Настройка параметров Многофакторной идентификации Azure AD

Чтобы настроить взаимодействие с пользователем для Многофакторной идентификации Azure AD, можно настроить такие параметры, как пороги блокировки учетной записи, оповещения о мошенничестве и уведомления. Некоторые параметры доступны непосредственно на портале Azure для Azure Active Directory (Azure AD), а некоторые — на отдельном портале Многофакторной идентификации Azure AD.

На портале Azure доступны следующие параметры Многофакторной идентификации Azure AD.

Компонент Описание
Блокировка учетной записи Временная блокировка учетных записей для использования Многофакторной идентификации Azure AD происходит при слишком большом количестве последовательных неудачных попыток входа. Эта функция применяется только для пользователей, которые входят в систему с помощью ПИН-кода. (Сервер MFA)
Блокировка и разблокировка пользователей Блокирование определенных пользователей, чтобы они не получали запросы Многофакторной идентификации Azure AD. Любые попытки выполнить аутентификацию заблокированных пользователей отклоняются автоматически. Блокировка пользователей действует в течение 90 дней. Кроме того, они могут быть разблокированы вручную.
Предупреждение о мошенничестве Настройка параметров, которые позволяют пользователям сообщать о мошеннических запросах на проверку.
Уведомления Включите уведомления о событиях с сервера MFA.
OATH-токены Используется в облачных средах Azure AD MFA для управления маркерами OATH для пользователей.
Параметры телефонного звонка Настройте параметры, относящиеся к телефонным звонками и приветствиям в облачных и локальных средах.
Поставщики Здесь отображаются все существующие поставщики проверки подлинности, которых вы ранее связали с этой учетной записью. По состоянию на 1 сентября 2018 г новые поставщики проверки подлинности создавать нельзя.

Портал Azure. Настройка параметров Многофакторной идентификации AAD

Блокировка учетной записи

Чтобы предотвратить повторные попытки прохождения MFA при атаке, с помощью параметров блокировки учетных записей можно указать количество неудачных попыток, по истечении которых учетная запись блокируется на определенный период времени. Параметры блокировки учетных записей применяются только при вводе PIN-кода для запроса MFA.

Доступны следующие параметры.

  • "Число отказов в доступе от MFA, после которого учетная запись блокируется".
  • "Время до сбора счетчика блокировки учетной записи (в минутах)".
  • "Время до авторазблокировки учетной записи (в минутах)".

Чтобы настроить блокировку учетных записей, настройте следующие параметры.

  1. Войдите на портал Azure с использованием учетной записи администратора.

  2. Выберите Azure Active Directory > Безопасность > MFA > Блокировка учетной записи.

  3. Введите нужные значения для своей среды, а затем нажмите кнопку Сохранить.

    Снимок экрана параметров блокировки учетных записей на портале Azure

Блокировка и разблокировка пользователей

В случае утери или кражи устройства пользователя вы можете заблокировать попытки пройти Многофакторную идентификацию Azure AD для соответствующей учетной записи. Любые попытки выполнить Многофакторную идентификацию Azure AD заблокированных пользователей отклоняются автоматически. Блокировка пользователей действует в течение 90 дней. Мы опубликовали видео о том, как заблокировать и разблокировать пользователей в арендаторе, чтобы продемонстрировать, как это сделать.

Блокировка пользователя

Чтобы заблокировать пользователя, выполните приведенные действия или просмотрите это короткое видео.

  1. Перейдите к разделу Azure Active Directory > Безопасность > MFA > Блокировка и разблокировка пользователей.
  2. Выберите Добавить, чтобы заблокировать пользователя.
  3. Введите имя блокируемого пользователя в формате username@domain.com, а затем введите комментарий в поле Причина.
  4. Когда все будет готово, нажмите кнопку ОК, чтобы заблокировать пользователя.

Разблокирование пользователя

Чтобы разблокировать пользователя, выполните следующие действия.

  1. Перейдите к разделу Azure Active Directory > Безопасность > MFA > Блокировка и разблокировка пользователей.
  2. В столбце Действие рядом с нужным пользователем выберите Разблокировать.
  3. Введите комментарий в поле Причина разблокировки.
  4. Когда все будет готово, нажмите кнопку ОК, чтобы разблокировать пользователя.

Предупреждение о мошенничестве

Функция оповещения о мошенничестве позволяет пользователям могли сообщать о мошеннических попытках получить доступ к их ресурсам. При получении неизвестного и подозрительного запроса MFA пользователи могут сообщить о мошеннической попытке доступа с помощью приложения Microsoft Authenticator или по телефону.

Доступны следующие параметры конфигурации оповещений о мошенничестве:

  • Автоматически блокировать пользователей, сообщающих о мошенничестве. Если пользователь сообщает о мошенничестве, попытки пройти проверку подлинности Azure AD MFA для учетной записи этого пользователя блокируются на 90 дней или до тех пор, пока администратор не разблокирует эту учетную запись. Администратор может просматривать входы в отчете о входах и предпринимать соответствующие действия для предотвращения мошенничества в будущем. Затем администратор может разблокировать учетную запись пользователя.

  • Код для уведомления о мошенничестве во время первоначального приветствия. Когда пользователям поступает телефонный звонок для прохождения многофакторной проверки подлинности, они обычно нажимают кнопку # , чтобы подтвердить вход. Чтобы сообщить о мошенничестве, сперва нужно ввести код, а затем нажать кнопку # . По умолчанию используется код 0, но вы можете его изменить.

    Примечание

    Голосовые приветствия корпорации Майкрософт по умолчанию просят пользователей нажать 0# для отправки предупреждения о мошенничестве. Если используется любой другой код, кроме 0, необходимо записать и отправить собственное пользовательское голосовое приветствие с соответствующими инструкциями для пользователей.

Чтобы включить и настроить оповещения о мошенничестве, выполните следующие действия.

  1. Перейдите к разделу Azure Active Directory > Безопасность > MFA > Предупреждение о мошенничестве.
  2. Для параметра Разрешить пользователям отправлять предупреждения о мошенничестве установите значение Вкл.
  3. При необходимости настройте параметр Автоматически блокировать пользователей, сообщающих о мошенничестве или Код для уведомления о мошенничестве во время первоначального приветствия.
  4. Когда все будет готово, щелкните Сохранить.

Просмотр отчетов о мошенничестве

Когда пользователь сообщает о мошенничестве, событие отображается в отчете о событиях входа (в виде входа, который был отклонен пользователем) и в журналах аудита.

  • Выберите Azure Active Directory > События входа > Сведения о проверке подлинности. Отчет о мошенничестве теперь включен в стандартный отчет о входе в Azure AD и отображается в разделе Сведения о результатах с пометкой MFA не пройдена, введен мошеннический код.

  • Чтобы просмотреть отчеты о мошенничестве в журналах аудита, щелкните Azure Active Directory > журналы аудита. Отчет о мошенничестве отображается в разделе действия с сообщением о мошенничестве "пользователь заблокирован для MFA" или сообщением о мошенничестве "никакие действия не выполняются" на основе параметров уровня клиента для отчета о мошенничестве.

Уведомления

Для оповещения пользователей о мошенничестве можно настроить уведомления по электронной почте. Эти уведомления обычно отправляются администраторам удостоверений, так как учетные данные пользователя, скорее всего, будут скомпрометированы. В следующем примере показано, как выглядит уведомление по электронной почте для оповещения о мошенничестве.

Пример уведомления по электронной почте для оповещения о мошенничестве

Чтобы настроить уведомления по электронной почте для оповещения о мошенничестве, выполните следующее.

  1. Выберите Azure Active Directory > Безопасность > Многофакторная проверка подлинности > Уведомления.
  2. Введите адрес электронной почты для добавления в следующее поле.
  3. Чтобы удалить существующий адрес электронной почты, выберите параметр рядом с соответствующим адресом электронной почты, а затем щелкните Удалить.
  4. Когда все будет готово, щелкните Сохранить.

OATH-токены

Azure AD поддерживает использование токенов OATH-TOTP SHA-1, обновляющих коды каждые 30–60 секунд. Клиенты могут приобрести эти маркеры у любого поставщика по выбору.

Аппаратные маркеры OATH TOTP, как правило, поставляются с предварительно запрограммированным в маркере секретным ключом или начальным значением. Эти ключи необходимо ввести в Azure AD, как описано в следующих шагах. Максимальная длина секретного ключа — 128 символов, что может быть несовместимо с некоторыми маркерами. Секретный ключ может содержать только символы a–z или A–Z и цифры 1–7. Кроме того, он должен иметь кодировку Base32.

Программируемые аппаратные маркеры OATH TOTP с возможностью повторного заполнения также можно настроить для Azure AD в процессе настройки программных маркеров.

Аппаратные маркеры OATH поддерживаются как часть общедоступной предварительной версии. См. подробные сведения о Дополнительных условиях использования предварительных выпусков Microsoft Azure

Отправка маркеров OATH в колонку маркеров OATH MFA

После получения маркеров они должны передаваться в формате файлов с разделителями-запятыми (CSV), включая имя участника-пользователя, серийный номер, секретный ключ, интервал времени, изготовитель и модель, как показано в примере ниже.

upn,serial number,secret key,time interval,manufacturer,model
Helga@contoso.com,1234567,1234567abcdef1234567abcdef,60,Contoso,HardwareKey

Примечание

Убедитесь, что вы включили строку заголовка в CSV-файл.

После правильного форматирования в виде CSV-файла администратор может выполнить вход на портал Azure и перейти на Azure Active Directory > Безопасность > MFA > Маркеры OATH и отправить полученный CSV-файл.

В зависимости от размера CSV-файла этот процесс может занять несколько минут. Нажмите кнопку Обновить, чтобы получить сведения о текущим состоянии. Если в файле есть ошибки, можно скачать CSV-файл с указанием любых ошибок, чтобы устранить их. Имена полей в скачанном CSV-файле отличаются от загруженной версии.

После устранения ошибок администратор может активировать каждый ключ, щелкнув Активировать для маркера, и ввести одноразовый пароль, отображаемый на маркере.

Пользователи могут настроить сочетание до 5 аппаратных маркеров OATH или приложений аутентификации, таких как приложение Microsoft Authenticator, для использования в любое время.

Параметры телефонного звонка

Если пользователи получают телефонные звонки для запросов MFA, вы можете настроить их взаимодействие, например идентификатор вызывающей стороны или приветствие, которое они услышат.

В США, если не настроен идентификатор вызывающей стороны MFA, голосовые звонки от корпорации Майкрософт поступают с приведенных ниже номеров. При использовании фильтров спама следует исключить эти номера.

  • +1 (855) 330-86-53

Примечание

Когда вызовы для Многофакторной идентификации Azure AD осуществляются по телефонной сети общего пользования, иногда они передаются через оператора, который не поддерживает идентификацию вызывающего абонента. По этой причине идентификация вызывающего абонента не гарантируется, хотя Многофакторная идентификация Azure AD всегда отправляет соответствующий идентификатор. Это относится как к телефонным звонкам, так и к текстовым сообщениям, предоставляемым Многофакторной идентификацией Azure AD. Если необходимо проверить, относится ли текстовое сообщение к Многофакторной идентификации Azure AD, обратитесь к разделу What SMS short codes are used for sending SMS messages to my users? (Какие короткие коды SMS используются для отправки SMS моим пользователям?)

Чтобы настроить собственный идентификатор вызывающей стороны, выполните следующие действия.

  1. Перейдите к разделу Azure Active Directory > Безопасность > MFA > Параметры телефонного звонка.
  2. Задайте для параметра Идентификатор вызывающего абонента MFA номер, который должен отображать на телефонах пользователей. Допустимы только номера телефонов США.
  3. Когда все будет готово, щелкните Сохранить.

Пользовательские голосовые сообщения

Пользовательские голосовые сообщения позволяют использовать собственные записи или приветствия для Многофакторной идентификации Azure AD. Их можно использовать вместе с записями корпорации Майкрософт по умолчанию или вместо них.

Прежде чем начать, ознакомьтесь со следующими ограничениями:

  • Поддерживаются только форматы файлов WAV и MP3.
  • Максимальный размер файла составляет 1 МБ.
  • Сообщения о проверке подлинности должны длиться меньше, чем 20 секунд. Более длинные сообщения могут вызвать сбой проверки, так как пользователь может не успеть ответить, дожидаясь конца сообщения, и время ожидания проверки истечет.

Режим работы языка пользовательского сообщения

При воспроизведении пользовательского голосового сообщения для пользователя язык сообщения зависит от следующих факторов:

  • Язык текущего пользователя.
    • Язык, обнаруживаемый в браузере пользователя.
    • Другие сценарии аутентификации могут выполняться по-разному.
  • Язык любых доступных пользовательских сообщений.
    • Этот язык выбирает администратор при добавлении пользовательского сообщения.

Например, если существует только одно пользовательское сообщение на немецком языке:

  • Пользователь, который выполняет аутентификацию на немецком языке, услышит немецкое пользовательское сообщение.
  • Пользователь, который выполняет аутентификацию на английском языке, услышит стандартное английское сообщение.

Значения по умолчанию для пользовательских голосовых сообщений

Приведенные ниже примеры сценариев можно использовать для создания собственных пользовательских сообщений. Если не настроены пользовательские сообщения, то по умолчанию используются приведенные ниже фразы.

Название сообщения Скрипт
Проверка подлинности пройдена успешно Вы прошли проверку. До свидания.
Запрос добавочного номера Благодарим за использование системы проверки входа Microsoft. Для продолжения нажмите клавишу с решеткой.
Подтверждение мошенничества Отправлено предупреждение о мошенничестве. Чтобы разблокировать свою учетную запись, обратитесь в службу поддержки ИТ-отдела вашей компании.
Мошенническое приветствие (стандарт) Благодарим за использование системы проверки входа Microsoft. Нажмите решетку, чтобы завершить проверку. Если вы не инициировали эту проверку, возможно, кто-то пытается получить доступ к вашей учетной записи. Нажмите ноль и решетку, чтобы отправить оповещение о мошенничестве. Это позволит уведомить ИТ-специалистов вашей компании и заблокирует дальнейшие попытки проверки.
О мошенничестве заявлено Отправлено предупреждение о мошенничестве. Чтобы разблокировать свою учетную запись, обратитесь в службу поддержки ИТ-отдела вашей компании.
Активация Благодарим за использование системы проверки входа Microsoft. Нажмите решетку, чтобы завершить проверку.
Проверка подлинности не пройдена — повтор В проверке отказано.
Повтор (стандарт) Благодарим за использование системы проверки входа Microsoft. Нажмите решетку, чтобы завершить проверку.
Приветствие (стандарт) Благодарим за использование системы проверки входа Microsoft. Нажмите решетку, чтобы завершить проверку.
Приветствие (ПИН-код) Благодарим за использование системы проверки входа Microsoft. Введите ПИН-код и нажмите решетку, чтобы завершить проверку.
Мошенническое приветствие (ПИН-код) Благодарим за использование системы проверки входа Microsoft. Введите ПИН-код и нажмите решетку, чтобы завершить проверку. Если вы не инициировали эту проверку, возможно, кто-то пытается получить доступ к вашей учетной записи. Нажмите ноль и решетку, чтобы отправить оповещение о мошенничестве. Это позволит уведомить ИТ-специалистов вашей компании и заблокирует дальнейшие попытки проверки.
Повтор (ПИН-код) Благодарим за использование системы проверки входа Microsoft. Введите ПИН-код и нажмите решетку, чтобы завершить проверку.
Запрос добавочного номера после цифр Если этот добавочный номер уже выбран, нажмите решетку, чтобы продолжить.
Проверка подлинности не пройдена Не удается выполнить вход в систему. Повторите попытку позже. Повторите попытку позже.
Приветствие активации (стандартное) Благодарим за использование системы проверки входа Microsoft. Нажмите решетку, чтобы завершить проверку.
Повтор активации (стандартный) Благодарим за использование системы проверки входа Microsoft. Нажмите решетку, чтобы завершить проверку.
Приветствие активации (ПИН-код) Благодарим за использование системы проверки входа Microsoft. Введите ПИН-код и нажмите решетку, чтобы завершить проверку.
Запрос добавочного номера перед цифрами Благодарим за использование системы проверки входа Microsoft. Переведите этот вызов на добавочный номер...

Настройка пользовательского сообщения

Чтобы использовать пользовательские сообщения, выполните следующие действия.

  1. Перейдите к разделу Azure Active Directory > Безопасность > MFA > Параметры телефонного звонка.
  2. Щелкните Добавить приветствие.
  3. Выберите тип приветствия, например Приветствие (стандарт) или Проверка подлинности пройдена успешно.
  4. Выберите язык в соответствии с предыдущим разделом о режимах работы языка пользовательских сообщений.
  5. Выберите звуковой файл в формате MP3 или WAV для передачи.
  6. Когда все будет готово, щелкните Добавить, а затем Сохранить.

Параметры службы MFA

Такие настройки, как пароли приложений, надежные IP-адреса, параметры проверки. Кроме того, многие настройки многофакторной проверки подлинности для Многофакторной идентификации Azure AD можно найти в параметрах службы. Это более старая версия портала, и она не является частью обычного портала Azure AD.

Параметры службы можно отрыть на портале Azure в разделе Azure Active Directory > Безопасность > MFA > Приступая к работе > Настройка > Дополнительные параметры облачной MFA. Откроется новое окно или вкладка с дополнительными параметрами службы.

Надежные IP-адреса

Функция надежных IP-адресов в Многофакторной идентификации Azure AD позволяет обойти запросы многофакторной проверки подлинности для пользователей, которые входят с определенного диапазона IP-адресов. Вы можете задать диапазоны надежных IP-адресов для локальных сред, чтобы пользователям в любом из этих расположений не предлагалось пройти Многофакторную идентификацию Azure AD. Для использования функции надежных IP-адресов в Многофакторной идентификации Azure AD требуется выпуск Azure AD Premium P1.

Примечание

Надежные IP-адреса могут содержать диапазоны частных адресов только при использовании сервера MFA. Для облачной Многофакторной идентификации Azure AD можно использовать только диапазоны общедоступных IP-адресов.

Диапазоны IPv6-адресов поддерживаются только в интерфейсе именованного расположения (предварительная версия).

Если ваша организация развертывает расширение NPS для обеспечения Многофакторной идентификации локальных приложений, то имейте ввиду, что IP-адресом источника всегда будет адрес NPS-сервера, через который выполняется попытка аутентификации.

Тип клиента Azure AD Параметры функции надежных IP-адресов
управляемость. Specific range of IP addresses (Определенные диапазоны IP-адресов). Администраторы могут задать диапазон IP-адресов, которые могут обходить многофакторную проверку подлинности применительно к пользователям, которые выполняют вход из интрасети компании. Можно настроить не более 50 диапазонов надежных IP-адресов.
Федеративные All Federated Users (Все федеративные пользователи). Все федеративные пользователи, которые выполняют вход из сети организации, будут обходить многофакторную проверку подлинности, предоставляя утверждение, выданное службами федерации Active Directory (AD FS).
Specific range of IP addresses (Определенные диапазоны IP-адресов). Администраторы могут задать диапазон IP-адресов, которые могут обходить многофакторную проверку подлинности применительно к пользователям, которые выполняют вход из интрасети компании.

Обход по надежным IP-адресам работает только внутри интрасети компании. Если выбран вариант All Federated Users (Все федеративные пользователи) и пользователь выполняет вход не из интрасети компании, такой пользователь должен выполнить многофакторную проверку подлинности, даже если он предоставит утверждение AD FS.

Взаимодействие с пользователем в пределах корпоративной сети

При отключении функции надежных IP-адресов для потоков браузера потребуется многофакторная проверка подлинности. Пароли приложений требуются для более старых многофункциональных клиентских приложений.

При использовании функции надежных IP-адресов для потоков браузера не требуется многофакторная проверка подлинности. Пароли приложений не требуются для более старых полнофункциональных клиентских приложений при условии, что пользователь не создал пароль приложения. Если пароль приложения уже создан, он остается обязательным.

Условия для пользователей вне корпоративной сети

Независимо от того, определены ли надежные IP-адреса, для потоков браузера требуется многофакторная проверка подлинности. Пароли приложений требуются для более старых многофункциональных клиентских приложений.

Включение именованных расположений с помощью условного доступа

Можно использовать правила условного доступа для определения именованных расположений, выполнив следующие действия.

  1. На портале Azure найдите и выберите Azure Active Directory, а затем выберите Безопасность > Условный доступ > Именованные расположения.
  2. Выберите Новое расположение.
  3. Введите имя расположения.
  4. Выберите Отметить как надежное расположение.
  5. Введите диапазон IP-адресов в нотации CIDR для своей среды, например 40.77.182.32/27.
  6. Нажмите кнопку создания.

Включение функции надежных IP-адресов с помощью условного доступа

Чтобы включить надежные IP-адреса с помощью политик условного доступа, выполните следующие действия.

  1. На портале Azure найдите и выберите Azure Active Directory, а затем выберите Безопасность > Условный доступ > Именованные расположения.

  2. Выберите Настроить надежные IP-адреса MFA.

  3. На странице Параметры службы в разделе Список надежных IP-адресов выберите один из следующих двух параметров:

    • For requests from federated users originating from my intranet (Для запросов от федеративных пользователей, исходящих из моей интрасети). Чтобы выбрать этот параметр, установите флажок. Все федеративные пользователи, которые выполняют вход из корпоративной сети, обходят многофакторную проверку подлинности, предоставляя выданное AD FS утверждение. Убедитесь, что в службах AD FS установлено правило для добавления утверждение интрасети для соответствующего трафика. Если правило не существует, создайте такое правило в AD FS:

      c:[Type== "http://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork"] => issue(claim = c);

    • For requests from a specific range of public IPs (Для запросов от определенного диапазона общедоступных IP-адресов). Чтобы выбрать этот параметр, введите IP-адреса в соответствующем текстовом поле в формате нотации CIDR.

      • Для IP-адресов, которые находятся в диапазоне от xxx.xxx.xxx.1 до xxx.xxx.xxx.254, используйте такую нотацию, как xxx.xxx.xxx.0/24.
      • Для одного IP-адреса используйте такую нотацию: xxx.xxx.xxx.xxx/32.
      • Можно ввести до 50 диапазонов IP-адресов. Пользователи, выполняющие вход с этих IP-адресов, обходят многофакторную проверку подлинности.
  4. Щелкните Сохранить.

Включение функции надежных IP-адресов с помощью параметров службы

Если вы не хотите использовать политики условного доступа для включения надежных IP-адресов, то можете настроить параметры службы для Многофакторной идентификации Azure AD, выполнив следующие действия.

  1. На портале Azure найдите и выберите элемент Azure Active Directory, затем выберите Пользователи.

  2. Выберите Многофакторная идентификация.

  3. В разделе "Многофакторная аутентификация" выберите Параметры службы.

  4. На странице Параметры службы в разделе Доверенные IP-адреса выберите один из следующих двух параметров (или оба):

    • For requests from federated users on my intranet (Для запросов от федеративных пользователей в моей интрасети). Чтобы выбрать этот параметр, установите флажок. Все федеративные пользователи, которые выполняют вход из корпоративной сети, обходят многофакторную проверку подлинности, предоставляя выданное AD FS утверждение. Убедитесь, что в службах AD FS установлено правило для добавления утверждение интрасети для соответствующего трафика. Если правило не существует, создайте такое правило в AD FS:

      c:[Type== "http://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork"] => issue(claim = c);

    • For requests from a specified range of IP address subnets (Для запросов от определенного диапазона IP-адресов подсети). Чтобы выбрать этот параметр, введите IP-адреса в соответствующем текстовом поле в формате нотации CIDR.

      • Для IP-адресов, которые находятся в диапазоне от xxx.xxx.xxx.1 до xxx.xxx.xxx.254, используйте такую нотацию, как xxx.xxx.xxx.0/24.
      • Для одного IP-адреса используйте такую нотацию: xxx.xxx.xxx.xxx/32.
      • Можно ввести до 50 диапазонов IP-адресов. Пользователи, выполняющие вход с этих IP-адресов, обходят многофакторную проверку подлинности.
  5. Щелкните Сохранить.

Методы проверки

Вы можете выбрать методы проверки, которые будут доступны пользователям на портале параметров службы. Когда пользователи регистрируют свои учетные записи для Многофакторной идентификации Azure AD, они смогут выбрать удобный метод проверки на основе включенных вами параметров. Рекомендации по настройке регистрации пользователей приведены в разделе Что такое страница дополнительной проверки?

Доступны следующие методы проверки.

Метод Описание
Звонок на телефон На телефон осуществляется автоматический голосовой вызов. Для проверки подлинности пользователь отвечает на вызов и нажимает кнопку # на клавиатуре телефона. Этот номер телефона не синхронизируется в локальной службе Active Directory.
SMS на телефон На телефон приходит текстовое сообщение с кодом проверки. Пользователю предлагается ввести код проверки в интерфейсе входа. Этот процесс предусматривает отправку одностороннего текстового сообщения. При использовании двустороннего текстового сообщения пользователь должен отправить ответ с определенным кодом. Двустороннее SMS является устаревшим и не будет поддерживаться после 14 ноября 2018 года. Администраторы должны активировать другой способ для пользователей, которые ранее использовали двусторонний обмен СМС.
Уведомление в мобильном приложении Отправляется push-уведомление на телефон или зарегистрированное устройство. Пользователь просматривает уведомление и выбирает Проверить, чтобы выполнить проверку. Приложение Microsoft Authenticator доступно для Windows Phone, Android и iOS.
Код проверки из мобильного приложения или токен оборудования Приложение Microsoft Authenticator создает код проверки OATH каждые 30 секунд. Пользователь вводит этот код проверки в интерфейсе входа. Приложение Microsoft Authenticator доступно для Windows Phone, Android и iOS.

Дополнительные сведения см. в разделе Какие методы проверки подлинности и подтверждения доступны в Azure Active Directory?

Включение и отключение способов проверки подлинности

Чтобы включить или отключить методы проверки, выполните следующие действия.

  1. На портале Azure найдите и выберите элемент Azure Active Directory, затем выберите Пользователи.
  2. Выберите Многофакторная идентификация.
  3. В разделе "Многофакторная аутентификация" выберите Параметры службы.
  4. На странице Параметры службы в разделе Параметры проверки выберите или отмените выбор методов, предоставляемых пользователям.
  5. Выберите команду Сохранить.

Сохранение данных многофакторной идентификации

Благодаря функции сохранения данных многофакторной проверки подлинности пользователи могут обходить последующие проверки в течение определенного числа дней после успешного входа на устройство с помощью MFA. Чтобы повысить удобство работы и свести к минимуму число попыток пользователя выполнить MFA на одном устройстве, выберите длительность в 90 дней или более.

Важно!

Если учетная запись или устройство скомпрометированы, запоминание данных MFA для доверенных устройств может повлиять на безопасность. В случае потери доверенного устройства или компрометации учетной записи организации следует отозвать сеансы MFA.

Действие восстановления отменяет статус всех доверенных устройств, и пользователю необходимо будет снова выполнить многофакторную проверку подлинности. Вы можете также сообщить пользователям о необходимости возобновления Многофакторной идентификации на их устройствах, используя указания в разделе Изменение метода и параметров двухфакторной проверки подлинности.

Как работает функция

Функция запоминания данных многофакторной проверки подлинности добавляет в браузер постоянный файл cookie, когда пользователь во время входа выбирает вариант Don't ask again for X days (Больше не спрашивать X дн.). До истечения срока действия файла cookie многофакторная проверка подлинности из этого же браузера не будет запрашиваться. Если пользователь на том же устройстве откроет другой браузер или очистит файлы cookie, запрос на проверку отобразится снова.

Вариант Don't ask again for X days (Больше не спрашивать X дн.) не отображается в небраузерных приложениях независимо от того, поддерживает ли приложение современную проверку подлинности. Эти приложения используют токены обновления, которые предоставляют новые маркеры доступа каждый час. Во время проверки маркера обновления Azure AD проверяет, выполнялась ли последняя многофакторная проверка подлинности в течение заданного количества дней.

Функция сокращает количество проверок подлинности в веб-приложениях, которые обычно запрашиваются каждый раз. Если настроена меньшая длительность, функция может увеличить число проверок подлинности для современных клиентов проверки подлинности, которые обычно запрашивают проверку каждые 180 дней. Кроме того, она увеличивает количество операций аутентификации при использовании с политиками условного доступа.

Важно!

Функция сохранения данных многофакторной идентификации не совместима с функцией Оставаться в системе AD FS, когда пользователи выполняют многофакторную проверку подлинности для AD FS через сервер Многофакторной идентификации Azure или стороннее решение многофакторной проверки подлинности.

Если пользователи решили оставаться в системе AD FS, а также пометить устройство как доверенное для многофакторной проверки подлинности, пользователь не проверяется автоматически после истечения срока действия запоминания многофакторной проверки подлинности. Azure AD отправляет запрос на выполнение новой многофакторной проверки подлинности, но AD FS возвращает маркер с исходным утверждением MFA и исходной датой, а не снова выполняет многофакторную проверку подлинности. Эта реакция отключает цикл проверки между AAD и AD FS.

Функция Запомнить многофакторную идентификацию несовместима с пользователями B2B и не отображается для пользователей B2B при входе в приглашенные клиенты.

Включение запоминания данных многофакторной проверки подлинности

Чтобы включить и настроить для пользователей возможность сохранять состояние MFA и обходить запросы, выполните следующие действия.

  1. На портале Azure найдите и выберите элемент Azure Active Directory, затем выберите Пользователи.
  2. Выберите Многофакторная идентификация.
  3. В разделе "Многофакторная аутентификация" выберите Параметры службы.
  4. На странице Параметры службы в разделе Запомнить многофакторную проверку подлинности выберите Разрешить пользователям сохранять данные многофакторной проверки подлинности на доверенных устройствах.
  5. Задайте количество дней, в течение которых надежным устройствам будет разрешено обходить многофакторную проверку подлинности. Для оптимального взаимодействия с пользователями увеличьте продолжительность до 90 или более дней.
  6. Щелкните Сохранить.

Пометка устройства как доверенного

После включения функции сохранения данных многофакторной проверки подлинности при входе пользователи смогут пометить устройство как надежное, выбрав параметр Больше не спрашивать.

Дальнейшие действия

Дополнительные сведения о доступных методах использования Многофакторной идентификации Azure AD см. в разделе Какие методы проверки подлинности и подтверждения доступны в Azure Active Directory?