Настройка параметров Многофакторной идентификации AzureConfigure Azure Multi-Factor Authentication settings

Чтобы настроить взаимодействие с конечным пользователем для многофакторной идентификации Azure, можно настроить параметры для таких параметров, как пороговые значения блокировки учетной записи или оповещения о мошенничестве и уведомления.To customize the end-user experience for Azure Multi-Factor Authentication, you can configure options for settings like the account lockout thresholds or fraud alerts and notifications. Некоторые параметры находятся непосредственно в портал Azure для Azure Active Directory (Azure AD), а некоторые — на отдельном портале многофакторной идентификации Azure.Some settings are directly in the Azure portal for Azure Active Directory (Azure AD), and some in a separate Azure Multi-Factor Authentication portal.

В портал Azure доступны следующие параметры многофакторной идентификации Azure:The following Azure Multi-Factor Authentication settings are available in the Azure portal:

ФункцияFeature ОписаниеDescription
Блокировка учетной записиAccount lockout Временно заблокируйте учетные записи с помощью многофакторной идентификации Azure, если в строке слишком много попыток проверки подлинности.Temporarily lock accounts from using Azure Multi-Factor Authentication if there are too many denied authentication attempts in a row. Эта функция применяется только для пользователей, которые входят в систему с помощью ПИН-кода.This feature only applies to users who enter a PIN to authenticate. (Сервер MFA)(MFA Server)
Блокировка и разблокировка пользователейBlock/unblock users Запрещает конкретным пользователям получать запросы многофакторной идентификации Azure.Block specific users from being able to receive Azure Multi-Factor Authentication requests. Любые попытки выполнить аутентификацию заблокированных пользователей отклоняются автоматически.Any authentication attempts for blocked users are automatically denied. Пользователи остаются заблокированными в течение 90 дней с момента блокировки или разблокированы вручную.Users remain blocked for 90 days from the time that they are blocked or they're manually unblocked.
Предупреждение о мошенничествеFraud alert Настройка параметров, позволяющих пользователям сообщать о мошеннических запросах на проверку.Configure settings that allow users to report fraudulent verification requests.
УведомленияNotifications Включите уведомления о событиях с сервера MFA.Enable notifications of events from MFA Server.
OATH-токеныOATH tokens Используется в облачных средах Azure MFA для управления OATH-токенами для пользователей.Used in cloud-based Azure MFA environments to manage OATH tokens for users.
Параметры телефонного звонкаPhone call settings Настройте параметры, относящиеся к телефонным звонками и приветствиям в облачных и локальных средах.Configure settings related to phone calls and greetings for cloud and on-premises environments.
ПоставщикиProviders Здесь отображаются все существующие поставщики проверки подлинности, которых вы ранее связали с этой учетной записью.This will show any existing authentication providers that you may have associated with your account. По состоянию на 1 сентября 2018 г новые поставщики проверки подлинности создавать нельзя.New authentication providers may not be created as of September 1, 2018

Портал Azure. Настройка параметров Многофакторной идентификации AAD

Блокировка учетной записиAccount lockout

Чтобы предотвратить повторные попытки использования MFA в рамках атаки, параметры блокировки учетной записи позволяют указать количество неудачных попыток, по истечении которых учетная запись будет заблокирована в течение определенного периода времени.To prevent repeated MFA attempts as part of an attack, the account lockout settings let you specify how many failed attempts to allow before the account becomes locked out for a period of time. Параметры блокировки учетной записи применяются только при вводе PIN-кода для запроса MFA.The account lockout settings are only applied when a pin code is entered for the MFA prompt.

Доступны следующие параметры.The following settings are available:

  • Число отказов MFA для активации блокировки учетной записиNumber of MFA denials to trigger account lockout
  • Минут до сброса счетчика блокировки учетной записиMinutes until account lockout counter is reset
  • Минут до автоматической разблокировки учетной записиMinutes until account is automatically unblocked

Чтобы настроить параметры блокировки учетной записи, заполните следующие параметры:To configure account lockout settings, complete the following settings:

  1. Войдите на портал Azure с использованием учетной записи администратора.Sign in to the Azure portal as an administrator.

  2. Перейдите к Azure Active Directory > Безопасность > MFA > Блокировка учетной записиmfa.Browse to Azure Active Directory > Security > MFA > Account lockout.

  3. Введите нужные значения для своей среды, а затем нажмите кнопку сохранить.Enter the require values for your environment, then select Save.

    Снимок экрана параметров блокировки учетной записи в портал Azure

Блокировка и разблокировка пользователейBlock and unblock users

В случае утери или кражи устройства пользователя можно заблокировать попытки проверки подлинности для соответствующей учетной записи.If a user's device has been lost or stolen, you can block authentication attempts for the associated account. Любые попытки выполнить аутентификацию заблокированных пользователей отклоняются автоматически.Any authentication attempts for blocked users are automatically denied. Блокировка пользователей действует в течение 90 дней.Users remain blocked for 90 days from the time that they are blocked.

Блокировка пользователяBlock a user

Чтобы заблокировать пользователя, выполните следующие действия.To block a user, complete the following steps:

  1. Перейдите к разделу Azure Active Directory > Безопасность > MFA > Блокировка и разблокировка пользователей.Browse to Azure Active Directory > Security > MFA > Block/unblock users.

  2. Выберите Добавить, чтобы заблокировать пользователя.Select Add to block a user.

  3. Выберите группу репликации, а затем выберите Azure по умолчанию.Select the Replication Group, then choose Azure Default.

    Введите имя пользователя для заблокированного пользователя username\@domain.com , а затем введите комментарий в поле Причина .Enter the username for the blocked user as username\@domain.com, then provide a comment in the Reason field.

  4. Когда все будет готово, нажмите кнопку ОК , чтобы заблокировать пользователя.When ready, select OK to block the user.

Разблокирование пользователяUnblock a user

Чтобы разблокировать пользователя, выполните следующие действия.To unblock a user, complete the following steps:

  1. Перейдите к разделу Azure Active Directory > Безопасность > MFA > Блокировка и разблокировка пользователей.Browse to Azure Active Directory > Security > MFA > Block/unblock users.
  2. В столбце действия рядом с нужным пользователем выберите разблокировать.In the Action column next to the desired user, select Unblock.
  3. Введите комментарий в поле Причина разблокировки.Enter a comment in the Reason for unblocking field.
  4. Когда все будет готово, нажмите кнопку ОК , чтобы разблокировать пользователя.When ready, select OK to unblock the user.

Предупреждение о мошенничествеFraud alert

Функция предупреждения о мошенничестве позволяет пользователям сообщать о мошеннических попытках доступа к своим ресурсам.The fraud alert feature lets users report fraudulent attempts to access their resources. При получении неизвестного и подозрительного запроса MFA пользователи могут сообщить о попытке мошенничества с помощью Microsoft Authenticator приложения или по телефону.When an unknown and suspicious MFA prompt is received, users can report the fraud attempt using the Microsoft Authenticator app or through their phone.

Доступны следующие параметры конфигурации оповещений о мошенничестве:The following fraud alert configuration options are available:

  • Автоматически блокировать пользователей, сообщающих о мошенничестве. Если пользователь сообщает о мошенничестве, его учетная запись блокируется в течение 90 дней или до тех пор, пока администратор не разблокирует свою учетную запись.Automatically block users who report fraud: If a user reports fraud, their account is blocked for 90 days or until an administrator unblocks their account. Администратор может просматривать входы в отчете о входах и предпринимать соответствующие действия для предотвращения мошенничества в будущем.An administrator can review sign-ins by using the sign-in report, and take appropriate action to prevent future fraud. Затем администратор может разблокировать учетную запись пользователя.An administrator can then unblock the user's account.

  • Код для сообщения о мошенничестве во время первоначального приветствия: когда пользователи получают телефонный звонок для выполнения многофакторной проверки подлинности, они обычно направляются # для подтверждения входа в систему.Code to report fraud during initial greeting: When users receive a phone call to perform multi-factor authentication, they normally press # to confirm their sign-in. Чтобы сообщить о мошенничестве, сперва нужно ввести код, а затем нажать кнопку # .To report fraud, the user enters a code before pressing #. По умолчанию используется код 0, но вы можете его изменить.This code is 0 by default, but you can customize it.

    Примечание

    Голосовые приветствия корпорации Майкрософт по умолчанию просят пользователей нажать 0# для отправки предупреждения о мошенничестве.The default voice greetings from Microsoft instruct users to press 0# to submit a fraud alert. Если используется любой другой код, кроме 0, необходимо записать и отправить собственное пользовательское голосовое приветствие с соответствующими инструкциями для пользователей.If you want to use a code other than 0, record and upload your own custom voice greetings with appropriate instructions for your users.

Чтобы включить и настроить предупреждения о мошенничестве, выполните следующие действия.To enable and configure fraud alerts, complete the following steps:

  1. Перейдите к разделу Azure Active Directory > Безопасность > MFA > Предупреждение о мошенничестве.Browse to Azure Active Directory > Security > MFA > Fraud alert.
  2. Для параметра Разрешить пользователям отправлять предупреждения о мошенничестве установите значение Вкл.Set the Allow users to submit fraud alerts setting to On.
  3. Настройте Автоматическое блокирование пользователей, сообщающих о мошенничестве или коде, для сообщения о мошенничестве во время начального приветствия при необходимости.Configure the Automatically block users who report fraud or Code to report fraud during initial greeting setting as desired.
  4. Когда все будет готово, щелкните Сохранить.When ready, select Save.

Просмотр отчетов о мошенничествеView fraud reports

Выберите Azure Active Directory > События входа > Сведения о проверке подлинности.Select Azure Active Directory > Sign-ins > Authentication Details. Отчет о мошенничестве теперь является частью стандартного отчета о входе в Azure AD и отображается в разделе Сведения о результатах с пометкой "Многофакторная идентификация не пройдена, введен код мошенничества".The fraud report is now part of the standard Azure AD Sign-ins report and it will show in the "Result Detail" as MFA denied, Fraud Code Entered.

УведомленияNotifications

Уведомления по электронной почте могут быть настроены, когда пользователи сообщают о предупреждениях о мошенничестве.Email notifications can be configured when users report fraud alerts. Эти уведомления обычно отправляются администраторам удостоверений, так как учетные данные пользователя, скорее всего, будут скомпрометированы.These notifications are typically sent to identity administrators, as the user's account credentials are likely compromised. В следующем примере показано, как выглядит электронная почта с уведомлением о мошенничестве:The following example shows what a fraud alert notification email looks like:

Пример электронного уведомления о предупреждении о мошенничестве

Чтобы настроить уведомления о мошенничестве, выполните следующие настройки.To configure fraud alert notifications, complete the following settings:

  1. Перейдите к Azure Active Directory > Security > уведомлениями омногофакторной проверке подлинностив системе безопасности > Notifications.Browse to Azure Active Directory > Security > Multi-Factor Authentication > Notifications.
  2. Введите адрес электронной почты для добавления в следующее поле.Enter the email address to add into the next box.
  3. Чтобы удалить существующий адрес электронной почты, выберите параметр ... рядом с нужным адресом электронной почты, а затем щелкните Удалить.To remove an existing email address, select the ... option next to the desired email address, then select Delete.
  4. Когда все будет готово, щелкните Сохранить.When ready, select Save.

OATH-токеныOATH tokens

Azure AD поддерживает использование токенов OATH-TOTP SHA-1, обновляющих коды каждые 30–60 секунд.Azure AD supports the use of OATH-TOTP SHA-1 tokens that refresh codes every 30 or 60 seconds. Клиенты могут приобрести эти маркеры у любого поставщика по выбору.Customers can purchase these tokens from the vendor of their choice.

Аппаратные маркеры OATH TOTP, как правило, поставляются с предварительно запрограммированным в маркере секретным ключом или начальным значением.OATH TOTP hardware tokens typically come with a secret key, or seed, pre-programmed in the token. Эти ключи необходимо ввести в Azure AD, как описано в следующих шагах.These keys must be input into Azure AD as described in the following steps. Максимальная длина секретного ключа — 128 символов, что может быть несовместимо с некоторыми маркерами.Secret keys are limited to 128 characters, which may not be compatible with all tokens. Секретный ключ может содержать только символы a–z или A–Z и цифры 1–7. Кроме того, он должен иметь кодировку Base32.The secret key can only contain the characters a-z or A-Z and digits 1-7, and must be encoded in Base32.

Программируемые аппаратные маркеры OATH TOTP с возможностью повторного заполнения также можно настроить для Azure AD в процессе настройки программных маркеров.Programmable OATH TOTP hardware tokens that can be reseeded can also be set up with Azure AD in the software token setup flow.

Аппаратные маркеры OATH поддерживаются как часть общедоступной предварительной версии.OATH hardware tokens are supported as part of a public preview. См. дополнительные сведения о дополнительных условиях использования предварительных выпусков Microsoft Azure.For more information about previews, see Supplemental Terms of Use for Microsoft Azure Previews

Отправка маркеров OATH в колонку маркеров OATH MFA

После получения маркеров они должны передаваться в формате файлов с разделителями-запятыми (CSV), включая имя участника-пользователя, серийный номер, секретный ключ, интервал времени, изготовитель и модель, как показано в примере ниже.Once tokens are acquired they must be uploaded in a comma-separated values (CSV) file format including the UPN, serial number, secret key, time interval, manufacturer, and model as shown in the following example:

upn,serial number,secret key,time interval,manufacturer,model
Helga@contoso.com,1234567,1234567abcdef1234567abcdef,60,Contoso,HardwareKey

Примечание

Убедитесь, что вы включили строку заголовка в CSV-файл.Make sure you include the header row in your CSV file.

После правильного форматирования в виде CSV-файла администратор может выполнить вход на портал Azure и перейти на Azure Active Directory > Безопасность > MFA > Маркеры OATH и отправить полученный CSV-файл.Once properly formatted as a CSV file, an administrator can then sign in to the Azure portal, navigate to Azure Active Directory > Security > MFA > OATH tokens, and upload the resulting CSV file.

В зависимости от размера CSV-файла этот процесс может занять несколько минут.Depending on the size of the CSV file, it may take a few minutes to process. Нажмите кнопку Обновить, чтобы получить сведения о текущим состоянии.Select the Refresh button to get the current status. Если в файле есть ошибки, можно скачать CSV-файл с указанием любых ошибок, чтобы устранить их.If there are any errors in the file, you can download a CSV file that lists any errors for you to resolve. Имена полей в скачанном CSV-файле отличаются от загруженной версии.The field names in the downloaded CSV file are different than the uploaded version.

После устранения ошибок администратор может активировать каждый ключ, щелкнув Активировать для маркера, и ввести одноразовый пароль, отображаемый на маркере.Once any errors have been addressed, the administrator then can activate each key by selecting Activate for the token and entering the OTP displayed on the token.

Пользователи могут настроить сочетание до 5 аппаратных маркеров OATH или приложений аутентификации, таких как приложение Microsoft Authenticator, для использования в любое время.Users may have a combination of up to five OATH hardware tokens or authenticator applications, such as the Microsoft Authenticator app, configured for use at any time.

Параметры телефонного звонкаPhone call settings

Если пользователи получают телефонные звонки для запросов MFA, вы можете настроить их взаимодействие, например идентификатор звонящего или приветствие, которые они прослушивают.If users receive phone calls for MFA prompts, you can configure their experience, such as caller ID or voice greeting they hear.

В США, если вы еще не настроили идентификатор участника MFA, голосовой звонок от корпорации Майкрософт будет получен из следующих номеров.In the United States, if you haven't configured MFA Caller ID, voice calls from Microsoft come from the following numbers. Если используются фильтры нежелательной почты, обязательно исключите эти номера:If using spam filters, make sure to exclude these numbers:

  • + 1 (866) 539 4191+1 (866) 539 4191
  • + 1 (855) 330 8653+1 (855) 330 8653
  • + 1 (877) 668 6536+1 (877) 668 6536

Примечание

Когда вызовы многофакторной идентификации Azure помещаются через общедоступную телефонную сеть, иногда вызовы направляются через перевозчик, который не поддерживает идентификатор звонящего.When Azure Multi-Factor Authentication calls are placed through the public telephone network, sometimes the calls are routed through a carrier that doesn't support caller ID. По этой причине идентификатор вызывающего объекта не гарантируется, хотя служба многофакторной идентификации Azure всегда отправляет ее.Because of this, caller ID isn't guaranteed, even though Azure Multi-Factor Authentication always sends it. Это относится как к телефонным звонкам, так и к текстовым сообщениям, предоставляемым службой многофакторной идентификации Azure.This applies both to phone calls and to text messages provided by Azure Multi-Factor Authentication. Если необходимо проверить, что текстовое сообщение относится к многофакторной идентификации Azure, см. статью какие короткие коды SMS используются для отправки сообщений?If you need to validate that a text message is from Azure Multi-Factor Authentication, see What SMS short codes are used for sending messages?

Чтобы настроить собственный ИДЕНТИФИКАЦИОНный номер звонящего, выполните следующие действия.To configure your own caller ID number, complete the following steps:

  1. Перейдите к разделу Azure Active Directory > Безопасность > MFA > Параметры телефонного звонка.Browse to Azure Active Directory > Security > MFA > Phone call settings.
  2. Задайте для идентификатора участника MFA номер, который вы хотите видеть пользователям на телефоне.Set the MFA caller ID number to the number you wish users to see on their phone. Допустимы только номера телефонов США.Only US-based numbers are allowed.
  3. Когда все будет готово, щелкните Сохранить.When ready, select Save.

Пользовательские голосовые сообщенияCustom voice messages

Вы можете использовать собственные записи или поздравления для многофакторной идентификации Azure с помощью настраиваемых голосов сообщений.You can use your own recordings or greetings for Azure Multi-Factor Authentication with the custom voice messages feature. Эти сообщения можно использовать в дополнение к или для замены записей Майкрософт по умолчанию.These messages can be used in addition to or to replace the default Microsoft recordings.

Прежде чем начать, ознакомьтесь со следующими ограничениями:Before you begin, be aware of the following restrictions:

  • Поддерживаются форматы файлов . wav и . mp3.The supported file formats are .wav and .mp3.
  • Максимальный размер файла составляет 1 МБ.The file size limit is 1 MB.
  • Сообщения о проверке подлинности должны длиться меньше, чем 20 секунд.Authentication messages should be shorter than 20 seconds. Более длинные сообщения могут вызвать сбой проверки,Messages that are longer than 20 seconds can cause the verification to fail. так как пользователь может не успеть ответить, дожидаясь конца сообщения, и время ожидания проверки истечет.The user might not respond before the message finishes and the verification times out.

Режим работы языка пользовательского сообщенияCustom message language behavior

При воспроизведении пользовательского голосового сообщения язык сообщения зависит от следующих факторов.When a custom voice message is played to the user, the language of the message depends on the following factors:

  • Язык текущего пользователя.The language of the current user.
    • Язык, обнаруживаемый в браузере пользователя.The language detected by the user's browser.
    • Другие сценарии аутентификации могут выполняться по-разному.Other authentication scenarios may behave differently.
  • Язык любых доступных пользовательских сообщений.The language of any available custom messages.
    • Этот язык выбирает администратор при добавлении пользовательского сообщения.This language is chosen by the administrator, when a custom message is added.

Например, если существует только одно пользовательское сообщение на немецком языке:For example, if there is only one custom message, with a language of German:

  • Пользователь, который выполняет аутентификацию на немецком языке, услышит немецкое пользовательское сообщение.A user who authenticates in the German language will hear the custom German message.
  • Пользователь, который выполняет аутентификацию на английском языке, услышит стандартное английское сообщение.A user who authenticates in English will hear the standard English message.

Значения по умолчанию для пользовательских голосовых сообщенийCustom voice message defaults

Приведенные ниже примеры сценариев можно использовать для создания собственных настраиваемых сообщений.The following sample scripts can be used to create your own custom messages. Эти фразы используются по умолчанию, если не настроены пользовательские сообщения.These phrases are the defaults if you don't configure your own custom messages:

Название сообщенияMessage name СкриптScript
Проверка подлинности пройдена успешноAuthentication successful Вход успешно проверен.Your sign-in was successfully verified. До свидания.Goodbye.
Запрос добавочного номераExtension prompt Благодарим за использование системы проверки входа Microsoft.Thank you for using Microsoft's sign-in verification system. Для продолжения нажмите клавишу с решеткой.Please press pound key to continue.
Подтверждение мошенничестваFraud Confirmation Отправлено предупреждение о мошенничестве.A fraud alert has been submitted. Чтобы разблокировать свою учетную запись, обратитесь в службу поддержки ИТ-отдела вашей компании.To unblock your account, please contact your company's IT help desk.
Мошенническое приветствие (стандарт)Fraud greeting (Standard) Благодарим за использование системы проверки входа Microsoft.Thank you for using Microsoft's sign-in verification system. Нажмите решетку, чтобы завершить проверку.Please press the pound key to finish your verification. Если вы не инициировали эту проверку, возможно, кто-то пытается получить доступ к вашей учетной записи.If you did not initiate this verification, someone may be trying to access your account. Нажмите ноль и решетку, чтобы отправить оповещение о мошенничестве.Please press zero pound to submit a fraud alert. Это позволит уведомить ИТ-специалистов вашей компании и заблокирует дальнейшие попытки проверки.This will notify your company's IT team and block further verification attempts.
О мошенничестве заявлено Отправлено предупреждение о мошенничестве.Fraud reported A fraud alert has been submitted. Чтобы разблокировать свою учетную запись, обратитесь в службу поддержки ИТ-отдела вашей компании.To unblock your account, please contact your company's IT help desk.
АктивацияActivation Благодарим за использование системы проверки входа Microsoft.Thank you for using the Microsoft's sign-in verification system. Нажмите решетку, чтобы завершить проверку.Please press the pound key to finish your verification.
Проверка подлинности не пройдена — повторAuthentication denied retry В проверке отказано.Verification denied.
Повтор (стандарт)Retry (Standard) Благодарим за использование системы проверки входа Microsoft.Thank you for using the Microsoft's sign-in verification system. Нажмите решетку, чтобы завершить проверку.Please press the pound key to finish your verification.
Приветствие (стандарт)Greeting (Standard) Благодарим за использование системы проверки входа Microsoft.Thank you for using the Microsoft's sign-in verification system. Нажмите решетку, чтобы завершить проверку.Please press the pound key to finish your verification.
Приветствие (ПИН-код)Greeting (PIN) Благодарим за использование системы проверки входа Microsoft.Thank you for using Microsoft's sign-in verification system. Введите ПИН-код и нажмите решетку, чтобы завершить проверку.Please enter your PIN followed by the pound key to finish your verification.
Мошенническое приветствие (ПИН-код)Fraud greeting (PIN) Благодарим за использование системы проверки входа Microsoft.Thank you for using Microsoft's sign-in verification system. Введите ПИН-код и нажмите решетку, чтобы завершить проверку.Please enter your PIN followed by the pound key to finish your verification. Если вы не инициировали эту проверку, возможно, кто-то пытается получить доступ к вашей учетной записи.If you did not initiate this verification, someone may be trying to access your account. Нажмите ноль и решетку, чтобы отправить оповещение о мошенничестве.Please press zero pound to submit a fraud alert. Это позволит уведомить ИТ-специалистов вашей компании и заблокирует дальнейшие попытки проверки.This will notify your company's IT team and block further verification attempts.
Повтор (ПИН-код)Retry(PIN) Благодарим за использование системы проверки входа Microsoft.Thank you for using Microsoft's sign-in verification system. Введите ПИН-код и нажмите решетку, чтобы завершить проверку.Please enter your PIN followed by the pound key to finish your verification.
Запрос добавочного номера после цифрExtension prompt after digits Если этот добавочный номер уже выбран, нажмите решетку, чтобы продолжить.If already at this extension, press the pound key to continue.
Проверка подлинности не пройденаAuthentication denied Не удается выполнить вход в систему. Повторите попытку позже.I'm sorry, we cannot sign you in at this time. Повторите попытку позже.Please try again later.
Приветствие активации (стандартное)Activation greeting (Standard) Благодарим за использование системы проверки входа Microsoft.Thank you for using the Microsoft's sign-in verification system. Нажмите решетку, чтобы завершить проверку.Please press the pound key to finish your verification.
Повтор активации (стандартный)Activation retry (Standard) Благодарим за использование системы проверки входа Microsoft.Thank you for using the Microsoft's sign-in verification system. Нажмите решетку, чтобы завершить проверку.Please press the pound key to finish your verification.
Приветствие активации (ПИН-код)Activation greeting (PIN) Благодарим за использование системы проверки входа Microsoft.Thank you for using Microsoft's sign-in verification system. Введите ПИН-код и нажмите решетку, чтобы завершить проверку.Please enter your PIN followed by the pound key to finish your verification.
Запрос добавочного номера перед цифрамиExtension prompt before digits Благодарим за использование системы проверки входа Microsoft.Thank you for using Microsoft's sign-in verification system. Переведите этот вызов на добавочный номер...Please transfer this call to extension …

Настройка пользовательского сообщенияSet up a custom message

Чтобы использовать пользовательские сообщения, выполните следующие действия.To use your own custom messages, complete the following steps:

  1. Перейдите к разделу Azure Active Directory > Безопасность > MFA > Параметры телефонного звонка.Browse to Azure Active Directory > Security > MFA > Phone call settings.
  2. Щелкните Добавить приветствие.Select Add greeting.
  3. Выберите тип приветствия, например Приветствие (стандартный) или Проверка подлинности успешно.Choose the Type of greeting, such as Greeting (standard) or Authentication successful.
  4. Выберите языкв соответствии с предыдущим разделом поведение языка пользовательского сообщения.Select the Language, based on the previous section on custom message language behavior.
  5. Найдите и выберите звуковой файл в формате MP3 или WAV для отправки.Browse for and select an .mp3 or .wav sound file to upload.
  6. Когда все будет готово, выберите Добавить, а затем сохранить.When ready, select Add, then Save.

Параметры службы MFAMFA service settings

Такие настройки, как пароли приложений, надежные IP-адреса, параметры проверки. Кроме того, многие настройки многофакторной проверки подлинности для службы Многофакторной идентификации Azure можно найти в параметрах службы.Settings for app passwords, trusted IPs, verification options, and remember multi-factor authentication for Azure Multi-Factor Authentication can be found in service settings. Это более старая версия портала и не является частью обычного портала Azure AD.This is more of a legacy portal, and isn't part of the regular Azure AD portal.

Параметры службы можно отрыть на портале Azure в разделе Azure Active Directory > Безопасность > MFA > Приступая к работе > Настройка > Дополнительные параметры облачной MFA.Service settings can be accessed from the Azure portal by browsing to Azure Active Directory > Security > MFA > Getting started > Configure > Additional cloud-based MFA settings. Откроется новое окно или вкладка с дополнительными параметрами службы .A new window or tab opens with additional service settings options.

Надежные IP-адресаTrusted IPs

Функция надежных IP-адресов в многофакторной идентификации Azure обходит запросы многофакторной проверки подлинности для пользователей, которые входят в определенный диапазон IP-адресов.The Trusted IPs feature of Azure Multi-Factor Authentication bypasses multi-factor authentication prompts for users who sign in from a defined IP address range. Вы можете задать диапазоны доверенных IP-адресов для локальных сред, чтобы пользователи в одном из этих расположений не запрашивали многофакторную идентификацию Azure.You can set trusted IP ranges for your on-premises environments to when users are in one of those locations, there's no Azure Multi-Factor Authentication prompt.

Примечание

Надежные IP-адреса могут включать диапазоны частных адресов только при использовании сервера MFA.The trusted IPs can include private IP ranges only when you use MFA Server. Для облачной многофакторной идентификации Azure можно использовать только диапазоны общедоступных IP-адресов.For cloud-based Azure Multi-Factor Authentication, you can only use public IP address ranges.

Диапазоны IPv6 поддерживаются только в интерфейсе именованного расположения (Предварительная версия) .IPv6 ranges are only supported in the Named location (preview) interface.

Если ваша организация развертывает расширение NPS для обеспечения Многофакторной идентификации локальных приложений, то имейте ввиду, что IP-адресом источника всегда будет адрес NPS-сервера, через который выполняется попытка аутентификации.If your organization deploys the NPS extension to provide MFA to on-premises applications note the source IP address will always appear to be the NPS server the authentication attempt flows through.

Тип клиента Azure ADAzure AD tenant type Параметры доверенных IP-адресовTrusted IP feature options
УправляемыеManaged Конкретный диапазон IP-адресов. Администраторы указывают диапазон IP-адресов, которые могут обходить многофакторную проверку подлинности для пользователей, выполняющих вход из интрасети компании.Specific range of IP addresses: Administrators specify a range of IP addresses that can bypass multi-factor authentication for users who sign in from the company intranet. Можно настроить не более 50 диапазонов доверенных IP-адресов.A maximum of 50 trusted IP ranges can be configured.
ФедеративныеFederated Все Федеративные пользователи. все Федеративные пользователи, которые входят внутри организации, могут обходить многофакторную проверку подлинности.All Federated Users: All federated users who sign in from inside of the organization can bypass multi-factor authentication. предоставляя утверждение, выданное службами федерации Active Directory (AD FS).The users bypass verification by using a claim that is issued by Active Directory Federation Services (AD FS).
Конкретный диапазон IP-адресов. Администраторы указывают диапазон IP-адресов, которые могут обходить многофакторную проверку подлинности для пользователей, выполняющих вход из интрасети компании.Specific range of IP addresses: Administrators specify a range of IP addresses that can bypass multi-factor authentication for users who sign in from the company intranet.

В этом случае доверенные IP-адреса работают только внутри интрасети компании.Trusted IP bypass works only from inside of the company intranet. Если выбрать параметр все Федеративные пользователи и пользователь входит за пределы интрасети компании, то пользователь должен пройти проверку подлинности с помощью многофакторной проверки подлинности.If you select the All Federated Users option and a user signs in from outside the company intranet, the user has to authenticate by using multi-factor authentication. даже если он предоставит утверждение AD FS.The process is the same even if the user presents an AD FS claim.

Взаимодействие с пользователем в пределах корпоративной сетиEnd-user experience inside of corpnet

Если функция надежных IP-адресов отключена, для потоков браузера требуется многофакторная проверка подлинности.When the trusted IPs feature is disabled, multi-factor authentication is required for browser flows. Пароли приложений требуются для более старых многофункциональных клиентских приложений.App passwords are required for older rich client applications.

При использовании надежных IP-адресов многофакторная проверка подлинности не требуется для потоков браузера.When trusted IPs are used, multi-factor authentication isn't required for browser flows. Пароли приложений не требуются для старых клиентских приложений с богатыми возможностями, если пользователь не создал пароль приложения.App passwords aren't required for older rich client applications, provided that the user hasn't created an app password. Если пароль приложения уже создан, он остается обязательным.After an app password is in use, the password remains required.

Условия для пользователей вне корпоративной сетиEnd-user experience outside corpnet

Независимо от того, определены ли доверенные IP-адреса, для потоков браузера требуется многофакторная проверка подлинности.Regardless of whether trusted IP are defined, multi-factor authentication is required for browser flows. Пароли приложений требуются для более старых многофункциональных клиентских приложений.App passwords are required for older rich client applications.

Включение именованных расположений с помощью условного доступаEnable named locations by using Conditional Access

Правила условного доступа можно использовать для определения именованных расположений, выполнив следующие действия.You can use Conditional Access rules to define named locations using the following steps:

  1. В портал Azure найдите и выберите Azure Active Directory, а затем перейдите к разделу Безопасность > Условный доступ > именованные расположения.In the Azure portal, search for and select Azure Active Directory, then browse to Security > Conditional Access > Named locations.
  2. Выберите Новое расположение.Select New location.
  3. Введите имя расположения.Enter a name for the location.
  4. Выберите Отметить как надежное расположение.Select Mark as trusted location.
  5. Введите диапазон IP-адресов в нотации CIDR для вашей среды, например 40.77.182.32/27.Enter the IP Range in CIDR notation for your environment, such as 40.77.182.32/27.
  6. Нажмите кнопку создания.Select Create.

Включение функции надежных IP-адресов с помощью условного доступаEnable the Trusted IPs feature by using Conditional Access

Чтобы включить надежные IP-адреса с помощью политик условного доступа, выполните следующие действия.To enable trusted IPs using Conditional Access policies, complete the following steps:

  1. В портал Azure найдите и выберите Azure Active Directory, а затем перейдите к разделу Безопасность > Условный доступ > именованные расположения.In the Azure portal, search for and select Azure Active Directory, then browse to Security > Conditional Access > Named locations.

  2. Выберите Настроить надежные IP-адреса MFA.Select Configure MFA trusted IPs.

  3. На странице Параметры службы в разделе Список надежных IP-адресов выберите один из следующих двух параметров:On the Service Settings page, under Trusted IPs, choose from any of the following two options:

    • For requests from federated users originating from my intranet (Для запросов от федеративных пользователей, исходящих из моей интрасети). Чтобы выбрать этот параметр, установите флажок.For requests from federated users originating from my intranet: To choose this option, select the check box. Все Федеративные пользователи, которые входят в корпоративную сеть, обходят многофакторную проверку подлинности с помощью утверждения, выданного AD FS.All federated users who sign in from the corporate network bypass multi-factor authentication by using a claim that is issued by AD FS. Убедитесь, что в службах AD FS установлено правило для добавления утверждение интрасети для соответствующего трафика.Ensure that AD FS has a rule to add the intranet claim to the appropriate traffic. Если правило не существует, создайте такое правило в AD FS:If the rule does not exist, create the following rule in AD FS:

      c:[Type== "http://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork"] => issue(claim = c);

    • For requests from a specific range of public IPs (Для запросов от определенного диапазона общедоступных IP-адресов). Чтобы выбрать этот параметр, введите IP-адреса в соответствующем текстовом поле в формате нотации CIDR.For requests from a specific range of public IPs: To choose this option, enter the IP addresses in the text box by using CIDR notation.

      • Для IP-адресов, которые находятся в диапазоне от xxx.xxx.xxx.1 до xxx.xxx.xxx.254, используйте такую нотацию, как xxx.xxx.xxx.0/24.For IP addresses that are in the range xxx.xxx.xxx.1 through xxx.xxx.xxx.254, use notation like xxx.xxx.xxx.0/24.
      • Для одного IP-адреса используйте такую нотацию: xxx.xxx.xxx.xxx/32.For a single IP address, use notation like xxx.xxx.xxx.xxx/32.
      • Можно ввести до 50 диапазонов IP-адресов.Enter up to 50 IP address ranges. Пользователи, которые входят с этих IP-адресов, обходят многофакторную проверку подлинности.Users who sign in from these IP addresses bypass multi-factor authentication.
  4. Щелкните Сохранить.Select Save.

Включение функции надежных IP-адресов с помощью параметров службыEnable the Trusted IPs feature by using service settings

Если вы не хотите использовать политики условного доступа для включения надежных IP-адресов, можно настроить Параметры службы для многофакторной идентификации Azure, выполнив следующие действия.If you don't want to use Conditional Access policies to enable trusted IPs, you can configure the service settings for Azure Multi-Factor Authentication using the following steps:

  1. В портал Azure найдите и выберите Azure Active Directory, а затем выберите Пользователи.In the Azure portal, search for and select Azure Active Directory, then choose Users.

  2. Выберите Многофакторная идентификация.Select Multi-Factor Authentication.

  3. В разделе "Многофакторная аутентификация" выберите Параметры службы.Under Multi-Factor Authentication, select service settings.

  4. На странице Параметры службы в разделе Доверенные IP-адреса выберите один из следующих двух параметров (или оба):On the Service Settings page, under Trusted IPs, choose one (or both) of the following two options:

    • For requests from federated users on my intranet (Для запросов от федеративных пользователей в моей интрасети). Чтобы выбрать этот параметр, установите флажок.For requests from federated users on my intranet: To choose this option, select the check box. Все Федеративные пользователи, которые входят в корпоративную сеть, обходят многофакторную проверку подлинности с помощью утверждения, выданного AD FS.All federated users who sign in from the corporate network bypass multi-factor authentication by using a claim that is issued by AD FS. Убедитесь, что в службах AD FS установлено правило для добавления утверждение интрасети для соответствующего трафика.Ensure that AD FS has a rule to add the intranet claim to the appropriate traffic. Если правило не существует, создайте такое правило в AD FS:If the rule does not exist, create the following rule in AD FS:

      c:[Type== "http://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork"] => issue(claim = c);

    • For requests from a specified range of IP address subnets (Для запросов от определенного диапазона IP-адресов подсети). Чтобы выбрать этот параметр, введите IP-адреса в соответствующем текстовом поле в формате нотации CIDR.For requests from a specified range of IP address subnets: To choose this option, enter the IP addresses in the text box by using CIDR notation.

      • Для IP-адресов, которые находятся в диапазоне от xxx.xxx.xxx.1 до xxx.xxx.xxx.254, используйте такую нотацию, как xxx.xxx.xxx.0/24.For IP addresses that are in the range xxx.xxx.xxx.1 through xxx.xxx.xxx.254, use notation like xxx.xxx.xxx.0/24.
      • Для одного IP-адреса используйте такую нотацию: xxx.xxx.xxx.xxx/32.For a single IP address, use notation like xxx.xxx.xxx.xxx/32.
      • Можно ввести до 50 диапазонов IP-адресов.Enter up to 50 IP address ranges. Пользователи, которые входят с этих IP-адресов, обходят многофакторную проверку подлинности.Users who sign in from these IP addresses bypass multi-factor authentication.
  5. Щелкните Сохранить.Select Save.

Методы проверкиVerification methods

Вы можете выбрать методы проверки, доступные для пользователей, на портале "Параметры службы".You can choose the verification methods that are available for your users in the service settings portal. Когда пользователи регистрируют свои учетные записи для MFA, они могут выбрать удобный метод проверки на основе включенных вами параметров.When your users enroll their accounts for Azure Multi-Factor Authentication, they choose their preferred verification method from the options that you have enabled. Руководство по процессу регистрации пользователей приведено в статье Настройка учетной записи для многофакторной проверки подлинности.Guidance for the user enrollment process is provided in Set up my account for multi-factor authentication.

Доступны следующие методы проверки:The following verification methods are available:

МетодMethod ОписаниеDescription
Звонок на телефонCall to phone На телефон осуществляется автоматический голосовой вызов.Places an automated voice call. Для проверки подлинности пользователь отвечает на вызов и нажимает кнопку # на клавиатуре телефона.The user answers the call and presses # in the phone keypad to authenticate. Этот номер телефона не синхронизируется в локальной службе Active Directory.The phone number is not synchronized to on-premises Active Directory.
SMS на телефонText message to phone На телефон приходит текстовое сообщение с кодом проверки.Sends a text message that contains a verification code. Пользователю предлагается ввести код проверки в интерфейсе входа.The user is prompted to enter the verification code into the sign-in interface. Этот процесс предусматривает отправку одностороннего текстового сообщения.This process is called one-way SMS. При использовании двустороннего текстового сообщения пользователь должен отправить ответ с определенным кодом.Two-way SMS means that the user must text back a particular code. Двустороннее SMS является устаревшим и не будет поддерживаться после 14 ноября 2018 года.Two-way SMS is deprecated and not supported after November 14, 2018. Администраторы должны активировать другой способ для пользователей, которые ранее использовали двусторонний обмен СМС.Administrators should enable another method for users who previously used two-way SMS.
Уведомление в мобильном приложенииNotification through mobile app Отправляется push-уведомление на телефон или зарегистрированное устройство.Sends a push notification to your phone or registered device. Пользователь просматривает уведомление и выбирает Проверить, чтобы выполнить проверку.The user views the notification and selects Verify to complete verification. Приложение Microsoft Authenticator доступно для Windows Phone, Android и iOS.The Microsoft Authenticator app is available for Windows Phone, Android, and iOS.
Код проверки из мобильного приложения или токен оборудованияVerification code from mobile app or hardware token Приложение Microsoft Authenticator создает код проверки OATH каждые 30 секунд.The Microsoft Authenticator app generates a new OATH verification code every 30 seconds. Пользователь вводит этот код проверки в интерфейсе входа.The user enters the verification code into the sign-in interface. Приложение Microsoft Authenticator доступно для Windows Phone, Android и iOS.The Microsoft Authenticator app is available for Windows Phone, Android, and iOS.

Дополнительные сведения см . в статье какие методы проверки подлинности и проверки доступны в Azure AD?For more information, see What authentication and verification methods are available in Azure AD?

Включение и отключение способов проверки подлинностиEnable and disable verification methods

Чтобы включить или отключить методы проверки, выполните следующие действия.To enable or disable verification methods, complete the following steps:

  1. В портал Azure найдите и выберите Azure Active Directory, а затем выберите Пользователи.In the Azure portal, search for and select Azure Active Directory, then choose Users.
  2. Выберите Многофакторная идентификация.Select Multi-Factor Authentication.
  3. В разделе "Многофакторная аутентификация" выберите Параметры службы.Under Multi-Factor Authentication, select service settings.
  4. На странице Параметры службы в разделе Параметры проверки выберите или отмените выбор методов, предоставляемых пользователям.On the Service Settings page, under verification options, select/unselect the methods to provide to your users.
  5. Выберите команду Сохранить.Click Save.

Сохранение данных многофакторной идентификацииRemember Multi-Factor Authentication

Функция " Запомнить многофакторную проверку подлинности " позволяет пользователям обходить последующие проверки в течение указанного числа дней после успешного входа на устройство с помощью многофакторной проверки подлинности.The remember Multi-Factor Authentication feature lets users can bypass subsequent verifications for a specified number of days, after they've successfully signed-in to a device by using Multi-Factor Authentication. Чтобы повысить удобство использования и максимально увеличить число попыток пользователя выполнить MFA на одном устройстве, выберите длительность в 90 дней или более.To enhance usability and minimize the number of times a user has to perform MFA on the same device, select a duration of 90 days or more.

Важно!

Если учетная запись или устройство скомпрометированы, запоминание данных MFA для доверенных устройств может повлиять на безопасность.If an account or device is compromised, remembering Multi-Factor Authentication for trusted devices can affect security. В случае потери доверенного устройства или компрометации учетной записи организации следует отозвать сеансы MFA.If a corporate account becomes compromised or a trusted device is lost or stolen, you should Revoke MFA Sessions.

Действие восстановления отменяет состояние доверия со всех устройств, а пользователь должен повторно выполнять многофакторную проверку подлинности.The restore action revokes the trusted status from all devices, and the user is required to perform multi-factor authentication again. Вы также можете подать пользователям возможность восстановить многофакторную проверку подлинности на своих устройствах, как указано в меню Управление параметрами для многофакторной проверки подлинности.You can also instruct your users to restore Multi-Factor Authentication on their own devices as noted in Manage your settings for multi-factor authentication.

Как работает функцияHow the feature works

Функция запоминания данных многофакторной проверки подлинности добавляет в браузер постоянный файл cookie, когда пользователь во время входа выбирает вариант Don't ask again for X days (Больше не спрашивать X дн.).The remember Multi-Factor Authentication feature sets a persistent cookie on the browser when a user selects the Don't ask again for X days option at sign-in. До истечения срока действия файла cookie многофакторная проверка подлинности из этого же браузера не будет запрашиваться.The user isn't prompted again for Multi-Factor Authentication from that same browser until the cookie expires. Если пользователь на том же устройстве откроет другой браузер или очистит файлы cookie, запрос на проверку отобразится снова.If the user opens a different browser on the same device or clears their cookies, they're prompted again to verify.

Вариант Don't ask again for X days (Больше не спрашивать X дн.) не отображается в небраузерных приложениях независимо от того, поддерживает ли приложение современную проверку подлинности.The Don't ask again for X days option isn't shown on non-browser applications, regardless of whether the app supports modern authentication. Эти приложения используют токены обновления, которые предоставляют новые маркеры доступа каждый час.These apps use refresh tokens that provide new access tokens every hour. При проверке маркера обновления Azure AD проверяет, что последняя многофакторная проверка подлинности выполнена в течение указанного числа дней.When a refresh token is validated, Azure AD checks that the last multi-factor authentication occurred within the specified number of days.

Функция сокращает количество проверок подлинности в веб-приложениях, которые обычно запрашиваются каждый раз.The feature reduces the number of authentications on web apps, which normally prompt every time. Функция может увеличить число проверок подлинности для современных клиентов проверки подлинности, которые обычно запрашивают каждые 90 дней, если настроена меньшая длительность.The feature can increase the number of authentications for modern authentication clients that normally prompt every 90 days, if a lower duration is configured. Кроме того, она увеличивает количество операций аутентификации при использовании с политиками условного доступа.May also increase the number of authentications when combined with Conditional Access policies.

Важно!

Функция " Запомнить многофакторную проверку подлинности " несовместима с функцией " оставаться в системе" AD FS, когда пользователи выполняют многофакторную проверку подлинности для AD FS с помощью Azure сервер многофакторной идентификации или решения многофакторной идентификации стороннего производителя.The remember Multi-Factor Authentication feature isn't compatible with the keep me signed in feature of AD FS, when users perform multi-factor authentication for AD FS through Azure Multi-Factor Authentication Server or a third-party multi-factor authentication solution.

Если пользователи решили оставаться в системе AD FS, а также пометить устройство как доверенное для многофакторной проверки подлинности, пользователь не проверяется автоматически после истечения срока действия запоминания многофакторной проверки подлинности.If your users select keep me signed in on AD FS and also mark their device as trusted for Multi-Factor Authentication, the user isn't automatically verified after the remember multi-factor authentication number of days expires. Azure AD запрашивает новую многофакторную проверку подлинности, но AD FS возвращает маркер с исходным утверждением и датой многофакторной проверки подлинности, а не выполняет многофакторную проверку подлинности.Azure AD requests a fresh multi-factor authentication, but AD FS returns a token with the original Multi-Factor Authentication claim and date, rather than performing multi-factor authentication again. Эта реакция отключает цикл проверки между AAD и AD FS.This reaction sets off a verification loop between Azure AD and AD FS.

Функция Запомнить многофакторную идентификацию несовместима с пользователями B2B и не отображается для пользователей B2B при входе в приглашенные клиенты.The remember Multi-Factor Authentication feature is not compatible with B2B users and will not be visible for B2B users when signing into the invited tenants.

Включение запоминания данных многофакторной проверки подлинностиEnable remember Multi-Factor Authentication

Чтобы включить и настроить для пользователей возможность запоминать состояние MFA и запросы обхода, выполните следующие действия.To enable and configure the option for users to remember their MFA status and bypass prompts, complete the following steps:

  1. В портал Azure найдите и выберите Azure Active Directory, а затем выберите Пользователи.In the Azure portal, search for and select Azure Active Directory, then choose Users.
  2. Выберите Многофакторная идентификация.Select Multi-Factor Authentication.
  3. В разделе "Многофакторная аутентификация" выберите Параметры службы.Under Multi-Factor Authentication, select service settings.
  4. На странице Параметры службы в разделе Запомнить многофакторную проверку подлинностивыберите параметр Разрешить пользователям запомнить многофакторную проверку подлинности на устройствах, которым они доверяют .On the Service Settings page, under remember multi-factor authentication, select the Allow users to remember multi-factor authentication on devices they trust option.
  5. Задайте число дней, в течение которых Доверенные устройства должны обходить многофакторную проверку подлинности.Set the number of days to allow trusted devices to bypass multi-factor authentication. Для оптимального взаимодействия с пользователем Увеличьте продолжительность до 90 или более дней.For the optimal user experience, extend the duration to 90 or more days.
  6. Щелкните Сохранить.Select Save.

Пометка устройства как доверенногоMark a device as trusted

После включения функции "запомнить многофакторную проверку подлинности" пользователи могут помечать устройства как доверенные при входе, установив флажок больше не спрашивать.After you enable the remember Multi-Factor Authentication feature, users can mark a device as trusted when they sign in by selecting the option for Don't ask again.

Дальнейшие шагиNext steps

Дополнительные сведения о доступных методах для использования в службе многофакторной идентификации Azure см . в статье какие методы проверки подлинности и проверки доступны в Azure Active Directory?To learn more about the available methods for use in Azure Multi-Factor Authentication, see What authentication and verification methods are available in Azure Active Directory?