Как это работает: многофакторная проверка подлинности Microsoft Entra

Многофакторная проверка подлинности — это процесс, в котором пользователи запрашиваются во время входа в систему для дополнительной формы идентификации, например код на своем мобильном телефоне или сканирование отпечатков пальцев.

Если для проверки подлинности пользователя используется только пароль, система подвергается риску атаки. Если пароль ненадежен или уже был использован в других местах, его может использовать злоумышленник для получения неавторизованного доступа. Требование второго метода проверки подлинности повышает безопасность, так как злоумышленнику будет нелегко получить или скопировать дополнительный фактор проверки.

Conceptual image of the various forms of multifactor authentication.

Многофакторная проверка подлинности Microsoft Entra работает, требуя двух или более следующих методов проверки подлинности:

  • что-то, известное только вам (обычно это пароль);
  • что-то, что у вас есть, например телефон, аппаратный ключ или другое доверенное устройство, которое нельзя легко скопировать;
  • ваша персональная характеристика, например, отпечаток пальца или изображение лица.

Многофакторная проверка подлинности Microsoft Entra также может дополнительно защитить сброс пароля. Когда пользователи регистрируются для многофакторной проверки подлинности Microsoft Entra, они также могут зарегистрироваться для самостоятельного сброса пароля на одном шаге. Администраторы могут выбрать формы дополнительной проверки подлинности и настроить запросы для MFA в зависимости от принятых решений по настройке.

Вам не нужно изменять приложения и службы для использования многофакторной проверки подлинности Microsoft Entra. Запросы проверки являются частью входа Microsoft Entra, который автоматически запрашивает и обрабатывает вызов MFA при необходимости.

Примечание.

Язык запросов определяется параметрами языкового стандарта в браузере. Если вы используете персонализированные приветствия и среди них отсутствует вариант для языкового стандарта, настроенного в браузере, по умолчанию применяется английский язык. Сервер политики сети (NPS) всегда будет использовать английский язык, независимо от наличия персонализированных приветствий. Также английский язык используется по умолчанию, если не удается определить языковой стандарт браузера.

MFA sign-in screen.

Доступные методы проверки

Когда пользователи входят в приложение или службу и получают запрос MFA, они могут выбрать любой из зарегистрированных для себя методов дополнительной проверки. Пользователи могут перейти на страницу Мой профиль, чтобы изменить или добавить методы проверки.

С многофакторной проверкой подлинности Microsoft Entra можно использовать следующие дополнительные формы проверки подлинности:

  • Microsoft Authenticator
  • Authenticator Lite (в Outlook)
  • Windows Hello для бизнеса
  • Ключ безопасности FIDO2
  • Аппаратные маркеры OATH (предварительная версия)
  • Программный маркер OATH
  • SMS
  • Голосовой звонок

Включение и использование многофакторной проверки подлинности Microsoft Entra

Вы можете использовать значения безопасности по умолчанию в клиентах Microsoft Entra, чтобы быстро включить Microsoft Authenticator для всех пользователей. Вы можете включить многофакторную проверку подлинности Microsoft Entra для запроса пользователей и групп на дополнительную проверку во время входа.

Для более детального контроля можно использовать политики условного доступа, которые определяют требование MFA для определенных событий или приложений. Эти политики могут разрешать обычные входы, когда пользователь находится в корпоративной сети или использует зарегистрированное устройство, но требовать дополнительные факторы проверки при доступе того же пользователя из удаленного расположения или с личного устройства.

Diagram that shows how Conditional Access works to secure the sign-in process.

Следующие шаги

Дополнительные сведения о лицензировании см. в разделе "Функции и лицензии" для многофакторной проверки подлинности Microsoft Entra.

Дополнительные сведения о различных методах проверки подлинности и проверки см. в разделе "Методы проверки подлинности" в идентификаторе Microsoft Entra.

Чтобы просмотреть MFA в действии, включите многофакторную проверку подлинности Microsoft Entra для набора тестовых пользователей в следующем руководстве: