Принцип работы: Многофакторная проверка подлинности Azure AD

Многофакторная проверка подлинности представляет собой процесс, при котором пользователям для входа в систему предлагается применить дополнительный метод идентификации, например ввести код, отправленный на мобильный телефон, или сканировать отпечаток пальца.

Если для проверки подлинности пользователя используется только пароль, система подвергается риску атаки. Если пароль ненадежен или уже был использован в других местах, его может использовать злоумышленник для получения неавторизованного доступа. Требование второго метода проверки подлинности повышает безопасность, так как злоумышленнику будет нелегко получить или скопировать дополнительный фактор проверки.

Conceptual image of the various forms of multi-factor authentication.

Многофакторная идентификация Azure AD требует использовать два или несколько методов проверки подлинности:

  • что-то, известное только вам (обычно это пароль);
  • что-то, что у вас есть, например телефон, аппаратный ключ или другое доверенное устройство, которое нельзя легко скопировать;
  • ваша персональная характеристика, например, отпечаток пальца или изображение лица.

Многофакторная идентификация Azure AD также может усилить защиту от сброса пароля. Когда пользователи регистрируются в службе Многофакторной идентификации Azure AD, они также могут зарегистрироваться для самостоятельного сброса пароля, выполнив один шаг. Администраторы могут выбрать формы дополнительной проверки подлинности и настроить запросы для MFA в зависимости от принятых решений по настройке.

Вам не нужно вносить изменения в приложения или службы для использования многофакторной идентификации Azure AD. Запросы на проверку являются частью события входа в Azure AD, и служба сама отправляет запрос MFA и обрабатывает ответ по мере необходимости.

Примечание

Язык запросов определяется параметрами языкового стандарта в браузере. Если вы используете персонализированные приветствия и среди них отсутствует вариант для языкового стандарта, настроенного в браузере, по умолчанию применяется английский язык. Сервер политики сети (NPS) всегда будет использовать английский язык, независимо от наличия персонализированных приветствий. Также английский язык используется по умолчанию, если не удается определить языковой стандарт браузера.

MFA sign-in screen.

Доступные методы проверки

Когда пользователи входят в приложение или службу и получают запрос MFA, они могут выбрать любой из зарегистрированных для себя методов дополнительной проверки. Пользователи могут перейти на страницу Мой профиль, чтобы изменить или добавить методы проверки.

С Многофакторной проверкой подлинности Azure AD могут использоваться следующие дополнительные формы проверки.

  • Приложение Microsoft Authenticator
  • Windows Hello для бизнеса
  • Ключ безопасности FIDO2
  • Аппаратные маркеры OATH (предварительная версия)
  • Программный маркер OATH
  • SMS
  • Голосовой звонок

Включение и использование многофакторной проверки подлинности Azure AD

В арендаторах Azure AD можно применить параметры безопасности по умолчанию, чтобы быстро разрешить использование приложения Microsoft Authenticator для всех пользователей. Многофакторную проверку подлинности Azure AD можно применить, чтобы запрашивать у определенных пользователей или групп пользователей дополнительный метод проверки во время события входа.

Для более детального контроля можно использовать политики условного доступа, которые определяют требование MFA для определенных событий или приложений. Эти политики могут разрешать обычные входы, когда пользователь находится в корпоративной сети или использует зарегистрированное устройство, но требовать дополнительные факторы проверки при доступе того же пользователя из удаленного расположения или с личного устройства.

Diagram that shows how Conditional Access works to secure the sign-in process.

Дальнейшие действия

Дополнительные сведения о лицензировании см. в разделе Функции и лицензии для Многофакторной проверки подлинности Azure AD.

Дополнительные сведения о различных способах проверки подлинности и методах проверки см. в разделе Методы проверки подлинности в Azure Active Directory.

Чтобы увидеть MFA в действии, включите Многофакторную проверку подлинности Azure AD для набора тестовых пользователей в следующем учебнике: