24.
      • Для одного IP-адреса используйте такую нотацию: xxx.xxx.xxx.xxx/32.
      • Можно ввести до 50 диапазонов IP-адресов. Пользователи, которые входят из этих IP-адресов, обходят многофакторную проверку подлинности.

  4. Выберите Сохранить.

Методы проверки

Вы можете выбрать методы проверки, которые будут доступны пользователям на портале параметров службы. Когда пользователи регистрируют свои учетные записи для многофакторной проверки подлинности Microsoft Entra, они выбирают предпочтительный метод проверки из параметров, которые вы включили. Руководство по процессу регистрации пользователей предоставляется в разделе "Настройка учетной записи для многофакторной проверки подлинности".

Внимание

В марте 2023 года мы объявили об отмене управления методами проверки подлинности в устаревших политиках многофакторной проверки подлинности и самостоятельном сбросе пароля (SSPR). Начиная с 30 сентября 2025 г. методы проверки подлинности нельзя управлять в этих устаревших политиках MFA и SSPR. Мы рекомендуем клиентам использовать ручное управление миграцией для перехода на политику методов аутентификации до даты прекращения поддержки. Сведения об управлении миграцией см. в статье "Как перенести параметры политики MFA и SSPR" в политику методов проверки подлинности для идентификатора Microsoft Entra ID.

Доступны следующие методы проверки.

Метод Описание
Звонок на телефон Осуществляется автоматический голосовой вызов. Для проверки подлинности пользователь отвечает на вызов и нажимает кнопку # на телефоне. Этот номер телефона не синхронизируется в локальной службе Active Directory.
Текстовое сообщение на телефон Отправляется текстовое сообщение, содержащее код проверки. Пользователю предлагается ввести код проверки в интерфейсе входа. Этот процесс предусматривает отправку одностороннего текстового сообщения. При использовании двустороннего текстового сообщения пользователь должен отправить ответ с определенным кодом. Двустороннее SMS устарело и больше не поддерживается после 14 ноября 2018 года. Администраторы должны активировать другой способ для пользователей, которые ранее использовали двусторонний обмен СМС.
Уведомление в мобильном приложении Отправляется push-уведомление на телефон или зарегистрированное устройство пользователя. Пользователь просматривает уведомление и выбирает Проверить, чтобы выполнить проверку. Приложение Microsoft Authenticator доступно для Windows Phone, Android и iOS.
Код проверки из мобильного приложения или токен оборудования Приложение Microsoft Authenticator создает код проверки OATH каждые 30 секунд. Пользователь вводит этот код проверки в интерфейсе входа. Приложение Microsoft Authenticator доступно для Windows Phone, Android и iOS.

Для получения дополнительной информации см. Какие методы аутентификации и верификации доступны в Microsoft Entra ID?.

Включение и отключение способов проверки подлинности

Чтобы включить или отключить методы проверки, выполните следующие действия.

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратором политики проверки подлинности.
  2. Перейдите к Идентификация>Пользователи>Все пользователи.
  3. Выберите MFA для каждого пользователя.
  4. В разделе Многофакторная проверка подлинности в верхней части страницы выберите параметры службы.
  5. На странице параметров службы в разделе "Параметры проверки" установите или снимите соответствующие флажки.
  6. Выберите Сохранить.

Помните многофакторную проверку подлинности

Функция многофакторной проверки подлинности позволяет пользователям обойти последующие проверки в течение указанного количества дней после успешного входа на устройство с помощью MFA. Чтобы повысить удобство использования и свести к минимуму количество операций многофакторной проверки подлинности на определенном устройстве, выберите длительность 90 дней или меньше.

Внимание

Если учетная запись или устройство скомпрометированы, сохранение данных MFA для доверенных устройств может повлиять на безопасность. В случае потери доверенного устройства или компрометации учетной записи организации следует отозвать сеансы MFA.

Действие отзыва отменяет состояние доверия со всех устройств, и пользователю необходимо снова выполнить многофакторную аутентификацию. Вы также можете указать пользователям восстановить исходное состояние MFA на своих устройствах, как указано в разделе "Управление параметрами для многофакторной проверки подлинности".

Как работает функция

Функция многофакторной проверки подлинности задает постоянный файл cookie в браузере, когда пользователь выбирает параметр "Не запрашивать еще раз X дней" при входе. До истечения срока действия файла cookie пользователю не будет повторно предлагаться выполнить MFA в этом браузере. Если пользователь на том же устройстве откроет другой браузер или очистит файлы cookie, запрос на проверку отобразится снова.

Опция Не спрашивать снова в течение X дней не отображается в приложениях, отличных от браузеров, независимо от того, поддерживает ли приложение современную аутентификацию. Эти приложения используют токены обновления, которые предоставляют новые маркеры доступа каждый час. При проверке маркера обновления Microsoft Entra ID проверяет, была ли последняя многофакторная аутентификация в течение указанного количества дней.

Функция сокращает количество проверок подлинности в веб-приложениях, которые обычно запрашиваются каждый раз. Если настроена меньшая длительность, функция может увеличить число проверок подлинности для современных клиентов проверки подлинности, которые обычно запрашивают проверку каждые 180 дней. Кроме того, она увеличивает количество операций аутентификации при использовании с политиками условного доступа.

Внимание

Функция запомнить многофакторную аутентификацию не совместима с функцией сохранять меня в системе в AD FS, когда пользователи выполняют многофакторную аутентификацию для AD FS через сервер MFA или стороннее решение многофакторной аутентификации.

Если пользователи выбирают оставаться в системе в AD FS и помечают свое устройство как доверенное для MFA, пользователь не проверяется автоматически после истечения количества дней, отведенных на запоминание многофакторной аутентификации. Microsoft Entra ID запрашивает новую многофакторную аутентификацию, но AD FS возвращает токен с исходным MFA подтверждением и датой, вместо повторного выполнения многофакторной аутентификации. Эта реакция задает цикл проверки между идентификатором Microsoft Entra и AD FS.

Функция запоминания многофакторной аутентификации несовместима с пользователями B2B и не будет отображаться для пользователей B2B при входе в приглашенные клиента.

Функция запоминания многофакторной аутентификации не совместима с управлением условным доступом по частоте входа. Подробнее см. в статье Настройка управления сеансами проверки подлинности с помощью условного доступа.

Включение запоминания многофакторной проверки подлинности

Чтобы включить и настроить для пользователей возможность сохранять состояние MFA и избегать повторных запросов, выполните следующие шаги:

  1. Войдите в центр администрирования Microsoft Entra как минимум как администратор политики аутентификации.
  2. Перейдите к Идентификация>Пользователи>Все пользователи.
  3. Выберите MFA для каждого пользователя.
  4. В разделе Многофакторная проверка подлинности в верхней части страницы выберите параметры службы.
  5. На странице параметров службы в разделе "Многофакторная проверка подлинности" выберите "Разрешить пользователям запоминать многофакторную проверку подлинности на устройствах, которым они доверяют".
  6. Задайте количество дней, чтобы разрешить доверенным устройствам обходить многофакторную проверку подлинности. Для оптимального взаимодействия с пользователями увеличьте продолжительность до 90 или более дней.
  7. Выберите Сохранить.

Пометка устройства как доверенного

После включения функции многофакторной проверки подлинности пользователи могут пометить устройство как доверенное при входе, нажав кнопку "Не спрашивать снова".

Следующие шаги

Подробнее см. в разделе Какие методы аутентификации и проверки доступны в Microsoft Entra ID?