Архивировать для новых возможностей Azure Active Directory?Archive for What's new in Azure Active Directory?

В статье заметки о выпуске , посвященной основным новинкам Azure Active Directory? содержатся обновления за последние шесть месяцев, а в этой статье содержатся все более старые сведения.The primary What's new in Azure Active Directory? release notes article contains updates for the last six months, while this article contains all the older information.

Новые возможности в Azure Active Directory Заметки о выпуске содержат следующие сведения:The What's new in Azure Active Directory? release notes provide information about:

  • Последние выпуски.The latest releases
  • Известные проблемыKnown issues
  • Исправления ошибокBug fixes
  • Нерекомендуемые функции.Deprecated functionality
  • Планы по изменениям.Plans for changes

Апрель 2019 г.April 2019

Новое обнаружение аналитики угроз Azure AD теперь доступно в составе защита идентификации Azure ADNew Azure AD threat intelligence detection is now available as part of Azure AD Identity Protection

Тип. Новая функция.Type: New feature
Категория службы: защита идентификации Azure ADService category: Azure AD Identity Protection
Возможности продукта. Безопасность и защита удостоверений.Product capability: Identity Security & Protection

Обнаружение аналитики угроз Azure AD теперь доступно в составе обновленной защита идентификации Azure AD функции.Azure AD threat intelligence detection is now available as part of the updated Azure AD Identity Protection feature. Эта новая функция позволяет указать необычные действия пользователя для конкретного пользователя или действия, которые соответствуют известным шаблонам атак, основанным на внутренних и внешних источниках анализа угроз Майкрософт.This new functionality helps to indicate unusual user activity for a specific user or activity that’s consistent with known attack patterns based on Microsoft’s internal and external threat intelligence sources.

Дополнительные сведения о обновленной версии защита идентификации Azure AD см. в блоге, посвященном четырем усовершенствованиям Защита идентификации Azure AD , а также о том, что защита идентификации Azure Active Directory (Обновлено)?For more information about the refreshed version of Azure AD Identity Protection, see the Four major Azure AD Identity Protection enhancements are now in public preview blog and the What is Azure Active Directory Identity Protection (refreshed)? рассмотрен.article. Дополнительные сведения об обнаружении аналитики угроз в Azure AD см. в статье Защита идентификации Azure Active Directory обнаружения рисков .For more information about Azure AD threat intelligence detection, see the Azure Active Directory Identity Protection risk detections article.


Теперь доступно управление назначениями Azure AD (общедоступная Предварительная версия)Azure AD entitlement management is now available (Public preview)

Тип. Новая функция.Type: New feature
Категория службы: Управление удостоверениямиService category: Identity Governance
Возможности продукта: Управление удостоверениямиProduct capability: Identity Governance

Управление назначением Azure AD теперь в общедоступной предварительной версии помогает клиентам делегировать управление пакетами доступа, которые определяют, как сотрудники и бизнес-партнеры могут запрашивать доступ, кто должен утверждать и как долго они имеют доступ.Azure AD entitlement management, now in public preview, helps customers to delegate management of access packages, which defines how employees and business partners can request access, who must approve, and how long they have access. Пакеты доступа могут управлять членством в группах Azure AD и Office 365, назначениями ролей в корпоративных приложениях и назначениями ролей для сайтов SharePoint Online.Access packages can manage membership in Azure AD and Office 365 groups, role assignments in enterprise applications, and role assignments for SharePoint Online sites. Дополнительные сведения об управлении обслуживанием см. в статье Обзор управления назначением Azure AD.Read more about entitlement management at the overview of Azure AD entitlement management. Дополнительные сведения о Azure AD Identity Governanceных функциях, в том числе управление привилегированными пользователями, проверках доступа и условиях использования, см. в статье что такое Azure AD Identity Governance?.To learn more about the breadth of Azure AD Identity Governance features, including Privileged Identity Management, access reviews and terms of use, see What is Azure AD Identity Governance?.


Настройка политики именования для групп Office 365 на портале Azure AD (общедоступная Предварительная версия)Configure a naming policy for Office 365 groups in Azure AD portal (Public preview)

Тип. Новая функция.Type: New feature
Категория службы. Управление группами.Service category: Group Management
Возможности продукта. Совместная работа.Product capability: Collaboration

Теперь администраторы могут настроить политику именования для групп Office 365 с помощью портала Azure AD.Administrators can now configure a naming policy for Office 365 groups, using the Azure AD portal. Это изменение помогает обеспечить соответствие соглашений об именовании для групп Office 365, созданных или измененных пользователями в Организации.This change helps to enforce consistent naming conventions for Office 365 groups created or edited by users in your organization.

Политику именования для групп Office 365 можно настроить двумя разными способами.You can configure naming policy for Office 365 groups in two different ways:

  • Определите префиксы или суффиксы, которые автоматически добавляются в имя группы.Define prefixes or suffixes, which are automatically added to a group name.

  • Отправка настроенного набора заблокированных слов для Организации, которые не разрешены в именах групп (например, "Исполнительный директор, зарплата, HR").Upload a customized set of blocked words for your organization, which are not allowed in group names (for example, “CEO, Payroll, HR”).

Дополнительные сведения см. в разделе принудительная политика именования для групп Office 365.For more information, see Enforce a Naming Policy for Office 365 groups.


Журналы действий Azure AD теперь доступны в Azure Monitor (общая доступность)Azure AD Activity logs are now available in Azure Monitor (General availability)

Тип. Новая функция.Type: New feature
Категория службы. Отчеты.Service category: Reporting
Возможности продукта. Мониторинг и отчетность.Product capability: Monitoring & Reporting

Чтобы помочь устранить ваши отзывы о визуализациях с помощью журналов действий Azure AD, мы представляем новую функцию Insights в Log Analytics.To help address your feedback about visualizations with the Azure AD Activity logs, we're introducing a new Insights feature in Log Analytics. Эта функция позволяет получить представление о ресурсах Azure AD с помощью наших интерактивных шаблонов, называемых книгами.This feature helps you gain insights about your Azure AD resources by using our interactive templates, called Workbooks. Эти предварительно созданные книги могут предоставлять сведения для приложений и пользователей, а также включать:These pre-built Workbooks can provide details for apps or users, and include:

  • Входы в систему. Содержит сведения о приложениях и пользователях, включая расположение для входа, используемую версию операционной системы или клиента браузера, а также количество успешных или неудачных входов.Sign-ins. Provides details for apps and users, including sign-in location, the in-use operating system or browser client and version, and the number of successful or failed sign-ins.

  • Устаревшая проверка подлинности и условный доступ.Legacy authentication and Conditional Access. Предоставляет сведения для приложений и пользователей, использующих устаревшую проверку подлинности, включая использование многофакторной идентификации, активируемое политиками условного доступа, приложениями, использующими политики условного доступа, и т. д.Provides details for apps and users using legacy authentication, including Multi-Factor Authentication usage triggered by Conditional Access policies, apps using Conditional Access policies, and so on.

  • Анализ сбоев при входе.Sign-in failure analysis. Помогает определить, возникают ли ошибки при входе в систему из-за действий пользователя, проблем с политиками или инфраструктуры.Helps you to determine if your sign-in errors are occurring due to a user action, policy issues, or your infrastructure.

  • Пользовательские отчеты.Custom reports. Вы можете создать или изменить существующие книги, чтобы настроить функцию Insights для вашей организации.You can create new, or edit existing Workbooks to help customize the Insights feature for your organization.

Дополнительные сведения см. в разделе Использование книг Azure Monitor для Azure Active Directory отчетов.For more information, see How to use Azure Monitor workbooks for Azure Active Directory reports.


Тип. Новая функция.Type: New feature
Категория службы. Корпоративные приложения.Service category: Enterprise Apps
Возможности продукта. Интеграция с решениями сторонних производителей.Product capability: 3rd Party Integration

В апреле 2019 мы добавили 21 новые приложения с поддержкой Федерации в коллекцию приложений:In April 2019, we've added these 21 new apps with Federation support to the app gallery:

SAP Fiori, хрворкс Single Sign-On, Перколате, мобиконтрол, Citrix NetScaler, Шибуми, бенчлинг, милеик, пажедна, едубрите LMS, RStudio Connect , AMM, Мител Connect, Алибаба Cloud (единый вход на основе ролей), Управление капиталом цертент, сектиго Certificate Manager, гринорбит, воркгрид, Monday.com, SurveyMonkey Enterprise, индиггоSAP Fiori, HRworks Single Sign-On, Percolate, MobiControl, Citrix NetScaler, Shibumi, Benchling, MileIQ, PageDNA, EduBrite LMS, RStudio Connect, AMMS, Mitel Connect, Alibaba Cloud (Role-based SSO), Certent Equity Management, Sectigo Certificate Manager, GreenOrbit, Workgrid, monday.com, SurveyMonkey Enterprise, Indiggo

Дополнительные сведения об этих приложениях см. в статье Интеграция приложений SaaS с Azure Active Directory.For more information about the apps, see SaaS application integration with Azure Active Directory. Дополнительные сведения о том, как добавить приложение в коллекцию приложений Azure AD см. в этой статье.For more information about listing your application in the Azure AD app gallery, see List your application in the Azure Active Directory application gallery.


Новый параметр частоты проверок доступа и выбор нескольких ролейNew access reviews frequency option and multiple role selection

Тип. Новая функция.Type: New feature
Категория службы. Проверка доступа.Service category: Access Reviews
Возможности продукта: Управление удостоверениямиProduct capability: Identity Governance

Новые обновления в проверках доступа Azure AD позволяют:New updates in Azure AD access reviews allow you to:

  • Изменяйте частоту проверок доступа в два раза в год, помимо ранее существующих параметров еженедельно, ежемесячно, ежеквартально и ежегодно.Change the frequency of your access reviews to semi-annually, in addition to the previously existing options of weekly, monthly, quarterly, and annually.

  • При создании одной проверки доступа выберите несколько ролей ресурсов Azure AD и Azure.Select multiple Azure AD and Azure resource roles when creating a single access review. В этом случае все роли настроены с одинаковыми параметрами, и все рецензенты будут уведомлены одновременно.In this situation, all roles are set up with the same settings and all reviewers are notified at the same time.

Дополнительные сведения о создании проверки доступа см. в статье Создание проверки доступа для групп или приложений в проверках доступа Azure AD.For more information about how to create an access review, see Create an access review of groups or applications in Azure AD access reviews.


Системы оповещений по электронной почте Azure AD Connect переносятся, отправляя новые сведения об отправителе по электронной почте для некоторых клиентов.Azure AD Connect email alert system(s) are transitioning, sending new email sender information for some customers

Тип. Измененная функция.Type: Changed feature
Категория службы. AD Sync.Service category: AD Sync
Возможности продукта. Платформа.Product capability: Platform

Azure AD Connect находится в процессе переноса системы предупреждений электронной почты, потенциально показывая некоторым клиентам новый отправитель электронной почты.Azure AD Connect is in the process of transitioning our email alert system(s), potentially showing some customers a new email sender. Чтобы решить эту эту проблемы, необходимо добавить azure-noreply@microsoft.com в список разрешений вашей организации или продолжить получение важных оповещений из Office 365, Azure или ваших служб синхронизации.To address this, you must add azure-noreply@microsoft.com to your organization's allow list or you won't be able to continue receiving important alerts from your Office 365, Azure, or your Sync services.


Изменения суффикса имени участника-пользователя теперь успешно выполнены между федеративными доменами в Azure AD ConnectUPN suffix changes are now successful between Federated domains in Azure AD Connect

Тип. Исправление.Type: Fixed
Категория службы. AD Sync.Service category: AD Sync
Возможности продукта. Платформа.Product capability: Platform

Теперь вы можете успешно изменить суффикс имени участника-пользователя из одного федеративного домена на другой федеративный домен в Azure AD Connect.You can now successfully change a user's UPN suffix from one Federated domain to another Federated domain in Azure AD Connect. Это исправление означает, что в течение цикла синхронизации больше не будет появляться сообщение об ошибке FederatedDomainChangeError или вы получите уведомление по электронной почте "не удалось обновить этот объект в Azure Active Directory, поскольку атрибут [ Федератедусер. UserPrincipalName], является недопустимым.This fix means you should no longer experience the FederatedDomainChangeError error message during the synchronization cycle or receive a notification email stating, "Unable to update this object in Azure Active Directory, because the attribute [FederatedUser.UserPrincipalName], is not valid. Обновите значение в локальных службах каталогов.Update the value in your local directory services".

Дополнительные сведения см. в разделе Устранение ошибок во время синхронизации.For more information, see Troubleshooting Errors during synchronization.


Повышенная безопасность с помощью политики условного доступа на основе защиты приложений в Azure AD (общедоступная Предварительная версия)Increased security using the app protection-based Conditional Access policy in Azure AD (Public preview)

Тип. Новая функция.Type: New feature
Категория службы. Условный доступ.Service category: Conditional Access
Возможности продукта. Безопасность и защита удостоверений.Product capability: Identity Security & Protection

Условный доступ на основе защиты приложений теперь доступен с помощью политики " требуется политика защиты приложений ".App protection-based Conditional Access is now available by using the Require app protection policy. Эта новая политика позволяет повысить безопасность вашей организации, помогая предотвратить следующее:This new policy helps to increase your organization's security by helping to prevent:

  • Пользователи получают доступ к приложениям без лицензии Microsoft Intune.Users gaining access to apps without a Microsoft Intune license.

  • Пользователи не могут получить политику защиты приложений Microsoft Intune.Users being unable to get a Microsoft Intune app protection policy.

  • Пользователи получают доступ к приложениям без настроенной политики защиты приложений Microsoft Intune.Users gaining access to apps without a configured Microsoft Intune app protection policy.

Дополнительные сведения см. в разделе как требовать политику защиты приложений для облачного доступа к приложениям с помощью условного доступа.For more information, see How to Require app protection policy for cloud app access with Conditional Access.


Новая поддержка единого входа и условного доступа Azure AD в Microsoft ребр (общедоступная Предварительная версия)New support for Azure AD single sign-on and Conditional Access in Microsoft Edge (Public preview)

Тип. Новая функция.Type: New feature
Категория службы. Условный доступ.Service category: Conditional Access
Возможности продукта. Безопасность и защита удостоверений.Product capability: Identity Security & Protection

Мы улучшили поддержку Azure AD для Microsoft ребра, включая предоставление новой поддержки единого входа и условного доступа Azure AD.We've enhanced our Azure AD support for Microsoft Edge, including providing new support for Azure AD single sign-on and Conditional Access. Если вы ранее использовали Microsoft Intune Managed Browser, теперь можно использовать Microsoft ребро.If you've previously used Microsoft Intune Managed Browser, you can now use Microsoft Edge instead.

Дополнительные сведения о настройке устройств и приложений, а также об управлении ими с помощью условного доступа см. в статьях использование управляемых устройств для доступа к облачным приложениям с помощью условного доступа и требование утвержденных клиентских приложений для доступа к облачным приложениям с помощью условного доступа .For more information about setting up and managing your devices and apps using Conditional Access, see Require managed devices for cloud app access with Conditional Access and Require approved client apps for cloud app access with Conditional Access. Дополнительные сведения об управлении доступом с помощью Microsoft ребра с Microsoft Intune политиками см. в разделе Управление доступом в Интернет с помощью Microsoft Intune браузера, защищенного политикой.For more information about how to manage access using Microsoft Edge with Microsoft Intune policies, see Manage Internet access using a Microsoft Intune policy-protected browser.


Март 2019 г.March 2019

Инфраструктура процедур идентификации и поддержка настраиваемых политик в Azure Active Directory B2C теперь доступны (GA)Identity Experience Framework and custom policy support in Azure Active Directory B2C is now available (GA)

Тип. Новая функция.Type: New feature
Категория службы. B2C — управление удостоверениями клиентов.Service category: B2C - Consumer Identity Management
Возможности продукта. B2B и B2C.Product capability: B2B/B2C

Теперь можно создавать пользовательские политики в Azure AD B2C, включая следующие задачи, которые поддерживаются в масштабе и в рамках соглашения об уровне обслуживания Azure.You can now create custom policies in Azure AD B2C, including the following tasks, which are supported at-scale and under our Azure SLA:

  • Создайте и отправьте пользовательские пути проверки подлинности с помощью настраиваемых политик.Create and upload custom authentication user journeys by using custom policies.

  • Поэтапно описывать пути взаимодействия пользователя для обмена данными между поставщиками удостоверений.Describe user journeys step-by-step as exchanges between claims providers.

  • Определять условные ветвления путей взаимодействия пользователей.Define conditional branching in user journeys.

  • Преобразуйте и сопоставьте утверждения для использования в решениях и обмене данными в режиме реального времени.Transform and map claims for use in real-time decisions and communications.

  • Используйте службы с поддержкой REST API в пользовательских путях проверки подлинности.Use REST API-enabled services in your custom authentication user journeys. Например, с поставщиками электронной почты, Крмс и собственными системами авторизации.For example, with email providers, CRMs, and proprietary authorization systems.

  • Федерацию с поставщиками удостоверений, которые соответствуют протоколу OpenIDConnect.Federate with identity providers who are compliant with the OpenIDConnect protocol. Например, с несколькими клиентами Azure AD, поставщиками учетных записей социальных сетей или поставщиками двухфакторной проверки.For example, with multi-tenant Azure AD, social account providers, or two-factor verification providers.

Дополнительные сведения о создании настраиваемых политик см. в статье заметки разработчика для пользовательских политик в Azure Active Directory B2C и прочитайте запись блога о Simonах Алекс, включая примеры использования.For more information about creating custom policies, see Developer notes for custom policies in Azure Active Directory B2C and read Alex Simon’s blog post, including case studies.


Тип. Новая функция.Type: New feature
Категория службы. Корпоративные приложения.Service category: Enterprise Apps
Возможности продукта. Интеграция с решениями сторонних производителей.Product capability: 3rd Party Integration

В марте 2019 мы добавили 14 новых приложений с поддержкой Федерации в коллекцию приложений:In March 2019, we've added these 14 new apps with Federation support to the app gallery:

Делегат ISEC7 Mobile Exchange, MediusFlow, ePlatform, Fulcrum, ExcelityGlobal, система аудита на основе объяснений, экономичный, Powerschool Performance Matters, Cinode, интрасети Iris, Empactis, SmartDraw, Confirmit Horizons, TASISEC7 Mobile Exchange Delegate, MediusFlow, ePlatform, Fulcrum, ExcelityGlobal, Explanation-Based Auditing System, Lean, Powerschool Performance Matters, Cinode, Iris Intranet, Empactis, SmartDraw, Confirmit Horizons, TAS

Дополнительные сведения об этих приложениях см. в статье Интеграция приложений SaaS с Azure Active Directory.For more information about the apps, see SaaS application integration with Azure Active Directory. Дополнительные сведения о том, как добавить приложение в коллекцию приложений Azure AD см. в этой статье.For more information about listing your application in the Azure AD app gallery, see List your application in the Azure Active Directory application gallery.


Тип. Новая функция.Type: New feature
Категория службы. Подготовка приложений.Service category: App Provisioning
Возможности продукта. Интеграция с решениями сторонних производителей.Product capability: 3rd Party Integration

Автоматизируйте создание, обновление и удаление учетных записей пользователей для следующих приложений:Automate creating, updating, and deleting user accounts for the following apps:

Zscaler, Zscaler Beta, Zscaler 1, Zscaler 2, Zscaler 3, Zscaler ZSCloud, Atlassian CloudZscaler, Zscaler Beta, Zscaler One, Zscaler Two, Zscaler Three, Zscaler ZSCloud, Atlassian Cloud

Дополнительные сведения о том, как лучше защитить организацию с помощью автоматической подготовки учетных записей пользователей, см. в статье Автоматизация подготовки пользователей в приложениях SaaS с помощью Azure AD.For more information about how to better secure your organization through automated user account provisioning, see Automate user provisioning to SaaS applications with Azure AD.


Восстановление удаленных групп Office 365 и управление ими на портале Azure ADRestore and manage your deleted Office 365 groups in the Azure AD portal

Тип. Новая функция.Type: New feature
Категория службы. Управление группами.Service category: Group Management
Возможности продукта. Совместная работа.Product capability: Collaboration

Теперь вы можете просматривать удаленные группы Office 365 и управлять ими с помощью портала Azure AD.You can now view and manage your deleted Office 365 groups from the Azure AD portal. Это изменение позволяет узнать, какие группы доступны для восстановления, а также как окончательно удалить все группы, которые не нужны в Организации.This change helps you to see which groups are available to restore, along with letting you permanently delete any groups that aren’t needed by your organization.

Дополнительные сведения см. в разделе Восстановление просроченных или удаленных групп.For more information, see Restore expired or deleted groups.


Единый вход теперь доступен для локальных приложений Azure AD, защищенных с помощью SAML, через прокси приложения (общедоступная Предварительная версия)Single sign-on is now available for Azure AD SAML-secured on-premises apps through Application Proxy (public preview)

Тип. Новая функция.Type: New feature
Категория службы. Прокси-сервер приложения.Service category: App Proxy
Возможность продукта. Контроль доступа.Product capability: Access Control

Теперь вы можете предоставить возможность единого входа (SSO) для локальных приложений, прошедших проверку подлинности с помощью SAML, а также удаленный доступ к этим приложениям через прокси приложения.You can now provide a single sign-on (SSO) experience for on-premises, SAML-authenticated apps, along with remote access to these apps through Application Proxy. Дополнительные сведения о настройке единого входа SAML с помощью локальных приложений см. в статье единый вход SAML для локальных приложений с помощью прокси приложения (Предварительная версия).For more information about how to set up SAML SSO with your on-premises apps, see SAML single sign-on for on-premises applications with Application Proxy (Preview).


Клиентские приложения в циклах запросов будут прерываться для повышения надежности и удобства работы пользователей.Client apps in request loops will be interrupted to improve reliability and user experience

Тип. Новая функция.Type: New feature
Категория службы. Проверки подлинности (имена входа).Service category: Authentications (Logins)
Возможности продукта. Проверка подлинности пользователей.Product capability: User Authentication

Клиентские приложения могут неправильно выдавать сотни одних и тех же запросов на вход в течение короткого периода времени.Client apps can incorrectly issue hundreds of the same login requests over a short period of time. Эти запросы, будь то успех или нет, все способствуют снижению пользовательского интерфейса и повышенной рабочей нагрузке для IDP, увеличению задержки для всех пользователей и уменьшению доступности IDP.These requests, whether they're successful or not, all contribute to a poor user experience and heightened workloads for the IDP, increasing latency for all users and reducing the availability of the IDP.

Это обновление отправляет ошибку invalid_grant: AADSTS50196: The server terminated an operation because it encountered a loop while processing a request клиентским приложениям, которые несколько раз выдают дублирующиеся запросы в течение короткого периода времени, помимо области обычной работы.This update sends an invalid_grant error: AADSTS50196: The server terminated an operation because it encountered a loop while processing a request to client apps that issue duplicate requests multiple times over a short period of time, beyond the scope of normal operation. Клиентские приложения, которые сталкиваются с этой проблемой, должны показывать интерактивный запрос, что требует от пользователя повторного входа.Client apps that encounter this issue should show an interactive prompt, requiring the user to sign in again. Дополнительные сведения об этом изменении и о том, как исправить приложение при возникновении этой ошибки, см. в разделе новые возможности проверки подлинности.For more information about this change and about how to fix your app if it encounters this error, see What's new for authentication?.


Теперь доступны новые журналы аудита взаимодействие с пользователемNew Audit Logs user experience now available

Тип. Измененная функция.Type: Changed feature
Категория службы. Отчеты.Service category: Reporting
Возможности продукта. Мониторинг и отчетность.Product capability: Monitoring & Reporting

Мы создали новую страницу журналов аудита Azure AD, которая поможет улучшить удобочитаемость и способ поиска информации.We've created a new Azure AD Audit logs page to help improve both readability and how you search for your information. Чтобы открыть страницу "новые журналы аудита ", выберите журналы аудита в разделе действие в Azure AD.To see the new Audit logs page, select Audit logs in the Activity section of Azure AD.

Страница «Создание журналов аудита» с примерами сведений

Дополнительные сведения о новых журналах аудита см. в разделе отчеты о действиях аудита на портале Azure Active Directory.For more information about the new Audit logs page, see Audit activity reports in the Azure Active Directory portal.


Новые предупреждения и рекомендации по предотвращению случайной блокировки администратора от неправильно настроенных политик условного доступаNew warnings and guidance to help prevent accidental administrator lockout from misconfigured Conditional Access policies

Тип. Измененная функция.Type: Changed feature
Категория службы. Условный доступ.Service category: Conditional Access
Возможности продукта. Безопасность и защита удостоверений.Product capability: Identity Security & Protection

Чтобы предотвратить случайную блокирование пользователями собственных клиентов через неправильно настроенные политики условного доступа, мы создали новые предупреждения и обновленные инструкции в портал Azure.To help prevent administrators from accidentally locking themselves out of their own tenants through misconfigured Conditional Access policies, we've created new warnings and updated guidance in the Azure portal. Дополнительные сведения о новых руководствах см. в разделе что такое зависимости служб в Azure Active Directory условном доступе.For more information about the new guidance, see What are service dependencies in Azure Active Directory Conditional Access.


Улучшенные условия использования функций для конечных пользователей на мобильных устройствахImproved end-user terms of use experiences on mobile devices

Тип. Измененная функция.Type: Changed feature
Категория службы. Условия использования.Service category: Terms of use
Возможности продукта. Система управления.Product capability: Governance

Мы обновили существующие условия использования, чтобы помочь улучшить способы проверки и согласия на использование на мобильном устройстве.We've updated our existing terms of use experiences to help improve how you review and consent to terms of use on a mobile device. Теперь можно увеличить и уменьшить масштаб, вернуться назад, загрузить сведения и выбрать гиперссылки.You can now zoom in and out, go back, download the information, and select hyperlinks. Дополнительные сведения об обновленных условиях использования см. в разделе Azure Active Directory условия использования.For more information about the updated terms of use, see Azure Active Directory terms of use feature.


Новые журналы действий Azure AD, доступные для загрузкиNew Azure AD Activity logs download experience available

Тип. Измененная функция.Type: Changed feature
Категория службы. Отчеты.Service category: Reporting
Возможности продукта. Мониторинг и отчетность.Product capability: Monitoring & Reporting

Теперь вы можете загрузить большие объемы журналов действий непосредственно из портал Azure.You can now download large amounts of activity logs directly from the Azure portal. Это обновление позволяет:This update lets you:

  • Загрузите до 250 000 строк.Download up to 250,000 rows.

  • Получение уведомлений после завершения скачивания.Get notified after the download completes.

  • Настройте имя файла.Customize your file name.

  • Определите формат выходных данных: JSON или CSV.Determine your output format, either JSON or CSV.

Дополнительные сведения об этой функции см . в разделе Краткое руководство. скачивание отчета аудита с помощью портал AzureFor more information about this feature, see Quickstart: Download an audit report using the Azure portal


Критическое изменение: обновление оценки условия с помощью Exchange ActiveSync (EAS)Breaking change: Updates to condition evaluation by Exchange ActiveSync (EAS)

Тип. Планирование изменений.Type: Plan for change
Категория службы. Условный доступ.Service category: Conditional Access
Возможность продукта. Контроль доступа.Product capability: Access Control

Мы собираемся обновить, как Exchange ActiveSync (EAS) оценивает следующие условия:We’re in the process of updating how Exchange ActiveSync (EAS) evaluates the following conditions:

  • Расположение пользователя на основе страны, региона или IP-адресаUser location, based on country, region, or IP address

  • Риск при входеSign-in risk

  • Платформа устройстваDevice platform

Если вы ранее использовали эти условия в политиках условного доступа, имейте в виду, что поведение условия может измениться.If you’ve previously used these conditions in your Conditional Access policies, be aware that the condition behavior might change. Например, если ранее в политике было использовано условие расположения пользователя, политика будет пропущена в зависимости от расположения пользователя.For example, if you previously used the user location condition in a policy, you might find the policy now being skipped based on the location of your user.


Февраль 2019 г.February 2019

Настраиваемое шифрование маркеров SAML Azure AD (общедоступная Предварительная версия)Configurable Azure AD SAML token encryption (Public preview)

Тип. Новая функция.Type: New feature
Категория службы. Корпоративные приложения.Service category: Enterprise Apps
Возможности продукта. Единый вход.Product capability: SSO

Теперь вы можете настроить любое поддерживаемое приложение SAML для получения зашифрованных токенов SAML.You can now configure any supported SAML app to receive encrypted SAML tokens. При настройке и использовании с приложением Azure AD шифрует выпущенные утверждения SAML с помощью открытого ключа, полученного из сертификата, хранящегося в Azure AD.When configured and used with an app, Azure AD encrypts the emitted SAML assertions using a public key obtained from a certificate stored in Azure AD.

Дополнительные сведения о настройке шифрования маркеров SAML см. в статье Настройка шифрования маркеров SAML в Azure AD.For more information about configuring your SAML token encryption, see Configure Azure AD SAML token encryption.


Создание проверки доступа для групп или приложений с помощью проверок доступа Azure ADCreate an access review for groups or apps using Azure AD Access Reviews

Тип. Новая функция.Type: New feature
Категория службы. Проверка доступа.Service category: Access Reviews
Возможности продукта. Система управления.Product capability: Governance

Теперь можно включить несколько групп или приложений в одну проверку доступа Azure AD для назначения членства в группах или приложений.You can now include multiple groups or apps in a single Azure AD access review for group membership or app assignment. Проверки доступа с несколькими группами или приложениями настроены с использованием одних и тех же параметров, и все входящие рецензенты будут уведомлены одновременно.Access reviews with multiple groups or apps are set up using the same settings and all included reviewers are notified at the same time.

Дополнительные сведения о создании проверки доступа с помощью проверок доступа Azure AD см. в статье Создание проверки доступа для групп или приложений в проверках доступа Azure AD .For more information about how create an access review using Azure AD Access Reviews, see Create an access review of groups or applications in Azure AD Access Reviews


Тип. Новая функция.Type: New feature
Категория службы. Корпоративные приложения.Service category: Enterprise Apps
Возможности продукта. Интеграция с решениями сторонних производителей.Product capability: 3rd Party Integration

В феврале 2019 мы добавили 27 новых приложений с поддержкой Федерации в коллекцию приложений:In February 2019, we've added these 27 new apps with Federation support to the app gallery:

Еуромонитор Passport, миндтиккле, finger FAT, аирстакк, Oracle Fusion ERP, Идриве, скивард кмлатив, бригхтидеа, алертопс, солоинсигхт-CloudGate SSO, Разрешение Click, брандфолдер, сторегатесмартфиле, пексип, стормбоард, пластового, Поделитесь с мечты, бугснаг, облаком интеграциис помощью WebMethod, База знаний В любой точке LMS, кампусе подразделения, Periscope данных, портале Нетоп, Smartvid.IO, пуреклауд по женесис, платформе производительности кликкупEuromonitor Passport, MindTickle, FAT FINGER, AirStack, Oracle Fusion ERP, IDrive, Skyward Qmlativ, Brightidea, AlertOps, Soloinsight-CloudGate SSO, Permission Click, Brandfolder, StoregateSmartFile, Pexip, Stormboard, Seismic, Share A Dream, Bugsnag, webMethods Integration Cloud, Knowledge Anywhere LMS, OU Campus, Periscope Data, Netop Portal, smartvid.io, PureCloud by Genesys, ClickUp Productivity Platform

Дополнительные сведения об этих приложениях см. в статье Интеграция приложений SaaS с Azure Active Directory.For more information about the apps, see SaaS application integration with Azure Active Directory. Дополнительные сведения о том, как добавить приложение в коллекцию приложений Azure AD см. в этой статье.For more information about listing your application in the Azure AD app gallery, see List your application in the Azure Active Directory application gallery.


Улучшенная общая регистрация MFA/SSPREnhanced combined MFA/SSPR registration

Тип. Измененная функция.Type: Changed feature
Категория службы. Самостоятельный сброс пароля.Service category: Self Service Password Reset
Возможности продукта. Проверка подлинности пользователей.Product capability: User Authentication

В ответ на Отзывы клиентов мы улучшили общий предварительный просмотр регистрации MFA/SSPR, помогая пользователям быстрее регистрировать свои сведения о безопасности для MFA и SSPR.In response to customer feedback, we’ve enhanced the combined MFA/SSPR registration preview experience, helping your users to more quickly register their security info for both MFA and SSPR.

Чтобы включить улучшенный интерфейс для пользователей, выполните следующие действия.To turn on the enhanced experience for your users' today, follow these steps:

  1. В качестве глобального администратора или администратора пользователей войдите в портал Azure и перейдите в раздел Azure Active Directory > Параметры пользователя > Управление параметрами для функций предварительной версии панели доступа.As a global administrator or user administrator, sign in to the Azure portal and go to Azure Active Directory > User settings > Manage settings for access panel preview features.

  2. В области Пользователи, которые могут использовать функции предварительной версии для регистрации и управления сведениями о безопасности — обновление выберите Включение компонентов для выбранной группы пользователей или для всех пользователей.In the Users who can use the preview features for registering and managing security info – refresh option, choose to turn on the features for a Selected group of users or for All users.

В течение следующих нескольких недель мы удалим возможность включить старый общий просмотр регистрации MFA/SSPR для клиентов, которые еще не включены.Over the next few weeks, we’ll be removing the ability to turn on the old combined MFA/SSPR registration preview experience for tenants that don’t already have it turned on.

Чтобы узнать, будет ли элемент управления удален для клиента, выполните следующие действия.To see if the control will be removed for your tenant, follow these steps:

  1. В качестве глобального администратора или администратора пользователей войдите в портал Azure и перейдите в раздел Azure Active Directory > Параметры пользователя > Управление параметрами для функций предварительной версии панели доступа.As a global administrator or user administrator, sign in to the Azure portal and go to Azure Active Directory > User settings > Manage settings for access panel preview features.

  2. Если пользователям, которые могут использовать функции предварительной версии для регистрации и управления сведениями о безопасности , не задано значение нет, этот параметр будет удален из клиента.If the Users who can use the preview features for registering and managing security info option is set to None, the option will be removed from your tenant.

Независимо от того, был ли ранее включен старый общий просмотр регистрации MFA/SSPR для пользователей или нет, старый интерфейс будет отключен в будущем.Regardless of whether you previously turned on the old combined MFA/SSPR registration preview experience for users or not, the old experience will be turned off at a future date. Поэтому настоятельно рекомендуется как можно быстрее перейти на новый, расширенный опыт.Because of that, we strongly suggest that you move to the new, enhanced experience as soon as possible.

Дополнительные сведения о расширенных возможностях регистрации см. в этой статье.For more information about the enhanced registration experience, see the Cool enhancements to the Azure AD combined MFA and password reset registration experience.


Обновленные возможности управления политиками для потоков пользователейUpdated policy management experience for user flows

Тип. Измененная функция.Type: Changed feature
Категория службы. B2C — управление удостоверениями клиентов.Service category: B2C - Consumer Identity Management
Возможности продукта. B2B и B2C.Product capability: B2B/B2C

Мы обновили процесс создания и управления политикой для потоков пользователей (ранее назывались встроенными политиками).We've updated the policy creation and management process for user flows (previously known as, built-in policies) easier. Этот новый интерфейс теперь используется по умолчанию для всех клиентов Azure AD.This new experience is now the default for all of your Azure AD tenants.

Вы можете предоставить дополнительные отзывы и предложения с помощью значков "смайлик" или "нахмуренный смайлик" в области Отправить отзыв в верхней части экрана портала.You can provide additional feedback and suggestions by using the smile or frown icons in the Send us feedback area at the top of the portal screen.

Дополнительные сведения о новых возможностях управления политиками см. в разделе Azure AD B2C теперь есть настройка JavaScript, а также блог о многих новых функциях .For more information about the new policy management experience, see the Azure AD B2C now has JavaScript customization and many more new features blog.


Выбор конкретных версий элементов страницы, предоставляемых Azure AD B2CChoose specific page element versions provided by Azure AD B2C

Тип. Новая функция.Type: New feature
Категория службы. B2C — управление удостоверениями клиентов.Service category: B2C - Consumer Identity Management
Возможности продукта. B2B и B2C.Product capability: B2B/B2C

Теперь можно выбрать конкретную версию элементов страницы, предоставляемых Azure AD B2C.You can now choose a specific version of the page elements provided by Azure AD B2C. Выбрав конкретную версию, вы сможете проверить обновления, прежде чем они появятся на странице, и получить предсказуемое поведение.By selecting a specific version, you can test your updates before they appear on a page and you can get predictable behavior. Кроме того, теперь можно принять участие в принудительном применении конкретных версий страниц, чтобы разрешить настройку JavaScript.Additionally, you can now opt in to enforce specific page versions to allow JavaScript customizations. Чтобы включить эту функцию, перейдите на страницу свойств в потоке пользователя.To turn on this feature, go to the Properties page in your user flows.

Дополнительные сведения о выборе конкретных версий элементов страницы см. в разделе Azure AD B2C теперь есть настройка JavaScript и еще несколько новых функций .For more information about choosing specific versions of page elements, see the Azure AD B2C now has JavaScript customization and many more new features blog.


Настраиваемые требования к паролю для конечных пользователей для B2C (GA)Configurable end-user password requirements for B2C (GA)

Тип. Новая функция.Type: New feature
Категория службы. B2C — управление удостоверениями клиентов.Service category: B2C - Consumer Identity Management
Возможности продукта. B2B и B2C.Product capability: B2B/B2C

Теперь вы можете настроить сложность пароля организации для конечных пользователей, а не использовать собственную политику паролей Azure AD.You can now set up your organization's password complexity for your end users, instead of having to use your native Azure AD password policy. В колонке свойств потоков пользователя (ранее известные как встроенные политики) можно выбрать сложность пароля ( простой или высокий) или создать Пользовательский набор требований.From the Properties blade of your user flows (previously known as your built-in policies), you can choose a password complexity of Simple or Strong, or you can create a Custom set of requirements.

Дополнительные сведения о конфигурации требования к сложности пароля см. в разделе Настройка требований к сложности паролей в Azure Active Directory B2C.For more information about password complexity requirement configuration, see Configure complexity requirements for passwords in Azure Active Directory B2C.


Новые шаблоны по умолчанию для пользовательских интерфейсов проверки подлинностиNew default templates for custom branded authentication experiences

Тип. Новая функция.Type: New feature
Категория службы. B2C — управление удостоверениями клиентов.Service category: B2C - Consumer Identity Management
Возможности продукта. B2B и B2C.Product capability: B2B/B2C

Вы можете использовать наши новые шаблоны по умолчанию, расположенные в колонке макеты страниц пользовательских потоков (ранее известные как встроенные политики), чтобы создать пользовательскую процедуру проверки подлинности для пользователей.You can use our new default templates, located on the Page layouts blade of your user flows (previously known as built-in policies), to create a custom branded authentication experience for your users.

Дополнительные сведения об использовании шаблонов см. в разделе Azure AD B2C теперь содержит настройки JavaScript и множество новых функций.For more information about using the templates, see Azure AD B2C now has JavaScript customization and many more new features.


Январь 2019 г.January 2019

Совместная работа в службе Active Directory B2B с использованием аутентификации на основе одноразового секретного кода (общедоступная предварительная версия)Active Directory B2B collaboration using one-time passcode authentication (Public preview)

Тип. Новая функция.Type: New feature
Категория службы. B2B.Service category: B2B
Возможности продукта. B2B и B2C.Product capability: B2B/B2C

Мы реализовали функцию аутентификации на основе одноразового секретного кода (OTP) для гостевых пользователей B2B, которые не могут пройти аутентификацию с помощью других средств, таких как Azure AD, учетная запись Майкрософт (MSA) или федерация с Google.We've introduced one-time passcode authentication (OTP) for B2B guest users who can't be authenticated through other means like Azure AD, a Microsoft account (MSA), or Google federation. Этот новый метод аутентификации означает, что гостевым пользователям не нужно создавать новую учетную запись Майкрософт.This new authentication method means that guest users don't have to create a new Microsoft account. Вместо этого при активации приглашения или доступе к общему ресурсу гостевой пользователь может запросить временный код, который будет отправлен на его адрес электронной почты.Instead, while redeeming an invitation or accessing a shared resource, a guest user can request a temporary code to be sent to an email address. Гостевой пользователь может войти, используя этот временный код.Using this temporary code, the guest user can continue to sign in.

Дополнительные сведения см. в статье Проверка подлинности с отправкой одноразового секретного кода по почте (предварительная версия) и в записи блога Azure AD makes sharing and collaboration seamless for any user with any account (Azure AD упрощает совместную работу для любого пользователя с любой учетной записью).For more information, see Email one-time passcode authentication (preview) and the blog, Azure AD makes sharing and collaboration seamless for any user with any account.

Тип. Новая функция.Type: New feature
Категория службы. Прокси-сервер приложения.Service category: App Proxy
Возможность продукта. Контроль доступа.Product capability: Access Control

Добавлено три новых параметра файлов cookie, доступных для приложений, которые опубликованы с помощью Application Proxy.We've introduced three new cookie settings, available for your apps that are published through Application Proxy:

  • Использовать cookie-файлы HTTP-Only.Use HTTP-Only cookie. Устанавливает флаг HTTPOnly для файлов cookie доступа и сеанса на Application Proxy.Sets the HTTPOnly flag on your Application Proxy access and session cookies. Применение этого параметра обеспечивает дополнительные преимущества безопасности, например, помогает предотвратить копирование или изменение файлов cookie с помощью написания скриптов на стороне клиента.Turning on this setting provides additional security benefits, such as helping to prevent copying or modifying of cookies through client-side scripting. Рекомендуется включить этот флаг (выберите Да) для дополнительных преимуществ.We recommend you turn on this flag (choose Yes) for the added benefits.

  • Использовать безопасный файл cookie.Use secure cookie. Устанавливает флаг Безопасный для файлов cookie доступа и сеанса в прокси приложении.Sets the Secure flag on your Application Proxy access and session cookies. Применение этого параметра обеспечивает дополнительные преимущества безопасности, обеспечивая передачу файлов cookie только по безопасным каналам TLS, например HTTPS.Turning on this setting provides additional security benefits, by making sure cookies are only transmitted over TLS secure channels, such as HTTPS. Рекомендуется включить этот флаг (выберите Да) для дополнительных преимуществ.We recommend you turn on this flag (choose Yes) for the added benefits.

  • Сохранять файлы сookie.Use persistent cookie. Предотвращает файлы cookie доступа от истечения срока действия, когда веб-браузер закрыт.Prevents access cookies from expiring when the web browser is closed. Эти файлы cookie действуют в течение времени существования маркера доступа.These cookies last for the lifetime of the access token. Тем не менее файлы cookie сбрасываются при достижении времени истечения срока действия, или если пользователь вручную удаляет файл cookie.However, the cookies are reset if the expiration time is reached or if the user manually deletes the cookie. Мы рекомендуем оставить по умолчанию параметр Нет и применять его только для более старых приложений, которые не отправляют файлы cookie между процессами.We recommend you keep the default setting No, only turning on the setting for older apps that don't share cookies between processes.

Дополнительные сведения о новых файлах cookie см. в разделе Параметры файлов cookie для доступа к локальным приложениям в Azure Active Directory.For more information about the new cookies, see Cookie settings for accessing on-premises applications in Azure Active Directory.


Тип. Новая функция.Type: New feature
Категория службы. Корпоративные приложения.Service category: Enterprise Apps
Возможности продукта. Интеграция с решениями сторонних производителей.Product capability: 3rd Party Integration

В январе 2019 года мы добавили 35 новых приложений с поддержкой федерации в коллекцию приложений:In January 2019, we've added these 35 new apps with Federation support to the app gallery:

Firstbird, Folloze, Talent Palette, Infor CloudSuite, Cisco Umbrella, Zscaler Internet Access Administrator, Expiration Reminder, InstaVR Viewer, CorpTax, Verb, OpenLattice, TheOrgWiki, Pavaso Digital Close, GoodPractice Toolkit, Cloud Service PICCO, AuditBoard, iProva, Workable, CallPlease, GTNexus SSO System, CBRE ServiceInsight, Deskradar, Coralogixv, Signagelive, ARES for Enterprise, K2 for Office 365, Xledger, iDiD Manager, HighGear, Visitly, Korn Ferry ALP, Acadia, Adoddle cSaas PlatformFirstbird, Folloze, Talent Palette, Infor CloudSuite, Cisco Umbrella, Zscaler Internet Access Administrator, Expiration Reminder, InstaVR Viewer, CorpTax, Verb, OpenLattice, TheOrgWiki, Pavaso Digital Close, GoodPractice Toolkit, Cloud Service PICCO, AuditBoard, iProva, Workable, CallPlease, GTNexus SSO System, CBRE ServiceInsight, Deskradar, Coralogixv, Signagelive, ARES for Enterprise, K2 for Office 365, Xledger, iDiD Manager, HighGear, Visitly, Korn Ferry ALP, Acadia, Adoddle cSaas Platform

Дополнительные сведения об этих приложениях см. в статье Интеграция приложений SaaS с Azure Active Directory.For more information about the apps, see SaaS application integration with Azure Active Directory. Дополнительные сведения о том, как добавить приложение в коллекцию приложений Azure AD см. в этой статье.For more information about listing your application in the Azure AD app gallery, see List your application in the Azure Active Directory application gallery.


Новые улучшения защиты идентификации Azure AD (общедоступная предварительная версия)New Azure AD Identity Protection enhancements (Public preview)

Тип. Измененная функция.Type: Changed feature
Категория службы. Защита идентификации.Service category: Identity Protection
Возможности продукта. Безопасность и защита удостоверений.Product capability: Identity Security & Protection

Рады сообщить, что мы добавили следующие усовершенствования для общедоступной предварительной версии Защиты идентификации Azure AD, включая:We're excited to announce that we've added the following enhancements to the Azure AD Identity Protection public preview offering, including:

  • обновленный и более интегрированный пользовательский интерфейс;An updated and more integrated user interface

  • дополнительные программные интерфейсы;Additional APIs

  • улучшенная оценка риска с помощью машинного обучения;Improved risk assessment through machine learning

  • выравнивание продукта для пользователей, представляющих риск и рискованные входы в систему.Product-wide alignment across risky users and risky sign-ins

Дополнительные сведения об усовершенствованиях см. статью Что такое Защита идентификации Azure Active Directory (обновленная)?,For more information about the enhancements, see What is Azure Active Directory Identity Protection (refreshed)? чтобы узнать больше и поделиться своими мыслями с помощью запросов внутри продукта.to learn more and to share your thoughts through the in-product prompts.


Новая функция блокировки приложения для приложения Microsoft Authenticator на устройствах iOS и AndroidNew App Lock feature for the Microsoft Authenticator app on iOS and Android devices

Тип. Новая функция.Type: New feature
Категория службы: Приложение Microsoft AuthenticatorService category: Microsoft Authenticator App
Возможности продукта. Безопасность и защита удостоверений.Product capability: Identity Security & Protection

Чтобы обеспечить большую безопасность ваших одноразовых паролей, информации о приложении и параметров приложения, вы можете включить функцию "Блокировка приложения" в приложении Microsoft Authenticator.To keep your one-time passcodes, app information, and app settings more secure, you can turn on the App Lock feature in the Microsoft Authenticator app. Если включить функцию "Блокировка приложения", то каждый раз, когда вы открываете приложение Microsoft Authenticator, вам будет предлагаться использовать PIN-код или биометрические данные для прохождения аутентификации.Turning on App Lock means you’ll be asked to authenticate using your PIN or biometric every time you open the Microsoft Authenticator app.

Дополнительные сведения можно найти в статье Часто задаваемые вопросы о приложении Microsoft Authenticator.For more information, see the Microsoft Authenticator app FAQ.


Улучшенные возможности экспорта Azure AD Privileged Identity ManagementEnhanced Azure AD Privileged Identity Management (PIM) export capabilities

Тип. Новая функция.Type: New feature
Категория службы. Управление привилегированными пользователями.Service category: Privileged Identity Management
Возможности продукта. Управление привилегированными пользователями.Product capability: Privileged Identity Management

Администраторы Azure AD Privileged Identity Management теперь могут экспортировать все активные и допустимые назначения ролей для определенного ресурса, включая назначения ролей для всех дочерних ресурсов.Privileged Identity Management (PIM) administrators can now export all active and eligible role assignments for a specific resource, which includes role assignments for all child resources. Ранее для администраторов возникали трудности при получении полного списка назначения ролей для подписки, и им было необходимо экспортировать назначения ролей для каждого конкретного ресурса.Previously, it was difficult for administrators to get a complete list of role assignments for a subscription and they had to export role assignments for each specific resource.

Дополнительные сведения см. в статье Просмотр пользователей с ролями службы Azure в PIM.For more information, see View activity and audit history for Azure resource roles in PIM.


Ноябрь и декабрь 2018 г.November/December 2018

Пользователи, удаленные из области синхронизации, больше не преобразуются в облачные учетные записиUsers removed from synchronization scope no longer switch to cloud-only accounts

Тип. Исправление.Type: Fixed
Категория службы: Управление пользователямиService category: User Management
Возможности продукта. Каталог.Product capability: Directory

Важно!

Мы знаем и понимаем, как вы беспокоитесь на счет этого исправления.We've heard and understand your frustration because of this fix. Поэтому мы откатили это изменение, пока не сможем упростить реализацию исправления в вашей организации.Therefore, we've reverted this change until such time that we can make the fix easier for you to implement in your organization.

Мы исправили ошибку, из-за которой флаг DirSyncEnabled пользователя ошибочно переключался в значение False, когда объект доменных служб Active Directory (AD DS) исключался из области синхронизации и затем перемещался в корзину в Azure AD в следующем цикле синхронизации.We’ve fixed a bug in which the DirSyncEnabled flag of a user would be erroneously switched to False when the Active Directory Domain Services (AD DS) object was excluded from synchronization scope and then moved to the Recycle Bin in Azure AD on the following sync cycle. В результате этого исправления, если пользователь исключается из области синхронизации, а затем восстанавливается из корзины Azure AD, учетная запись пользователя остается синхронизированной из локальной службы AD (как и ожидается) и ею нельзя управлять в облаке, так как ее главным источником (SoA) по-прежнему остается локальная служба AD.As a result of this fix, if the user is excluded from sync scope and afterwards restored from Azure AD Recycle Bin, the user account remains as synchronized from on-premises AD, as expected, and cannot be managed in the cloud since its source of authority (SoA) remains as on-premises AD.

До этого исправления возникала проблема, когда флаг DirSyncEnabled переключался в значение False.Prior to this fix, there was an issue when the DirSyncEnabled flag was switched to False. Из-за этого создавалось ошибочное впечатление, что такие учетные записи были преобразованы в облачные объекты, которыми можно управлять в облаке.It gave the wrong impression that these accounts were converted to cloud-only objects and that the accounts could be managed in the cloud. При этом главным источником учетных записей по-прежнему оставалась локальная среда и все синхронизированные свойства (теневые атрибуты) поступали из локальной службы AD.However, the accounts still retained their SoA as on-premises and all synchronized properties (shadow attributes) coming from on-premises AD. Это условие вызывало несколько проблем в Azure AD и других облачных рабочих нагрузках (таких как Exchange Online), которые должны были обрабатывать эти учетные записи как синхронизированные из AD, хотя их поведение соответствовало облачным учетным записям.This condition caused multiple issues in Azure AD and other cloud workloads (like Exchange Online) that expected to treat these accounts as synchronized from AD but were now behaving like cloud-only accounts.

В настоящее время единственным способом по-настоящему преобразовать учетную запись, синхронизированную из AD, в облачную учетную запись является отключение DirSync на уровне клиента, что запускает внутреннюю операцию по переносу главного источника (SoA).At this time, the only way to truly convert a synchronized-from-AD account to cloud-only account is by disabling DirSync at the tenant level, which triggers a backend operation to transfer the SoA. Такое изменение SoA требует (в том числе) очистки всех атрибутов, связанных с локальной средой (таких как LastDirSyncTime и теневые атрибуты), и отправки в другие облачные рабочие нагрузки сигнала о преобразовании соответствующего объекта в облачную учетную запись.This type of SoA change requires (but is not limited to) cleaning all the on-premises related attributes (such as LastDirSyncTime and shadow attributes) and sending a signal to other cloud workloads to have its respective object converted to a cloud-only account too.

Соответственно, это исправление предотвращает прямое изменение атрибута ImmutableID пользователя, синхронизированного из AD, что требовалось в некоторых сценариях в прошлом.This fix consequently prevents direct updates on the ImmutableID attribute of a user synchronized from AD, which in some scenarios in the past were required. По сути атрибут ImmutableID объекта в Azure AD, как и предполагает название, должен быть неизменяемым.By design, the ImmutableID of an object in Azure AD, as the name implies, is meant to be immutable. Для разрешения таких ситуаций доступны новые функции, реализованные в Azure AD Connect Health и клиенте службы синхронизации Azure AD Connect.New features implemented in Azure AD Connect Health and Azure AD Connect Synchronization client are available to address such scenarios:

  • Поэтапное крупномасштабное изменение ImmutableID для нескольких пользователейLarge-scale ImmutableID update for many users in a staged approach

    Например, вам необходимо выполнить длительную миграцию между лесами AD DS.For example, you need to do a lengthy AD DS inter-forest migration. Решение. Используйте Azure AD Connect для настройки привязки к источнику и, при миграции пользователя, скопируйте существующие значения ImmutableID из Azure AD в атрибут MS-DS-целостный GUID локального пользователя AD DS.Solution: Use Azure AD Connect to Configure Source Anchor and, as the user migrates, copy the existing ImmutableID values from Azure AD into the local AD DS user’s ms-DS-Consistency-Guid attribute of the new forest. Дополнительные сведения см. в статье, посвященной использованию ms-DS-ConsistencyGuid в качестве sourceAnchor.For more information, see Using ms-DS-ConsistencyGuid as sourceAnchor.

  • Крупномасштабное изменение ImmutableID для нескольких пользователей за один разLarge-scale ImmutableID updates for many users in one shot

    Например, при реализации Azure AD Connect вы сделали ошибку и теперь необходимо изменить атрибут SourceAnchor.For example, while implementing Azure AD Connect you make a mistake, and now you need to change the SourceAnchor attribute. Решение. Отключите DirSync на уровне клиента и очистите все недопустимые значения ImmutableID.Solution: Disable DirSync at the tenant level and clear all the invalid ImmutableID values. Дополнительные сведения см. в статье, посвященной отключению синхронизации каталогов для Office 365.For more information, see Turn off directory synchronization for Office 365.

  • Повторное сопоставление локального пользователя с существующим пользователем в Azure AD. Например, повторное создание пользователя AD DS приводит к появлению дубликата учетной записи Azure AD вместо его повторного сопоставления с существующей учетной записью Azure AD (потерянный объект).Rematch on-premises user with an existing user in Azure AD For example, a user that has been re-created in AD DS generates a duplicate in Azure AD account instead of rematching it with an existing Azure AD account (orphaned object). Решение. Используйте Azure AD Connect Health в портал Azure для повторного сопоставления исходной привязки или ImmutableID.Solution: Use Azure AD Connect Health in the Azure portal to remap the Source Anchor/ImmutableID. Дополнительные сведения см. в статье Сценарий с потерянным объектом.For more information, see Orphaned object scenario.

Критическое изменение: обновления схемы журналов аудита и входа в систему с помощью Azure MonitorBreaking Change: Updates to the audit and sign-in logs schema through Azure Monitor

Тип. Измененная функция.Type: Changed feature
Категория службы. Отчеты.Service category: Reporting
Возможности продукта. Мониторинг и отчетность.Product capability: Monitoring & Reporting

Сейчас мы публикуем потоки журналов аудита и входа в систему с помощью Azure Monitor, поэтому файлы журналов можно легко интегрировать с используемыми инструментами SIEM или Log Analytics.We're currently publishing both the Audit and Sign-in log streams through Azure Monitor, so you can seamlessly integrate the log files with your SIEM tools or with Log Analytics. Исходя из отзывов пользователей, а также в рамках подготовки к выпуску общедоступной версии этой функции, мы вносим в схему следующие изменения.Based on your feedback, and in preparation for this feature's general availability announcement, we're making the following changes to our schema. Эти изменения будут внесены в первую неделю января. Тогда же будет обновлена сопутствующая документация.These schema changes and its related documentation updates will happen by the first week of January.

Новые поля в схеме аудитаNew fields in the Audit schema

Мы добавили новое поле Operation Type (Тип операции) для указания типа операции, выполняемой с ресурсом.We're adding a new Operation Type field, to provide the type of operation performed on the resource. Например, это могут быть операции Add (Добавление), Update (Обновление) или Delete (Удаление).For example, Add, Update, or Delete.

Измененные поля в схеме аудитаChanged fields in the Audit schema

Следующие поля в схеме аудита будут изменены.The following fields are changing in the Audit schema:

Имя поляField name ИзмененияWhat changed Прежние значенияOld values Новые значенияNew Values
КатегорияCategory Это было поле Service Name (Имя службы).This was the Service Name field. Теперь оно называется Audit Categories (Категории аудита).It's now the Audit Categories field. Поле Service Name (Имя службы) было переименовано в loggedByService.Service Name has been renamed to the loggedByService field.
  • "Account Provisioning" (Подготовка учетных записей).Account Provisioning
  • "Core Directory" (Основной каталог);Core Directory
  • "Self-service Password Reset" (Самостоятельный сброс пароля);Self-service Password Reset
  • Управление пользователямиUser Management
  • Управление группамиGroup Management
  • "App Management" (Управление приложениями).App Management
targetResourcestargetResources Включает в себя TargetResourceType на верхнем уровне.Includes TargetResourceType at the top level.  
  • ПолитикаPolicy
  • ПриложениеApp
  • ПользовательUser
  • ГруппаGroup
loggedByServiceloggedByService Указывает имя службы, создавшей журнала аудита.Provides the name of the service that generated the audit log. NullNull
  • "Account Provisioning" (Подготовка учетных записей).Account Provisioning
  • "Core Directory" (Основной каталог);Core Directory
  • Самостоятельный сброс пароляSelf-service password reset
РезультатResult Содержит результат журналов аудита.Provides the result of the audit logs. Ранее это значение перечислялось, но теперь отображается фактическое значение.Previously, this was enumerated, but we now show the actual value.
  • 00
  • 11
  • УспешноSuccess
  • СбойFailure

Измененные поля в схеме входа в системуChanged fields in the Sign-in schema

Следующие поля в схеме входа в систему будут изменены.The following fields are changing in the Sign-in schema:

Имя поляField name ИзмененияWhat changed Прежние значенияOld values Новые значенияNew Values
appliedConditionalAccessPoliciesappliedConditionalAccessPolicies Ранее это поле называлось conditionalaccessPolicies.This was the conditionalaccessPolicies field. Теперь оно называется conditionalaccessPolicies.It's now the appliedConditionalAccessPolicies field. Без изменения.No change Без изменения.No change
conditionalAccessStatusconditionalAccessStatus Содержит результат состояния политики условного доступа при входе в систему.Provides the result of the Conditional Access Policy Status at sign-in. Ранее это значение перечислялось, но теперь отображается фактическое значение.Previously, this was enumerated, but we now show the actual value.
  • 00
  • 11
  • 22
  • 33
  • УспешноSuccess
  • СбойFailure
  • НеприменимоNot Applied
  • ОтключеноDisabled
appliedConditionalAccessPolicies: resultappliedConditionalAccessPolicies: result Содержит результат состояния отдельной политики условного доступа при входе в систему.Provides the result of the individual Conditional Access Policy Status at sign-in. Ранее это значение перечислялось, но теперь отображается фактическое значение.Previously, this was enumerated, but we now show the actual value.
  • 00
  • 11
  • 22
  • 33
  • УспешноSuccess
  • СбойFailure
  • НеприменимоNot Applied
  • ОтключеноDisabled

Дополнительные сведения о схеме см. в разделе Интерпретация схемы журналов аудита Azure AD в Azure Monitor (предварительная версия).For more information about the schema, see Interpret the Azure AD audit logs schema in Azure Monitor (preview)


Улучшения защиты идентификации для контролируемой модели машинного обучения и подсистемы оценки рискаIdentity Protection improvements to the supervised machine learning model and the risk score engine

Тип. Измененная функция.Type: Changed feature
Категория службы. Защита идентификации.Service category: Identity Protection
Возможности продукта: Оценки рискаProduct capability: Risk Scores

Улучшения подсистемы оценки риска пользователя и риска при входе, связанные с защитой идентификации, могут повысить точность и охват при оценке риска пользователя.Improvements to the Identity Protection-related user and sign-in risk assessment engine can help to improve user risk accuracy and coverage. Администраторы могут заметить, что уровень риска пользователя больше не связан напрямую с уровнем риска определенных случаев обнаружения, а число и уровень рискованных событий входа в систему возросли.Administrators may notice that user risk level is no longer directly linked to the risk level of specific detections, and that there's an increase in the number and level of risky sign-in events.

Теперь обнаруженные риски оцениваются посредством контролируемой модели машинного обучения, которая вычисляет риск пользователя с помощью дополнительных характеристик входа пользователя в систему и шаблона обнаружения.Risk detections are now evaluated by the supervised machine learning model, which calculates user risk by using additional features of the user’s sign-ins and a pattern of detections. На основании этой модели администратор может найти пользователей с высоким уровнем риска, даже если уровень риска для случаев обнаружения, связанных с этими пользователями, не превышает низкий или средний уровень.Based on this model, the administrator might find users with high risk scores, even if detections associated with that user are of low or medium risk.


Администраторы могут сбрасывать свой пароль с помощью приложения Microsoft Authenticator (предварительная версия)Administrators can reset their own password using the Microsoft Authenticator app (Public preview)

Тип. Измененная функция.Type: Changed feature
Категория службы. Самостоятельный сброс пароля.Service category: Self Service Password Reset
Возможности продукта. Проверка подлинности пользователей.Product capability: User Authentication

Администраторы Azure AD теперь могут сбросить свой пароль с помощью уведомлений приложения Microsoft Authenticator, кода из любого мобильного приложения Authenticator или аппаратного токена.Azure AD administrators can now reset their own password using the Microsoft Authenticator app notifications or a code from any mobile authenticator app or hardware token. Чтобы сбросить свой пароль, администраторы теперь могут использовать два из следующих методов:To reset their own password, administrators will now be able to use two of the following methods:

  • уведомление приложения Microsoft Authenticator;Microsoft Authenticator app notification

  • другое мобильное приложение Authenticator или код аппаратного токена;Other mobile authenticator app / Hardware token code

  • EmailEmail

  • телефонный вызов;Phone call

  • текстовое сообщение;Text message

Дополнительные сведения об использовании приложения Microsoft Authenticator для сброса паролей см. в разделе Мобильное приложение и SSPR (предварительная версия).For more information about using the Microsoft Authenticator app to reset passwords, see Azure AD self-service password reset - Mobile app and SSPR (Preview)


Новая роль администратора облачных устройств в Azure AD (предварительная версия)New Azure AD Cloud Device Administrator role (Public preview)

Тип. Новая функция.Type: New feature
Категория службы: Регистрация устройств и управление имиService category: Device Registration and Management
Возможности продукта: Контроль доступаProduct capability: Access control

Администраторы могут назначать пользователям новую роль "Администратор облачных устройств" для выполнения операций администрирования облачных устройств.Administrators can assign users to the new Cloud Device Administrator role to perform cloud device administrator tasks. Пользователи с этой ролью могут включать, отключать и удалять устройства в Azure AD, а также считывать ключи BitLocker в Windows 10 (при наличии) на портале Azure.Users assigned the Cloud Device Administrators role can enable, disable, and delete devices in Azure AD, along with being able to read Windows 10 BitLocker keys (if present) in the Azure portal.

Дополнительные сведения о ролях и разрешениях см. в статье Назначение ролей администратора в Azure Active Directory.For more information about roles and permissions, see Assigning administrator roles in Azure Active Directory


Управление устройствами с помощью новой метки времени действия в Azure AD (предварительная версия)Manage your devices using the new activity timestamp in Azure AD (Public preview)

Тип. Новая функция.Type: New feature
Категория службы: Регистрация устройств и управление имиService category: Device Registration and Management
Возможности продукта: Управление жизненным циклом устройствProduct capability: Device Lifecycle Management

Мы понимаем, что с течением времени необходимо обновить и снять с учета устройства вашей организации в Azure AD, чтобы избежать устаревших устройств в вашей среде.We realize that over time you must refresh and retire your organizations' devices in Azure AD, to avoid having stale devices in your environment. Чтобы упростить этот процесс, теперь служба Azure AD обновляет устройства с помощью новой метки времени действия, помогая управлять жизненным циклом устройств.To help with this process, Azure AD now updates your devices with a new activity timestamp, helping you to manage your device lifecycle.

Дополнительные сведения о том, как получить и использовать эту метку времени, см. в разделе управление устаревшими устройствами в Azure AD.For more information about how to get and use this timestamp, see How To: Manage the stale devices in Azure AD


Администраторы могут требовать от пользователей принять условия использования на каждом устройстве.Administrators can require users to accept a terms of use on each device

Тип. Новая функция.Type: New feature
Категория службы. Условия использования.Service category: Terms of use
Возможности продукта. Система управления.Product capability: Governance

Теперь администраторы могут включить параметр требовать согласие пользователей на каждое устройство , чтобы требовать от пользователей принять условия использования на каждом устройстве, которое они используют в вашем клиенте.Administrators can now turn on the Require users to consent on every device option to require your users to accept your terms of use on every device they're using on your tenant.

Дополнительные сведения см. в разделе условия использования для каждого устройства статьи Azure Active Directory условия использования.For more information, see the Per-device terms of use section of the Azure Active Directory terms of use feature.


Администраторы могут настроить условия использования для истечения срока действия с учетом повторяющегося расписания.Administrators can configure a terms of use to expire based on a recurring schedule

Тип. Новая функция.Type: New feature
Категория службы. Условия использования.Service category: Terms of use
Возможности продукта. Система управления.Product capability: Governance

Теперь администраторы могут включить параметр истечение срока действия , чтобы срок действия условий использования истек для всех пользователей в зависимости от указанного повторяющегося расписания.Administrators can now turn on the Expire consents option to make a terms of use expire for all of your users based on your specified recurring schedule. Расписание может повторяться один раз в год, два раза в год, ежеквартально или ежемесячно.The schedule can be annually, bi-annually, quarterly, or monthly. После истечения срока действия условий использования пользователи должны принять условия.After the terms of use expire, users must reaccept.

Дополнительные сведения см. в разделе Добавление условий использования функции Azure Active Directory условий использования.For more information, see the Add terms of use section of the Azure Active Directory terms of use feature.


Администраторы могут настроить условия использования для истечения срока действия в зависимости от расписания каждого пользователя.Administrators can configure a terms of use to expire based on each user’s schedule

Тип. Новая функция.Type: New feature
Категория службы. Условия использования.Service category: Terms of use
Возможности продукта. Система управления.Product capability: Governance

Теперь администраторы могут указать длительность, в течение которого пользователь должен снова принять условия использования.Administrators can now specify a duration that user must reaccept a terms of use. Например, администраторы могут указать, что пользователи должны снова принимать условия использования каждые 90 дней.For example, administrators can specify that users must reaccept a terms of use every 90 days.

Дополнительные сведения см. в разделе Добавление условий использования функции Azure Active Directory условий использования.For more information, see the Add terms of use section of the Azure Active Directory terms of use feature.


Новые электронные сообщения Azure AD Privileged Identity Management (PIM) для ролей Azure Active DirectoryNew Azure AD Privileged Identity Management (PIM) emails for Azure Active Directory roles

Тип. Новая функция.Type: New feature
Категория службы. Управление привилегированными пользователями.Service category: Privileged Identity Management
Возможности продукта. Управление привилегированными пользователями.Product capability: Privileged Identity Management

Клиенты, использующие Azure AD Privileged Identity Management (PIM), теперь могут получать еженедельные дайджесты по электронной почте, включая приведенные ниже сведения за последние семь дней:Customers using Azure AD Privileged Identity Management (PIM) can now receive a weekly digest email, including the following information for the last seven days:

  • общие сведения о наиболее используемых разрешенных и постоянных назначений ролей;Overview of the top eligible and permanent role assignments

  • число пользователей, активирующих роли;Number of users activating roles

  • число пользователей, назначенных для ролей в PIM;Number of users assigned to roles in PIM

  • число пользователей, назначенных для ролей вне PIM;Number of users assigned to roles outside of PIM

  • число пользователей с постоянными ролями в PIM.Number of users "made permanent" in PIM

Дополнительные сведения о PIM и доступных уведомлениях по электронной почте см. в разделе Уведомления по электронной почте в PIM.For more information about PIM and the available email notifications, see Email notifications in PIM.


Выпущена общедоступная версия группового лицензированияGroup-based licensing is now generally available

Тип. Измененная функция.Type: Changed feature
Категория службы. Другая.Service category: Other
Возможности продукта. Каталог.Product capability: Directory

Период предоставления общедоступной предварительной версии группового лицензирования завершен, и теперь выпущена общедоступная версия этой функции.Group-based licensing is out of public preview and is now generally available. В рамках данного общедоступного выпуска мы сделали эту функцию более масштабируемой. Кроме того, мы добавили возможность повторной обработки назначений группового лицензирования для отдельного пользователя и возможность использовать групповое лицензирование с лицензиями E3 или A3 в Office 365.As part of this general release, we've made this feature more scalable and have added the ability to reprocess group-based licensing assignments for a single user and the ability to use group-based licensing with Office 365 E3/A3 licenses.

Дополнительные сведения о групповом лицензировании см. в разделе Что такое лицензии групп в Azure Active Directory?For more information about group-based licensing, see What is group-based licensing in Azure Active Directory?


Тип. Новая функция.Type: New feature
Категория службы. Корпоративные приложения.Service category: Enterprise Apps
Возможности продукта. Интеграция с решениями сторонних производителей.Product capability: 3rd Party Integration

В ноябре 2018 года мы добавили в коллекцию приложений следующие 26 новых приложений с поддержкой федерации:In November 2018, we've added these 26 new apps with Federation support to the app gallery:

CoreStack, HubSpot, GetThere, Gra-Pe, eHour, Consent2Go, Appinux, DriveDollar, Useall, Infinite Campus, Alaya, HeyBuddy, Wrike SAML, Drift, Zenegy for Business Central 365, Everbridge Member Portal, IDEO, Ivanti Service Manager (ISM), Peakon, Allbound SSO, Plex Apps - Classic Test, Plex Apps – Classic, Plex Apps - UX Test, Plex Apps – UX, Plex Apps – IAM, CRAFTS - Childcare Records, Attendance, & Financial Tracking System.CoreStack, HubSpot, GetThere, Gra-Pe, eHour, Consent2Go, Appinux, DriveDollar, Useall, Infinite Campus, Alaya, HeyBuddy, Wrike SAML, Drift, Zenegy for Business Central 365, Everbridge Member Portal, IDEO, Ivanti Service Manager (ISM), Peakon, Allbound SSO, Plex Apps - Classic Test, Plex Apps – Classic, Plex Apps - UX Test, Plex Apps – UX, Plex Apps – IAM, CRAFTS - Childcare Records, Attendance, & Financial Tracking System

Дополнительные сведения об этих приложениях см. в статье Интеграция приложений SaaS с Azure Active Directory.For more information about the apps, see SaaS application integration with Azure Active Directory. Дополнительные сведения о том, как добавить приложение в коллекцию приложений Azure AD см. в этой статье.For more information about listing your application in the Azure AD app gallery, see List your application in the Azure Active Directory application gallery.


Октябрь 2018 г.October 2018

Возможность работать с журналами Azure AD в Azure Log Analytics (предварительная версия)Azure AD Logs now work with Azure Log Analytics (Public preview)

Тип. Новая функция.Type: New feature
Категория службы. Отчеты.Service category: Reporting
Возможности продукта. Мониторинг и отчетность.Product capability: Monitoring & Reporting

Мы рады сообщить, что теперь вы можете пересылать журналы Azure AD в Azure Log Analytics!We're excited to announce that you can now forward your Azure AD logs to Azure Log Analytics! Эта функция, на которую поступило больше всего запросов, даст вам еще более удобный доступ к данным аналитики для бизнеса, операций и безопасности, а также поможет в мониторинге инфраструктуры.This top-requested feature helps give you even better access to analytics for your business, operations, and security, as well as a way to help monitor your infrastructure. Дополнительные сведения см. в записи блога Azure Active Directory Activity logs in Azure Log Analytics now available (В Azure Log Analytics теперь доступны журналы активности Azure Active Directory).For more information, see the Azure Active Directory Activity logs in Azure Log Analytics now available blog.


Тип. Новая функция.Type: New feature
Категория службы. Корпоративные приложения.Service category: Enterprise Apps
Возможности продукта. Интеграция с решениями сторонних производителей.Product capability: 3rd Party Integration

В октябре 2018 года мы добавили в коллекцию приложений 14 новых приложений с поддержкой федерации:In October 2018, we've added these 14 new apps with Federation support to the app gallery:

My Award Points, Vibe HCM, ambyint, MyWorkDrive, BorrowBox, Dialpad, ON24 Virtual Environment, RingCentral, Zscaler Three, Phraseanet, Appraisd, Workspot Control, Shuccho Navi, Glassfrog.My Award Points, Vibe HCM, ambyint, MyWorkDrive, BorrowBox, Dialpad, ON24 Virtual Environment, RingCentral, Zscaler Three, Phraseanet, Appraisd, Workspot Control, Shuccho Navi, Glassfrog

Дополнительные сведения об этих приложениях см. в статье Интеграция приложений SaaS с Azure Active Directory.For more information about the apps, see SaaS application integration with Azure Active Directory. Дополнительные сведения о том, как добавить приложение в коллекцию приложений Azure AD см. в этой статье.For more information about listing your application in the Azure AD app gallery, see List your application in the Azure Active Directory application gallery.


Уведомления по электронной почте для доменных служб Azure ADAzure AD Domain Services Email Notifications

Тип. Новая функция.Type: New feature
Категория службы. Доменные службы Azure AD.Service category: Azure AD Domain Services
Возможности продукта. Доменные службы Azure AD.Product capability: Azure AD Domain Services

Доменные службы Azure AD отображают на портале Azure оповещения об ошибках в настройках или проблемах с управляемым доменом.Azure AD Domain Services provides alerts on the Azure portal about misconfigurations or problems with your managed domain. Эти оповещения содержат пошаговые инструкции, с помощью которых можно попытаться устранить проблемы без обращения в службу поддержки.These alerts include step-by-step guides so you can try to fix the problems without having to contact support.

Начиная с октября вы сможете настраивать параметры уведомлений для управляемого домена, чтобы при каждом новом оповещении отправлялось сообщение электронной почты назначенной группе пользователей. Таким образом, им не придется постоянно проверять обновления информации на портале.Starting in October, you'll be able to customize the notification settings for your managed domain so when new alerts occur, an email is sent to a designated group of people, eliminating the need to constantly check the portal for updates.

Дополнительные сведения см. в статье Параметры уведомлений в доменных службах Azure AD.For more information, see Notification settings in Azure AD Domain Services.


Портал Azure AD поддерживает использование API управления доменами ForceDelete для удаления пользовательских доменовAzure AD portal supports using the ForceDelete domain API to delete custom domains

Тип. Измененная функция.Type: Changed feature
Категория службы. Управление каталогами.Service category: Directory Management
Возможности продукта. Каталог.Product capability: Directory

Мы рады сообщить, что теперь с помощью API управления доменами ForceDelete можно удалить имя личного домена и асинхронно изменить такое имя (contoso.com) в ссылках на пользователей, группы и приложения на имя домена по умолчанию (contoso.onmicrosoft.com).We're pleased to announce that you can now use the ForceDelete domain API to delete your custom domain names by asynchronously renaming references, like users, groups, and apps from your custom domain name (contoso.com) back to the initial default domain name (contoso.onmicrosoft.com).

Такое изменение позволяет быстрее удалить имя личного домена, которое ваша организация больше не использует или намерена перенести в другую службу Azure AD.This change helps you to more quickly delete your custom domain names if your organization no longer uses the name, or if you need to use the domain name with another Azure AD.

Дополнительные сведения см. в статье Удаление имени личного домена.For more information, see Delete a custom domain name.


Сентябрь 2018 г.September 2018

Обновление разрешений роли администратора для динамических группUpdated administrator role permissions for dynamic groups

Тип. Исправление.Type: Fixed
Категория службы. Управление группами.Service category: Group Management
Возможности продукта. Совместная работа.Product capability: Collaboration

Мы исправили проблему, которая не позволяла некоторым ролям администратора создавать и обновлять правила динамического членства, не являясь владельцем группы.We've fixed an issue so specific administrator roles can now create and update dynamic membership rules, without needing to be the owner of the group.

Вот эти роли:The roles are:

  • Глобальный администратор.Global administrator

  • Администратор IntuneIntune administrator

  • Администратор пользователейUser administrator

Дополнительные сведения см. в статье Создание динамической группы и проверка состояния.For more information, see Create a dynamic group and check status


Упрощенные параметры конфигурации единого входа (SSO) для некоторых сторонних приложенийSimplified Single Sign-On (SSO) configuration settings for some third-party apps

Тип. Новая функция.Type: New feature
Категория службы. Корпоративные приложения.Service category: Enterprise Apps
Возможности продукта. Единый вход.Product capability: SSO

Мы понимаем, что настройка единого входа (SSO) для приложений SaaS (программное обеспечение как услуга) может создавать трудности из-за уникальных настроек для каждого приложения.We realize that setting up Single Sign-On (SSO) for Software as a Service (SaaS) apps can be challenging due to the unique nature of each apps configuration. Мы создали упрощенную процедуру настройки, при которой автоматически указываются параметры единого входа для следующих приложений SaaS сторонних разработчиков:We've built a simplified configuration experience to auto-populate the SSO configuration settings for the following third-party SaaS apps:

  • ZendeskZendesk

  • ArcGis Online;ArcGis Online

  • Jamf Pro.Jamf Pro

Чтобы применить эту упрощенную процедуру, перейдите к странице настройки единого входа для нужного приложения (Портал Azure > Настройка единого входа).To start using this one-click experience, go to the Azure portal > SSO configuration page for the app. Дополнительные сведения есть в статье Интеграция приложений SaaS с Azure Active Directory.For more information, see SaaS application integration with Azure Active Directory


Страница "Azure Active Directory - Where is your data located?" (Azure Active Directory — где находятся ваши данные?)Azure Active Directory - Where is your data located? page

Тип. Новая функция.Type: New feature
Категория службы. Другая.Service category: Other
Возможности продукта. GoLocal.Product capability: GoLocal

Выберите регион вашей компании на странице Azure Active Directory - Where is your data located (Azure Active Directory — где находятся ваши данные?), чтобы узнать, в каком центре обработки данных Azure хранятся ваши данные Azure AD для каждой из служб Azure AD.Select your company's region from the Azure Active Directory - Where is your data located page to view which Azure datacenter houses your Azure AD data at rest for all Azure AD services. Здесь вы можете применить фильтр по конкретным службам Azure AD для выбранного региона.You can filter the information by specific Azure AD services for your company's region.

Чтобы использовать эту функцию и (или) получить дополнительные сведения о ней, откройте страницу Azure Active Directory - Where is your data located (Azure Active Directory — где находятся ваши данные).To access this feature and for more information, see Azure Active Directory - Where is your data located.


Доступен новый план развертывания для панели доступа "Мои приложения"New deployment plan available for the My Apps Access panel

Тип. Новая функция.Type: New feature
Категория службы. "Мои приложения".Service category: My Apps
Возможности продукта. Единый вход.Product capability: SSO

Изучите новый план развертывания, реализованный для панели доступа "Мои приложения" (https://aka.ms/deploymentplans).Check out the new deployment plan that's available for the My Apps Access panel (https://aka.ms/deploymentplans). Панель доступа "Мои приложения" служит для пользователя единым расположением для поиска приложений и доступа к ним.The My Apps Access panel provides users with a single place to find and access their apps. Этот портал также содержит возможности самообслуживания, например позволяет пользователю запрашивать доступ к приложениям и (или) группам и управлять им от лица других пользователей.This portal also provides users with self-service opportunities, such as requesting access to apps and groups, or managing access to these resources on behalf of others.

Дополнительные сведения см. в статье Что такое портал MyApps?.For more information, see What is the My Apps portal?


Новая вкладка "Устранение неполадок и поддержка" на странице журналов входов на портале AzureNew Troubleshooting and Support tab on the Sign-ins Logs page of the Azure portal

Тип. Новая функция.Type: New feature
Категория службы. Отчеты.Service category: Reporting
Возможности продукта. Мониторинг и отчетность.Product capability: Monitoring & Reporting

Новая вкладка Устранение неполадок и поддержка на странице входа в портал Azure предназначена для помощи администраторам и инженерам службы поддержки в устранении неполадок, связанных с входом в Azure AD. На этой новой вкладке содержится код ошибки, сообщение об ошибке и рекомендации по исправлению (если они есть) для устранения проблемы.The new Troubleshooting and Support tab on the Sign-ins page of the Azure portal, is intended to help admins and support engineers troubleshoot issues related to Azure AD sign-ins. This new tab provides the error code, error message, and remediation recommendations (if any) to help solve the problem. Если с проблемой не удастся справиться, здесь же можно создать запрос в службу поддержки с помощью новой функции копирования в буфер обмена, с помощью которой для файла журнала заполняются поля Идентификатор запроса и Дата (UTC) в запросе в службу поддержки.If you're unable to resolve the problem, we also give you a new way to create a support ticket using the Copy to clipboard experience, which populates the Request ID and Date (UTC) fields for the log file in your support ticket.

Журналы входа, отображающие новую вкладку


Улучшенная поддержка пользовательских свойств расширения, позволяющих создать правила динамического членстваEnhanced support for custom extension properties used to create dynamic membership rules

Тип. Измененная функция.Type: Changed feature
Категория службы. Управление группами.Service category: Group Management
Возможности продукта. Совместная работа.Product capability: Collaboration

После этого обновления вы сможете при создании динамического правила членства перейти по ссылке Get custom extension properties (Получить пользовательские свойства расширения) из конструктора динамических правил для пользовательских групп, ввести уникальный идентификатор приложения и получить полный список пользовательских свойств расширения.With this update, you can now click the Get custom extension properties link from the dynamic user group rule builder, enter your unique app ID, and receive the full list of custom extension properties to use when creating a dynamic membership rule for users. Этот список можно обновить, чтобы просмотреть новые пользовательские свойства расширения для выбранного приложения.This list can also be refreshed to get any new custom extension properties for that app.

Дополнительные сведения об использовании пользовательских свойств расширения в правилах динамического членства см. в разделе Свойства расширения и пользовательские свойства расширенияFor more information about using custom extension properties for dynamic membership rules, see Extension properties and custom extension properties


Новые утвержденные клиентские приложения для условного доступа на основе приложений Azure ADNew approved client apps for Azure AD app-based Conditional Access

Тип. Планирование изменений.Type: Plan for change
Категория службы. Условный доступ.Service category: Conditional Access
Возможности продукта. Безопасность и защита удостоверений.Product capability: Identity security and protection

Следующие приложения добавлены в список утвержденных клиентских приложений:The following apps are on the list of approved client apps:

  • Microsoft To-DoMicrosoft To-Do

  • Microsoft Stream;Microsoft Stream

Дополнительные сведения см. здесь:For more information, see:


Добавлена поддержка самостоятельного сброса пароля с экрана блокировки Windows 7, 8 и 8.1New support for Self-Service Password Reset from the Windows 7/8/8.1 Lock screen

Тип. Новая функция.Type: New feature
Категория службы: SSPRService category: SSPR
Возможности продукта. Проверка подлинности пользователей.Product capability: User Authentication

Когда вы настроите эту новую функцию, для пользователей отобразится ссылка для сброса пароля на экране блокировки любого устройства под управлением Windows 7, Windows 8 или Windows 8.1.After you set up this new feature, your users will see a link to reset their password from the Lock screen of a device running Windows 7, Windows 8, or Windows 8.1. Щелкнув эту ссылку, пользователь пройдет тот же процесс сброса пароля, что и в веб-браузере.By clicking that link, the user is guided through the same password reset flow as through the web browser.

Дополнительные сведения см. в статье How to: Enable password reset from Windows 7, 8, and 8.1 (Практическое руководство. Включение функции сброса пароля из Windows 7, 8 и 8.1)For more information, see How to enable password reset from Windows 7, 8, and 8.1


Уведомление об изменении: коды авторизации больше не будут доступны для повторного использованияChange notice: Authorization codes will no longer be available for reuse

Тип. Планирование изменений.Type: Plan for change
Категория службы. Проверки подлинности (имена входа).Service category: Authentications (Logins)
Возможности продукта. Проверка подлинности пользователей.Product capability: User Authentication

С 15 ноября 2018 г. в Azure AD прекращается поддержка использованных кодов аутентификации для приложений.Starting on November 15, 2018, Azure AD will stop accepting previously used authentication codes for apps. Это изменение системы безопасности помогает Azure AD соответствовать спецификации OAuth и будет применяться для конечных точек версии 1 и 2.This security change helps to bring Azure AD in line with the OAuth specification and will be enforced on both the v1 and v2 endpoints.

Если ваше приложение повторно использует коды проверки подлинности для получения маркеров для нескольких ресурсов, мы рекомендуем использовать код для получения маркера обновления, а затем использовать этот маркер для получения дополнительных маркеров для других ресурсов.If your app reuses authorization codes to get tokens for multiple resources, we recommend that you use the code to get a refresh token, and then use that refresh token to acquire additional tokens for other resources. Коды проверки подлинности можно использовать только один раз, однако маркеры обновления можно использовать несколько раз для нескольких ресурсов.Authorization codes can only be used once, but refresh tokens can be used multiple times across multiple resources. У приложения, которое пытается повторно использовать код аутентификации в потоке кода OAuth, возникнет ошибка invalid_grant.An app that attempts to reuse an authentication code during the OAuth code flow will get an invalid_grant error.

Это и другие изменения в работе с протоколами описаны на странице с полным списком новых возможностей для аутентификации.For this and other protocols-related changes, see the full list of what's new for authentication.


Тип. Новая функция.Type: New feature
Категория службы. Корпоративные приложения.Service category: Enterprise Apps
Возможности продукта. Интеграция с решениями сторонних производителей.Product capability: 3rd Party Integration

В сентябре 2018 года мы добавили в коллекцию приложений следующие 16 новых приложений с поддержкой федерации:In September 2018, we've added these 16 new apps with Federation support to the app gallery:

Uberflip, Comeet Recruiting Software, Workteam, ArcGIS Enterprise, Nuclino, JDA Cloud, Snowflake, NavigoCloud, Figma, join.me, ZephyrSSO, Silverback, Riverbed Xirrus EasyPass, Rackspace SSO, Enlyft SSO for Azure, SurveyMonkey, Convene, dmarcian.Uberflip, Comeet Recruiting Software, Workteam, ArcGIS Enterprise, Nuclino, JDA Cloud, Snowflake, NavigoCloud, Figma, join.me, ZephyrSSO, Silverback, Riverbed Xirrus EasyPass, Rackspace SSO, Enlyft SSO for Azure, SurveyMonkey, Convene, dmarcian

Дополнительные сведения об этих приложениях см. в статье Интеграция приложений SaaS с Azure Active Directory.For more information about the apps, see SaaS application integration with Azure Active Directory. Дополнительные сведения о том, как добавить приложение в коллекцию приложений Azure AD см. в этой статье.For more information about listing your application in the Azure AD app gallery, see List your application in the Azure Active Directory application gallery.


Поддержка дополнительных методов преобразования утвержденийSupport for additional claims transformations methods

Тип. Новая функция.Type: New feature
Категория службы. Корпоративные приложения.Service category: Enterprise Apps
Возможности продукта. Единый вход.Product capability: SSO

Мы добавили новые методы преобразования утверждений — ToLower() и ToUpper(), — которые можно применять для SAML-маркеров на странице настройки единого входа на основе SAML.We've introduced new claim transformation methods, ToLower() and ToUpper(), which can be applied to SAML tokens from the SAML-based Single Sign-On Configuration page.

Дополнительные сведения см. в статье Настройка утверждений, выпущенных в токене SAML для корпоративных приложений в AAD.For more information, see How to customize claims issued in the SAML token for enterprise applications in Azure AD


Обновленный пользовательский интерфейс для настройки приложений на основе SAML (предварительная версия)Updated SAML-based app configuration UI (preview)

Тип. Измененная функция.Type: Changed feature
Категория службы. Корпоративные приложения.Service category: Enterprise Apps
Возможности продукта. Единый вход.Product capability: SSO

В обновленном пользовательском интерфейсе для настройки приложений на основе SAML вы получите следующие возможности:As part of our updated SAML-based app configuration UI, you'll get:

  • новый интерфейс пошаговой настройки приложений на основе SAML;An updated walkthrough experience for configuring your SAML-based apps.

  • больше информации о том, чего не хватает в конфигурации и что настроено неправильно;More visibility about what's missing or incorrect in your configuration.

  • возможность добавлять несколько адресов электронной почты для уведомлений об истечении срока действия сертификата;The ability to add multiple email addresses for expiration certificate notification.

  • новые методы ToLower() и ToUpper() и другие изменения в механизме преобразования утверждений;New claim transformation methods, ToLower() and ToUpper(), and more.

  • возможность передачи собственного сертификата для подписи маркера в корпоративных приложениях;A way to upload your own token signing certificate for your enterprise apps.

  • возможность настроить формат NameID для приложений SAML и указать расширение каталога по идентификатору имени.A way to set the NameID Format for SAML apps, and a way to set the NameID value as Directory Extensions.

Чтобы включить обновленное представление, щелкните ссылку Попробуйте новый интерфейс в верхней части страницы Единый вход.To turn on this updated view, click the Try out our new experience link from the top of the Single Sign-On page. Дополнительные сведения см. в руководстве по настройке единого входа на основе SAML для приложения в Azure Active Directory.For more information, see Tutorial: Configure SAML-based single sign-on for an application with Azure Active Directory.


Август 2018 г.August 2018

Изменения в диапазонах IP-адресов Azure Active DirectoryChanges to Azure Active Directory IP address ranges

Тип. Планирование изменений.Type: Plan for change
Категория службы. Другая.Service category: Other
Возможности продукта. Платформа.Product capability: Platform

Мы вводим большие диапазоны IP-адресов в Azure Active Directory, то есть, если вы настроили диапазоны IP-адресов Azure AD для брандмауэров, маршрутизаторов или групп безопасности сети, вам потребуется их обновить.We're introducing larger IP ranges to Azure AD, which means if you've configured Azure AD IP address ranges for your firewalls, routers, or Network Security Groups, you'll need to update them. Мы выполняем это обновление, поэтому вам не придется менять конфигурацию диапазона IP-адресов брандмауэра, маршрутизатора или сети безопасности, когда Azure Active Directory добавляет новые конечные точки.We're making this update so you won't have to change your firewall, router, or Network Security Groups IP range configurations again when Azure AD adds new endpoints.

Сетевой трафик перейдет в эти новые диапазоны в течение следующих двух месяцев.Network traffic is moving to these new ranges over the next two months. Чтобы продолжить непрерывное обслуживание, вам необходимо добавить эти обновленные значения в свои IP-адреса до 10 сентября 2018 года:To continue with uninterrupted service, you must add these updated values to your IP Addresses before September 10, 2018:

  • 20.190.128.0/1820.190.128.0/18

  • 40.126.0.0/1840.126.0.0/18

Мы настоятельно рекомендуем не удалять старые диапазоны IP-адресов, пока весь сетевой трафик не переместится на новые диапазоны.We strongly recommend not removing the old IP Address ranges until all of your network traffic has moved to the new ranges. Сведения о переносе и о том, когда вы сможете удалить старые диапазоны, см. в разделе URL-адреса и диапазоны IP-адресов Office 365.For updates about the move and to learn when you can remove the old ranges, see Office 365 URLs and IP address ranges.


Уведомление об изменении: коды авторизации больше не будут доступны для повторного использованияChange notice: Authorization codes will no longer be available for reuse

Тип. Планирование изменений.Type: Plan for change
Категория службы. Проверки подлинности (имена входа).Service category: Authentications (Logins)
Возможности продукта. Проверка подлинности пользователей.Product capability: User Authentication

С 15 ноября 2018 г. в Azure AD прекращается поддержка использованных кодов аутентификации для приложений.Starting on November 15, 2018, Azure AD will stop accepting previously used authentication codes for apps. Это изменение системы безопасности помогает Azure AD соответствовать спецификации OAuth и будет применяться для конечных точек версии 1 и 2.This security change helps to bring Azure AD in line with the OAuth specification and will be enforced on both the v1 and v2 endpoints.

Если ваше приложение повторно использует коды проверки подлинности для получения маркеров для нескольких ресурсов, мы рекомендуем использовать код для получения маркера обновления, а затем использовать этот маркер для получения дополнительных маркеров для других ресурсов.If your app reuses authorization codes to get tokens for multiple resources, we recommend that you use the code to get a refresh token, and then use that refresh token to acquire additional tokens for other resources. Коды проверки подлинности можно использовать только один раз, однако маркеры обновления можно использовать несколько раз для нескольких ресурсов.Authorization codes can only be used once, but refresh tokens can be used multiple times across multiple resources. У приложения, которое пытается повторно использовать код аутентификации в потоке кода OAuth, возникнет ошибка invalid_grant.An app that attempts to reuse an authentication code during the OAuth code flow will get an invalid_grant error.

Это и другие изменения в работе с протоколами описаны на странице с полным списком новых возможностей для аутентификации.For this and other protocols-related changes, see the full list of what's new for authentication.


Конвергентное управление сведениями для защиты для самостоятельного сброса пароля (SSPR) и Многофакторной идентификации (MFA)Converged security info management for self-service password (SSPR) and Multi-Factor Authentication (MFA)

Тип. Новая функция.Type: New feature
Категория службы: SSPRService category: SSPR
Возможности продукта. Проверка подлинности пользователей.Product capability: User Authentication

Эта новая функция позволяет пользователям управлять своими сведениями для защиты (например, номером телефона, мобильным приложением и т. д.) для SSPR и MFA в одном расположении и интерфейсе (ранее все выполнялось в двух разных расположениях).This new feature helps people manage their security info (such as, phone number, mobile app, and so on) for SSPR and MFA in a single location and experience; as compared to previously, where it was done in two different locations.

Этот конвергентный интерфейс доступен для пользователей, использующих либо SSPR, либо MFA.This converged experience also works for people using either SSPR or MFA. Кроме того, если организация не требует регистрацию MFA или SSPR в принудительном порядке, пользователи все равно могут зарегистрировать в сведениях для защиты разрешенные организацией методы MFA или SSPR через портал My Apps.Additionally, if your organization doesn't enforce MFA or SSPR registration, people can still register any MFA or SSPR security info methods allowed by your organization from the My Apps portal.

Это общедоступная предварительная версия.This is an opt-in public preview. Администраторы могут включить новую функцию (при необходимости) для выбранной группы или всех пользователей в клиенте.Administrators can turn on the new experience (if desired) for a selected group or for all users in a tenant. Дополнительные сведения о конвергентном интерфейсе см. в этой записи блога.For more information about the converged experience, see the Converged experience blog


Новый параметр "HTTP-Only cookies" в приложениях Azure AD Application ProxyNew HTTP-Only cookies setting in Azure AD Application proxy apps

Тип. Новая функция.Type: New feature
Категория службы. Прокси-сервер приложения.Service category: App Proxy
Возможность продукта. Контроль доступа.Product capability: Access Control

В приложениях Application Proxy доступен новый параметр под названием HTTP-Only Cookies (Только файлы cookie HTTP).There's a new setting called, HTTP-Only Cookies in your Application Proxy apps. Он позволяет обеспечить дополнительную безопасность, включив флаг HTTPOnly в заголовок ответа HTTP для файлов cookie сеанса и доступа к Application Proxy, запрещая доступ к файлу cookie с клиентского скрипта и предотвращая такие действия, как копирование или изменение файла cookie.This setting helps provide extra security by including the HTTPOnly flag in the HTTP response header for both Application Proxy access and session cookies, stopping access to the cookie from a client-side script and further preventing actions like copying or modifying the cookie. Хотя этот флаг ранее не использовался, ваши файлы cookie всегда шифровались и передавались с использованием SSL-соединения, что обеспечивало защиту от неправильных изменений.Although this flag hasn't been used previously, your cookies have always been encrypted and transmitted using an SSL connection to help protect against improper modifications.

Этот параметр несовместим с приложениями, использующими элементы ActiveX, например удаленный рабочий стол.This setting isn't compatible with apps using ActiveX controls, such as Remote Desktop. Если вы находитесь в подобной ситуации, рекомендуем отключить этот параметр.If you're in this situation, we recommend that you turn off this setting.

Дополнительные сведения о параметре HTTP-Only Cookies см. в статье Публикация приложений с помощью Azure AD Application Proxy.For more information about the HTTP-Only Cookies setting, see Publish applications using Azure AD Application Proxy.


Управление привилегированными пользователями (PIM) для ресурсов Azure поддерживает типы ресурсов группы управленияPrivileged Identity Management (PIM) for Azure resources supports Management Group resource types

Тип. Новая функция.Type: New feature
Категория службы. Управление привилегированными пользователями.Service category: Privileged Identity Management
Возможности продукта. Управление привилегированными пользователями.Product capability: Privileged Identity Management

Теперь параметры активации и назначения JIT могут применяться к типам ресурсов группы управления так же, как для подписки, групп ресурсов и ресурсов (таких как виртуальные машины, службы приложений и т. д.).Just-In-Time activation and assignment settings can now be applied to Management Group resource types, just like you already do for Subscriptions, Resource Groups, and Resources (such as VMs, App Services, and more). Кроме того, любой пользователь с ролью, которая предоставляет доступ с правами администратора к группе управления, может обнаружить этот ресурс и управлять им в PIM.In addition, anyone with a role that provides administrator access for a Management Group can discover and manage that resource in PIM.

Дополнительные сведения о PIM и ресурсах Azure см. в статье Обнаружение ресурсов Azure и управление ими с помощью управления привилегированными пользователями.For more information about PIM and Azure resources, see Discover and manage Azure resources by using Privileged Identity Management


Функция доступа к приложениям (предварительная версия) обеспечивает более быстрый доступ к порталу Azure ADApplication access (preview) provides faster access to the Azure AD portal

Тип. Новая функция.Type: New feature
Категория службы. Управление привилегированными пользователями.Service category: Privileged Identity Management
Возможности продукта. Управление привилегированными пользователями.Product capability: Privileged Identity Management

Сегодня при активации роли с помощью PIM может потребоваться более 10 минут, чтобы разрешения вступили в силу.Today, when activating a role using PIM, it can take over 10 minutes for the permissions to take effect. Если вы решите использовать функцию доступа к приложениям, которая в настоящее время находится в режиме общедоступной предварительной версии, администраторы смогут получить доступ к порталу Azure AD, как только будет выполнен запрос активации.If you choose to use Application access, which is currently in public preview, administrators can access the Azure AD portal as soon as the activation request completes.

В настоящее время функция доступа к приложениям поддерживает только интерфейс портала Azure AD и ресурсы Azure.Currently, Application access only supports the Azure AD portal experience and Azure resources. Дополнительные сведения о PIM и доступе к приложениям см. в статье Что такое Azure AD Privileged Identity Management?For more information about PIM and Application access, see What is Azure AD Privileged Identity Management?


Тип. Новая функция.Type: New feature
Категория службы. Корпоративные приложения.Service category: Enterprise Apps
Возможности продукта. Интеграция с решениями сторонних производителей.Product capability: 3rd Party Integration

В августе 2018 года мы добавили эти 16 новых приложений с поддержкой федерации в коллекцию приложений:In August 2018, we've added these 16 new apps with Federation support to the app gallery:

Hornbill, Bridgeline Unbound, Sauce Labs - Mobile and Web Testing, Meta Networks Connector, Way We Do, Spotinst, ProMaster (by Inlogik), SchoolBooking, 4me, Dossier, N2F - Expense reports, Comm100 Live Chat, SafeConnect, ZenQMS, eLuminate, Dovetale.Hornbill, Bridgeline Unbound, Sauce Labs - Mobile and Web Testing, Meta Networks Connector, Way We Do, Spotinst, ProMaster (by Inlogik), SchoolBooking, 4me, Dossier, N2F - Expense reports, Comm100 Live Chat, SafeConnect, ZenQMS, eLuminate, Dovetale.

Дополнительные сведения об этих приложениях см. в статье Интеграция приложений SaaS с Azure Active Directory.For more information about the apps, see SaaS application integration with Azure Active Directory. Дополнительные сведения о том, как добавить приложение в коллекцию приложений Azure AD см. в этой статье.For more information about listing your application in the Azure AD app gallery, see List your application in the Azure Active Directory application gallery.


Теперь в Azure AD Application Proxy доступна собственная поддержка TableauNative Tableau support is now available in Azure AD Application Proxy

Тип. Измененная функция.Type: Changed feature
Категория службы. Прокси-сервер приложения.Service category: App Proxy
Возможность продукта. Контроль доступа.Product capability: Access Control

Благодаря переходу с использования OpenID Connect на протокол предоставления кода OAuth 2.0 для протокола предварительной проверки подлинности вам больше не нужно выполнять дополнительную настройку для использования Tableau с Application Proxy.With our update from the OpenID Connect to the OAuth 2.0 Code Grant protocol for our pre-authentication protocol, you no longer have to do any additional configuration to use Tableau with Application Proxy. Кроме того, это изменение протокола позволяет Application Proxy поддерживать более современные приложения, используя только перенаправления HTTP, которые обычно поддерживаются в тегах JavaScript и HTML.This protocol change also helps Application Proxy better support more modern apps by using only HTTP redirects, which are commonly supported in JavaScript and HTML tags.

Дополнительные сведения о собственной поддержке Tableau в Azure AD Application Proxy см. в этой записи блога.For more information about our native support for Tableau, see Azure AD Application Proxy now with native Tableau support.


Поддержка новой возможности: добавление Google в качестве поставщика удостоверений для гостевых пользователей B2B в Azure Active Directory (предварительная версия)New support to add Google as an identity provider for B2B guest users in Azure Active Directory (preview)

Тип. Новая функция.Type: New feature
Категория службы. B2B.Service category: B2B
Возможности продукта. B2B и B2C.Product capability: B2B/B2C

Настроив федерацию с Google в своей организации, вы можете разрешить приглашенным пользователям Gmail использовать ваши общедоступные приложения и ресурсы со своей учетной записью Google, то есть им не придется создавать личную учетную запись Майкрософт (MSA) или учетную запись AAD.By setting up federation with Google in your organization, you can let invited Gmail users sign in to your shared apps and resources using their existing Google account, without having to create a personal Microsoft Account (MSAs) or an Azure AD account.

Это общедоступная предварительная версия.This is an opt-in public preview. Дополнительные сведения о федерации Google см. статье Добавление Google в качестве поставщика удостоверений для гостевых пользователей B2B.For more information about Google federation, see Add Google as an identity provider for B2B guest users.


Июль 2018 г.July 2018

Усовершенствования уведомлений по электронной почте Azure Active DirectoryImprovements to Azure Active Directory email notifications

Тип. Измененная функция.Type: Changed feature
Категория службы. Другая.Service category: Other
Возможности продукта. Управление жизненным циклом удостоверений.Product capability: Identity lifecycle management

В сообщениях электронной почты Azure Active Directory (Azure AD) теперь отображается обновленный дизайн, изменения адреса электронной почты отправителя и отображаемого имени отправителя при их отправке из следующих служб.Azure Active Directory (Azure AD) emails now feature an updated design, as well as changes to the sender email address and sender display name, when sent from the following services:

  • Проверки доступа Azure ADAzure AD Access Reviews
  • Azure AD Connect Health,Azure AD Connect Health
  • Защита идентификации Azure ADAzure AD Identity Protection
  • Azure AD Privileged Identity ManagementAzure AD Privileged Identity Management
  • Уведомления об истечении срока действия корпоративного приложенияEnterprise App Expiring Certificate Notifications
  • Уведомления об подготовке к работе корпоративного приложенияEnterprise App Provisioning Service Notifications

Уведомления будут отправляться по электронной почте со следующего адреса и отображаемого имени.The email notifications will be sent from the following email address and display name:

  • Адрес электронной почты: azure-noreply@microsoft.comEmail address: azure-noreply@microsoft.com
  • Отображаемое имя: Microsoft AzureDisplay name: Microsoft Azure

Примеры некоторых новых дизайнов писем и дополнительную информацию см. в разделе Email notifications in Azure AD PIM (Уведомления по электронной почте в Azure AD PIM).For an example of some of the new e-mail designs and more information, see Email notifications in Azure AD PIM.


Журналы действий Azure AD теперь доступны через Azure MonitorAzure AD Activity Logs are now available through Azure Monitor

Тип. Новая функция.Type: New feature
Категория службы. Отчеты.Service category: Reporting
Возможности продукта. Мониторинг и отчетность.Product capability: Monitoring & Reporting

Журналы действий Azure AD теперь доступны в общедоступной предварительной версии для Azure Monitor (служба мониторинга всей платформы Azure).The Azure AD Activity Logs are now available in public preview for the Azure Monitor (Azure's platform-wide monitoring service). Azure Monitor предлагает долгосрочное хранение и простую интеграцию, а также следующие улучшения:Azure Monitor offers you long-term retention and seamless integration, in addition to these improvements:

  • долгосрочное хранение за счет перенаправления файлов журналов в собственную учетную запись хранения Azure;Long-term retention by routing your log files to your own Azure storage account.

  • простая интеграция SIEM без необходимости написания или сохранения настраиваемых сценариев;Seamless SIEM integration, without requiring you to write or maintain custom scripts.

  • простая интеграция с собственными настраиваемыми решениями, инструментами аналитики или решениями по управлению инцидентами.Seamless integration with your own custom solutions, analytics tools, or incident management solutions.

Дополнительные сведения об этих новых возможностях см. в записи блога, посвященной общедоступной предварительной версии журналов действий Azure AD в системе диагностики Azure Monitor, а также статье Журналы действий Azure AD в Azure Monitor (предварительная версия).For more information about these new capabilities, see our blog Azure AD activity logs in Azure Monitor diagnostics is now in public preview and our documentation, Azure Active Directory activity logs in Azure Monitor (preview).


Сведения о условном доступе добавлены в отчет о входе в Azure ADConditional Access information added to the Azure AD sign-ins report

Тип. Новая функция.Type: New feature
Категория службы. Отчеты.Service category: Reporting
Возможности продукта. Безопасность и защита удостоверений.Product capability: Identity Security & Protection

Это обновление позволяет увидеть, оценка каких политик выполняется, когда пользователь входит в систему, а также результат политики.This update lets you see which policies are evaluated when a user signs in along with the policy outcome. Кроме того, в отчет теперь входит тип клиентского приложения, используемого пользователем, поэтому вы можете идентифицировать трафик устаревшего протокола.In addition, the report now includes the type of client app used by the user, so you can identify legacy protocol traffic. В записях отчетов теперь также можно выполнить поиск по идентификатору корреляции, который можно найти в сообщении об ошибке пользователя и использовать для идентификации и устранения неполадок соответствующего запроса на вход.Report entries can also now be searched for a correlation ID, which can be found in the user-facing error message and can be used to identify and troubleshoot the matching sign-in request.


Просмотр устаревших способов аутентификации через журналы действий входаView legacy authentications through Sign-ins activity logs

Тип. Новая функция.Type: New feature
Категория службы. Отчеты.Service category: Reporting
Возможности продукта. Мониторинг и отчетность.Product capability: Monitoring & Reporting

С появлением поля Клиентское приложение в журналах действий входа клиенты теперь могут видеть, какие пользователи применяют устаревшие способы аутентификации.With the introduction of the Client App field in the Sign-in activity logs, customers can now see users that are using legacy authentications. Клиенты смогут получить доступ к этим данным с помощью API MS Graph для входов или журналов действий входа на портале Azure AD. Там же можно использовать элемент управления Клиентское приложение для фильтрации устаревших способов аутентификации.Customers will be able to access this information using the Sign-ins MS Graph API or through the Sign-in activity logs in Azure AD portal where you can use the Client App control to filter on legacy authentications. Дополнительные сведения см. в документации.Check out the documentation for more details.


Тип. Новая функция.Type: New feature
Категория службы. Корпоративные приложения.Service category: Enterprise Apps
Возможности продукта. Интеграция с решениями сторонних производителей.Product capability: 3rd Party Integration

В июле 2018 года мы добавили 16 новых приложений с поддержкой федерации в коллекцию приложений:In July 2018, we've added these 16 new apps with Federation support to the app gallery:

Innovation Hub, Leapsome, Certain Admin SSO, PSUC Staging, iPass SmartConnect, Screencast-O-Matic, PowerSchool Unified Classroom, Eli Onboarding, Bomgar Remote Support, Nimblex, Imagineer WebVision, Insight4GRC, SecureW2 JoinNow Connector, Kanbanize, SmartLPA, Skills Base.Innovation Hub, Leapsome, Certain Admin SSO, PSUC Staging, iPass SmartConnect, Screencast-O-Matic, PowerSchool Unified Classroom, Eli Onboarding, Bomgar Remote Support, Nimblex, Imagineer WebVision, Insight4GRC, SecureW2 JoinNow Connector, Kanbanize, SmartLPA, Skills Base

Дополнительные сведения об этих приложениях см. в статье Интеграция приложений SaaS с Azure Active Directory.For more information about the apps, see SaaS application integration with Azure Active Directory. Дополнительные сведения о том, как добавить приложение в коллекцию приложений Azure AD см. в этой статье.For more information about listing your application in the Azure AD app gallery, see List your application in the Azure Active Directory application gallery.


Новые возможности интеграции для подготовки пользователей с приложениями SaaS — июль 2018 г.New user provisioning SaaS app integrations - July 2018

Тип. Новая функция.Type: New feature
Категория службы. Подготовка приложений.Service category: App Provisioning
Возможности продукта. Интеграция с решениями сторонних производителей.Product capability: 3rd Party Integration

Служба Azure AD предоставляет возможность автоматизировать создание, обслуживание и удаление удостоверений пользователей в приложениях SaaS, таких как Dropbox, Salesforce, ServiceNow и т. д.Azure AD allows you to automate the creation, maintenance, and removal of user identities in SaaS applications such as Dropbox, Salesforce, ServiceNow, and more. В июле 2018 года мы добавили поддержку подготовки пользователей в следующие приложения в коллекции приложений Azure AD:For July 2018, we have added user provisioning support for the following applications in the Azure AD app gallery:

Список всех приложений, которые поддерживают подготовку пользователей в коллекции Azure AD, см. в статье Интеграция приложений SaaS с Azure Active Directory.For a list of all applications that support user provisioning in the Azure AD gallery, see SaaS application integration with Azure Active Directory.


Connect Health для синхронизации — более простой способ исправить ошибки синхронизации повторяющихся и потерянных атрибутовConnect Health for Sync - An easier way to fix orphaned and duplicate attribute sync errors

Тип. Новая функция.Type: New feature
Категория службы. AD Connect.Service category: AD Connect
Возможности продукта. Мониторинг и отчетность.Product capability: Monitoring & Reporting

Azure AD Connect Health предоставляет функцию самостоятельного устранения ошибок, позволяющую выявить и исправить ошибки синхронизации.Azure AD Connect Health introduces self-service remediation to help you highlight and fix sync errors. С помощью этой функции можно устранять ошибки синхронизации повторяющихся атрибутов и ошибки потерянных из Azure AD объектов.This feature troubleshoots duplicated attribute sync errors and fixes objects that are orphaned from Azure AD. Этот способ диагностики обеспечивает следующие преимущества:This diagnosis has the following benefits:

  • Сужает круг ошибок синхронизации повторяющихся атрибутов, предоставляя нужные исправления.Narrows down duplicated attribute sync errors, providing specific fixes

  • Применяет исправление для выделенных сценариев Azure AD, устраняя ошибки за одно действие.Applies a fix for dedicated Azure AD scenarios, resolving errors in a single step

  • Для включения и использования этой функции не требуется обновление или настройка.No upgrade or configuration is required to turn on and use this feature

Дополнительные сведения см. в статье Диагностика и устранение ошибок синхронизации повторяющихся атрибутов.For more information, see Diagnose and remediate duplicated attribute sync errors


Визуальные обновления для событий входа MSA и Azure ADVisual updates to the Azure AD and MSA sign-in experiences

Тип. Измененная функция.Type: Changed feature
Категория службы. Azure AD.Service category: Azure AD
Возможности продукта. Проверка подлинности пользователей.Product capability: User Authentication

Мы обновили пользовательский интерфейс для входа в веб-службы Майкрософт, такие как Office 365 и Azure.We've updated the UI for Microsoft's online services sign-in experience, such as for Office 365 and Azure. Благодаря этому изменению экраны стали менее загроможденными и более понятными.This change makes the screens less cluttered and more straightforward. Дополнительные сведения об этом изменении см. в записи блога, посвященной предстоящим улучшениям интерфейса входа Azure AD.For more information about this change, see the Upcoming improvements to the Azure AD sign-in experience blog.


Новый выпуск Azure AD Connect — июль 2018 г.New release of Azure AD Connect - July 2018

Тип. Измененная функция.Type: Changed feature
Категория службы. Подготовка приложений.Service category: App Provisioning
Возможности продукта. Управление жизненным циклом удостоверений.Product capability: Identity Lifecycle Management

Последний выпуск Azure AD Connect включает в себя:The latest release of Azure AD Connect includes:

  • исправления ошибок и обновления функций поддержки;Bug fixes and supportability updates

  • общедоступную версию интеграции между Ping и Federate;General Availability of the Ping-Federate integration

  • обновления для последней версии клиента SQL 2012.Updates to the latest SQL 2012 client

Дополнительные сведения об этом обновлении см. в статье Azure AD Connect. История выпусков версий.For more information about this update, see Azure AD Connect: Version release history


Обновления условий использования пользовательского интерфейса для конечных пользователейUpdates to the terms of use end-user UI

Тип. Измененная функция.Type: Changed feature
Категория службы. Условия использования.Service category: Terms of use
Возможности продукта. Система управления.Product capability: Governance

В пользовательском интерфейсе с условиями использования мы обновляем строку принятия.We're updating the acceptance string in the TOU end-user UI.

Текущий текст.Current text. "Чтобы получить доступ к ресурсам [имя_клиента], вы должны принять условия использования".In order to access [tenantName] resources, you must accept the terms of use.
Новый текст.New text. "Чтобы получить доступ к ресурсам [имя_клиента], вы должны прочитать условия использования".In order to access [tenantName] resource, you must read the terms of use.

Текущий текст. "Выбирая параметр "Принять", вы подтверждаете, что соглашаетесь со всеми вышеупомянутыми условиями использования".Current text: Choosing to accept means that you agree to all of the above terms of use.
Новый текст. "Нажмите кнопку "Принять", чтобы подтвердить, что вы прочитали и поняли условия использования".New text: Please click Accept to confirm that you have read and understood the terms of use.


Сквозная проверка подлинности поддерживает устаревшие протоколы и приложенияPass-through Authentication supports legacy protocols and applications

Тип. Измененная функция.Type: Changed feature
Категория службы. Проверки подлинности (имена входа).Service category: Authentications (Logins)
Возможности продукта. Проверка подлинности пользователей.Product capability: User Authentication

Сквозная проверка подлинности теперь поддерживает устаревшие протоколы и приложения.Pass-through Authentication now supports legacy protocols and apps. Теперь полностью поддерживаются следующие ограничения:The following limitations are now fully supported:

  • Входы пользователей в устаревшие клиентские приложения Office (Office 2010 и Office 2013) без необходимости применения современной проверки подлинности.User sign-ins to legacy Office client applications, Office 2010 and Office 2013, without requiring modern authentication.

  • Общий доступ к календарю и получение сведений о доступности в гибридных средах Exchange поддерживается только для Office 2010.Access to calendar sharing and free/busy information in Exchange hybrid environments on Office 2010 only.

  • Входы пользователей в клиентские приложения Skype для бизнеса без необходимости применения современной проверки подлинности.User sign-ins to Skype for Business client applications without requiring modern authentication.

  • Вход пользователей в PowerShell версии 1.0.User sign-ins to PowerShell version 1.0.

  • Программа регистрации устройств Apple (Apple DEP) с помощью помощника по настройке iOS.The Apple Device Enrollment Program (Apple DEP), using the iOS Setup Assistant.


Управление конвергированными сведениями для защиты для самостоятельного сброса пароля и Многофакторной идентификацииConverged security info management for self-service password reset and Multi-Factor Authentication

Тип. Новая функция.Type: New feature
Категория службы: SSPRService category: SSPR
Возможности продукта. Проверка подлинности пользователей.Product capability: User Authentication

Эта новая функция позволяет пользователям управлять своими сведениями для защиты (например, номером телефона, адресом электронной почты, мобильным приложением и т. д.) для самостоятельного сброса пароля (SSPR) и Многофакторной идентификации (MFA) в одном интерфейсе.This new feature lets users manage their security info (for example, phone number, email address, mobile app, and so on) for self-service password reset (SSPR) and Multi-Factor Authentication (MFA) in a single experience. Пользователям больше не нужно регистрировать одни и те же сведения для защиты для SSPR и MFA в двух разных интерфейсах.Users will no longer have to register the same security info for SSPR and MFA in two different experiences. Этот новый интерфейс также применяется к пользователям с SSPR или MFA.This new experience also applies to users who have either SSPR or MFA.

Если организация не применяет регистрацию MFA или SSPR, пользователи могут зарегистрировать свои сведения для защиты через портал My Apps.If an organization isn't enforcing MFA or SSPR registration, users can register their security info through the My Apps portal. Оттуда они могут зарегистрировать любые методы, разрешенные для MFA или SSPR.From there, users can register any methods enabled for MFA or SSPR.

Это общедоступная предварительная версия.This is an opt-in public preview. Администраторы могут включить новую функцию (при необходимости) для выбранной группы пользователей или всех пользователей в клиенте.Admins can turn on the new experience (if desired) for a selected group of users or all users in a tenant.


Использование приложения Microsoft Authenticator для проверки идентификации при сбросе пароляUse the Microsoft Authenticator app to verify your identity when you reset your password

Тип. Измененная функция.Type: Changed feature
Категория службы: SSPRService category: SSPR
Возможности продукта. Проверка подлинности пользователей.Product capability: User Authentication

Эта функция позволяет пользователям, не являющимся администраторами, подтвердить свою личность при сбросе пароля с помощью уведомления или кода от приложения Microsoft Authenticator (или любого другого приложения проверки подлинности).This feature lets non-admins verify their identity while resetting a password using a notification or code from Microsoft Authenticator (or any other authenticator app). Когда администратор включит этот метод самостоятельного сброса пароля, пользователи, зарегистрировавшие мобильное приложение через aka.ms/mfasetup или aka.ms/setupsecurityinfo, смогут использовать свое мобильное приложение как метод проверки при сбросе пароля.After admins turn on this self-service password reset method, users who have registered a mobile app through aka.ms/mfasetup or aka.ms/setupsecurityinfo can use their mobile app as a verification method while resetting their password.

Уведомление от мобильного приложения можно включить только как часть политики, которая требует двух методов для сброса пароля.Mobile app notification can only be turned on as part of a policy that requires two methods to reset your password.


Июнь 2018 г.June 2018

Уведомление об изменении: исправление безопасности для потока делегированной авторизации для приложений, использующих API журналов действий Azure ADChange notice: Security fix to the delegated authorization flow for apps using Azure AD Activity Logs API

Тип. Планирование изменений.Type: Plan for change
Категория службы. Отчеты.Service category: Reporting
Возможности продукта. Мониторинг и отчетность.Product capability: Monitoring & Reporting

Из-за более строгих требований к обеспечению безопасности нам пришлось внести изменения в разрешения для приложений, использующих поток делегированной авторизации для доступа к API для журналов действий Azure AD.Due to our stronger security enforcement, we’ve had to make a change to the permissions for apps that use a delegated authorization flow to access Azure AD Activity Logs APIs. Это изменение вступило в силу 26 июня 2018 г.This change will occur by June 26, 2018.

Если какое-либо приложение использует API для журналов действий Azure AD, сделайте следующее, чтобы убедиться, что приложение будет работать корректно после внесения изменения.If any of your apps use Azure AD Activity Log APIs, follow these steps to ensure the app doesn’t break after the change happens.

Обновление разрешений для приложенияTo update your app permissions

  1. Войдите на портал Azure и выберите Azure Active Directory, а затем выберите Регистрация приложений.Sign in to the Azure portal, select Azure Active Directory, and then select App Registrations.

  2. Выберите приложение, использующее API для журналов действий Azure AD, щелкните Параметры, а затем — Необходимые разрешения и API Windows Azure Active Directory.Select your app that uses the Azure AD Activity Logs API, select Settings, select Required permissions, and then select the Windows Azure Active Directory API.

  3. В области Необходимые разрешения колонки Разрешить доступ установите флажок рядом с пунктом Read directory (Чтение каталога), а затем выберите Сохранить.In the Delegated permissions area of the Enable access blade, select the box next to Read directory data, and then select Save.

  4. Щелкните Предоставить разрешения и затем выберите Да.Select Grant permissions, and then select Yes.

    Примечание

    Необходимо быть глобальным администратором для предоставления разрешений приложению.You must be a Global administrator to grant permissions to the app.

Дополнительные сведения см. в разделе Предоставление разрешений статьи "Предварительные требования для доступа к API отчетов Azure Active Directory".For more information, see the Grant permissions area of the Prerequisites to access the Azure AD reporting API article.


Настройка параметров TLS для подключения к службам Azure AD, чтобы соответствовать требованиям стандарта PCI DSSConfigure TLS settings to connect to Azure AD services for PCI DSS compliance

Тип. Новая функция.Type: New feature
Категория службы: недоступноService category: N/A
Возможности продукта. Платформа.Product capability: Platform

Transport Layer Security (TLS) — это протокол, обеспечивающий конфиденциальность и целостность данных между двумя взаимодействующими приложениями, и наиболее широко используемый сегодня протокол безопасности.Transport Layer Security (TLS) is a protocol that provides privacy and data integrity between two communicating applications and is the most widely deployed security protocol used today.

Совет по стандартам безопасности индустрии платежных карт определил, что ранние версии TLS и SSL нужно перестать использовать в пользу новых более безопасных протоколов приложений, соответствующих требованиям, начиная с 30 июня 2018 года.The PCI Security Standards Council has determined that early versions of TLS and Secure Sockets Layer (SSL) must be disabled in favor of enabling new and more secure app protocols, with compliance starting on June 30, 2018. Это изменение означает, что при подключении к службам Azure AD и требовании соответствия стандарту PCI DSS необходимо отключить TLS 1.0.This change means that if you connect to Azure AD services and require PCI DSS-compliance, you must disable TLS 1.0. Доступно несколько версий TLS, но TLS 1.2 — это последняя версия, доступная для служб Azure Active Directory.Multiple versions of TLS are available, but TLS 1.2 is the latest version available for Azure Active Directory Services. Корпорация Майкрософт рекомендует перейти непосредственно на TLS 1.2 для комбинаций "клиент — сервер" и "браузер — сервер".We highly recommend moving directly to TLS 1.2 for both client/server and browser/server combinations.

Устаревшие браузеры могут не поддерживать более новые версии TLS, такие как TLS 1.2.Out-of-date browsers might not support newer TLS versions, such as TLS 1.2. Чтобы узнать, какие версии TLS поддерживаются в веб-браузере, перейдите на сайт Qualys SSL Labs и выберите Test your browser (Протестировать браузер).To see which versions of TLS are supported by your browser, go to the Qualys SSL Labs site and click Test your browser. Мы рекомендуем вам перейти на последнюю версию веб-браузера и предпочтительно включить только TLS 1.2.We recommend you upgrade to the latest version of your web browser and preferably enable only TLS 1.2.

Включение TLS 1.2 с помощью браузераTo enable TLS 1.2, by browser

  • Microsoft Edge и Internet Explorer (оба используют Internet Explorer)Microsoft Edge and Internet Explorer (both are set using Internet Explorer)

    1. Откройте Internet Explorer, выберите Сервис > Свойства браузера > Дополнительно.Open Internet Explorer, select Tools > Internet Options > Advanced.
    2. В области Безопасность выберите Использовать TLS 1.2, а затем нажмите кнопку ОК.In the Security area, select use TLS 1.2, and then select OK.
    3. Закройте все окна браузера и перезапустите Internet Explorer.Close all browser windows and restart Internet Explorer.
  • Google ChromeGoogle Chrome

    1. Откройте браузер Google Chrome, введите в адресной строке chrome://settings/ и нажмите клавишу ВВОД.Open Google Chrome, type chrome://settings/ into the address bar, and press Enter.
    2. Разверните параметры Дополнительные, перейдите в область Система и выберите Настройки прокси-сервера.Expand the Advanced options, go to the System area, and select Open proxy settings.
    3. В области Свойства: Интернет выберите вкладку Дополнительно, перейдите в область Безопасность и выберите Использовать TLS 1.2, а затем нажмите кнопку ОК.In the Internet Properties box, select the Advanced tab, go to the Security area, select use TLS 1.2, and then select OK.
    4. Закройте все окна браузера и перезапустите Google Chrome.Close all browser windows and restart Google Chrome.
  • Mozilla FirefoxMozilla Firefox

    1. Откройте Firefox, введите в адресной строке about:config, а затем нажмите клавишу ВВОД.Open Firefox, type about:config into the address bar, and then press Enter.

    2. Найдите термин TLS, а затем выберите запись security.tls.version.max.Search for the term, TLS, and then select the security.tls.version.max entry.

    3. Задайте значение 3, чтобы браузер использовал версию TLS 1.2, а затем нажмите кнопку ОК.Set the value to 3 to force the browser to use up to version TLS 1.2, and then select OK.

      Примечание

      Версия Firefox 60.0 поддерживает TLS 1.3, поэтому также можно задать для security.tls.version.max значение 4.Firefox version 60.0 supports TLS 1.3, so you can also set the security.tls.version.max value to 4.

    4. Закройте все окна браузера и перезапустите Mozilla Firefox.Close all browser windows and restart Mozilla Firefox.


Тип. Новая функция.Type: New feature
Категория службы. Корпоративные приложения.Service category: Enterprise Apps
Возможности продукта. Интеграция с решениями сторонних производителей.Product capability: 3rd Party Integration

В июне 2018 года мы добавили эти 15 новых приложений с поддержкой федерации в коллекцию приложений:In June 2018, we've added these 15 new apps with Federation support to the app gallery:

Skytap, Settling music, бизнес-приложение с включенным токеном SAML 1.1, Supermood, Autotask, Endpoint Backup, Skyhigh Networks, Smartway2, TonicDM, Moconavi, Zoho One, Локальная среда SharePoint, ForeSee CX Suite, Vidyard, ChronicXSkytap, Settling music, SAML 1.1 Token enabled LOB App, Supermood, Autotask, Endpoint Backup, Skyhigh Networks, Smartway2, TonicDM, Moconavi, Zoho One, SharePoint on-premises, ForeSee CX Suite, Vidyard, ChronicX

Дополнительные сведения об этих приложениях см. в статье Интеграция приложений SaaS с Azure Active Directory.For more information about the apps, see SaaS application integration with Azure Active Directory. Дополнительные сведения о том, как добавить приложение в коллекцию приложений Azure AD см. в этой статье.For more information about listing your application in the Azure AD app gallery, see List your application in the Azure Active Directory application gallery.


Защита паролей Azure AD доступна в общедоступной предварительной версииAzure AD Password Protection is available in public preview

Тип. Новая функция.Type: New feature
Категория службы. Защита идентификации.Service category: Identity Protection
Возможности продукта. Проверка подлинности пользователей.Product capability: User Authentication

Защиту паролей Azure AD можно использовать, чтобы исключить легко угадываемые пароли из вашей среды.Use Azure AD Password Protection to help eliminate easily guessed passwords from your environment. Исключение этих паролей помогает снизить риск компрометации в случае атаки с подбором пароля.Eliminating these passwords helps to lower the risk of compromise from a password spray type of attack.

В частности защита паролей Azure AD помогает вам:Specifically, Azure AD Password Protection helps you:

  • защитить учетные записи вашей организации как в Azure AD, так и в Windows Server Active Directory (AD);Protect your organization's accounts in both Azure AD and Windows Server Active Directory (AD).
  • предотвратить использование пользователями паролей из списка 500 наиболее часто используемых паролей и более 1 миллиона вариантов замены этих паролей;Stops your users from using passwords on a list of more than 500 of the most commonly used passwords, and over 1 million character substitution variations of those passwords.
  • управлять защитой паролей Azure AD из одного расположения на портале Azure AD для Azure AD и локального экземпляра Windows Server AD.Administer Azure AD Password Protection from a single location in the Azure AD portal, for both Azure AD and on-premises Windows Server AD.

Дополнительные сведения о защите паролей Azure AD см. в статье Исключение неправильных паролей в организации.For more information about Azure AD Password Protection, see Eliminate bad passwords in your organization.


Новый шаблон политики условного доступа "все гости", созданный во время создания условий использованияNew "all guests" Conditional Access policy template created during terms of use creation

Тип. Новая функция.Type: New feature
Категория службы. Условия использования.Service category: Terms of use
Возможности продукта. Система управления.Product capability: Governance

При создании условий использования также создается новый шаблон политики условного доступа для "всех гостей" и "все приложения".During the creation of your terms of use, a new Conditional Access policy template is also created for "all guests" and "all apps". Этот новый шаблон политики применяет только что созданные условия использования, упрощая создание и применение процесса для гостей.This new policy template applies the newly created ToU, streamlining the creation and enforcement process for guests.

Дополнительные сведения см. в статье Функция "Условия использования Azure Active Directory" (предварительная версия).For more information, see Azure Active Directory Terms of use feature.


Новый шаблон "настраиваемый" политики условного доступа, созданный во время создания условий использованияNew "custom" Conditional Access policy template created during terms of use creation

Тип. Новая функция.Type: New feature
Категория службы. Условия использования.Service category: Terms of use
Возможности продукта. Система управления.Product capability: Governance

При создании условий использования также создается новый шаблон "Настраиваемая политика условного доступа".During the creation of your terms of use, a new “custom” Conditional Access policy template is also created. Этот новый шаблон политики позволяет создать условий использования, а затем сразу перейти в колонку создания политики условного доступа без необходимости вручную перемещаться по порталу.This new policy template lets you create the ToU and then immediately go to the Conditional Access policy creation blade, without needing to manually navigate through the portal.

Дополнительные сведения см. в статье Функция "Условия использования Azure Active Directory" (предварительная версия).For more information, see Azure Active Directory Terms of use feature.


Новое комплексное руководство по развертыванию Многофакторной идентификации AzureNew and comprehensive guidance about deploying Azure Multi-Factor Authentication

Тип. Новая функция.Type: New feature
Категория службы. Другая.Service category: Other
Возможности продукта. Безопасность и защита удостоверений.Product capability: Identity Security & Protection

Мы выпустили новые пошаговые инструкции по развертываю Многофакторной идентификации Azure в организации.We've released new step-by-step guidance about how to deploy Azure Multi-Factor Authentication (MFA) in your organization.

Чтобы просмотреть руководство по развертыванию MFA, перейдите к репозиторию Identity Deployment Guides в GitHub.To view the MFA deployment guide, go to the Identity Deployment Guides repo on GitHub. Чтобы оставить отзыв о руководстве по развертыванию, используйте форму обратной связи плана развертывания.To provide feedback about the deployment guides, use the Deployment Plan Feedback form. Если у вас возникли вопросы о руководствах по развертыванию, свяжитесь с нами на сайте IDGitDeploy.If you have any questions about the deployment guides, contact us at IDGitDeploy.


Делегированные роли управления приложением Azure AD в общедоступной предварительной версииAzure AD delegated app management roles are in public preview

Тип. Новая функция.Type: New feature
Категория службы. Корпоративные приложения.Service category: Enterprise Apps
Возможность продукта. Контроль доступа.Product capability: Access Control

Теперь администратор может делегировать задачи управления приложением без присвоения роли глобального администратора.Admins can now delegate app management tasks without assigning the Global Administrator role. Новые роли и возможности:The new roles and capabilities are:

  • Новые стандартные роли администратора Azure AD:New standard Azure AD admin roles:

    • Администратор приложений.Application Administrator. Предоставляет возможность управлять всеми аспектами всех приложений, в том числе регистрацией, параметрами единого входа, назначением приложений и лицензированием, параметрами прокси-сервера приложений и согласием (за исключением ресурсов Azure AD).Grants the ability to manage all aspects of all apps, including registration, SSO settings, app assignments and licensing, App proxy settings, and consent (except to Azure AD resources).

    • Администратор облачных приложений.Cloud Application Administrator. Предоставляет все возможности администратора приложений, за исключением управления прокси-сервером приложений, так как он не предоставляет локальный доступ.Grants all of the Application Administrator abilities, except for App proxy because it doesn't provide on-premises access.

    • Разработчик приложений.Application Developer. Предоставляет возможность создавать регистрации приложений, даже если отключен параметр, позволяющий пользователям регистрировать приложения.Grants the ability to create app registrations, even if the allow users to register apps option is turned off.

  • Владение (настраивается для регистрации отдельного приложения и для приложения отдельного предприятия, аналогично процессу группового владения:Ownership (set up per-app registration and per-enterprise app, similar to the group ownership process:

    • Владелец регистрации приложения.App Registration Owner. Предоставляет возможность управлять всеми аспектами имеющейся регистрации приложения, включая манифест приложения и добавление дополнительных владельцев.Grants the ability to manage all aspects of owned app registration, including the app manifest and adding additional owners.

    • Владелец корпоративного приложения.Enterprise App Owner. Предоставляет возможность управлять многими аспектами собственных корпоративных приложений, в том числе параметрами единого входа, назначением приложений и согласием (за исключением ресурсов Azure AD).Grants the ability to manage many aspects of owned enterprise apps, including SSO settings, app assignments, and consent (except to Azure AD resources).

Дополнительные сведения об общедоступной предварительной версии см. в записи блога Hallelujah! Azure AD delegated application management roles are in public preview! (Делегированные роли управления приложением Azure AD в общедоступной предварительной версии)For more information about public preview, see the Azure AD delegated application management roles are in public preview! .blog. Дополнительные сведения о ролях и разрешениях см. в статье Назначение ролей администратора в Azure Active Directory.For more information about roles and permissions, see Assigning administrator roles in Azure Active Directory.


Май 2018 г.May 2018

Изменения в поддержке ExpressRouteExpressRoute support changes

Тип. Планирование изменений.Type: Plan for change
Категория службы. Проверки подлинности (имена входа).Service category: Authentications (Logins)
Возможности продукта. Платформа.Product capability: Platform

Предложения модели "программное обеспечение как услуга", такие как Azure Active Directory (Azure AD), лучше всего работают напрямую через Интернет, не требуя ExpressRoute или любых других частных VPN-туннелей.Software as a Service offering, like Azure Active Directory (Azure AD) are designed to work best by going directly through the Internet, without requiring ExpressRoute or any other private VPN tunnels. По этой причине с 1 августа 2018 мы прекращаем поддержку ExpressRoute для служб Azure AD с помощью общедоступного пиринга Azure и сообществ Azure в пиринге корпорации Майкрософт.Because of this, on August 1, 2018, we will stop supporting ExpressRoute for Azure AD services using Azure public peering and Azure communities in Microsoft peering. Во всех службах, на которые повлияет это изменение, трафик Azure AD будет постепенно переходить от ExpressRoute к Интернету.Any services impacted by this change might notice Azure AD traffic gradually shifting from ExpressRoute to the Internet.

Мы изменяем способ предоставления поддержки, но понимаем, что в некоторых ситуациях вам может понадобиться выделенный набор каналов для трафика проверки подлинности.While we're changing our support, we also know there are still situations where you might need to use a dedicated set of circuits for your authentication traffic. Поэтому в Azure AD будут и дальше поддерживаться ограничения диапазона IP-адресов каждого клиента с использованием ExpressRoute и служб, в которых уже используется пиринг Майкрософт, в сообществе "Другие онлайн-службы Office 365"Because of this, Azure AD will continue to support per-tenant IP range restrictions using ExpressRoute and services already on Microsoft peering with the "Other Office 365 Online services" community. Если затронуты ваши службы, но вам требуется ExpressRoute, необходимо сделать следующее:If your services are impacted, but you require ExpressRoute, you must do the following:

  • Если вы используете общедоступный пиринг Azure.If you're on Azure public peering. Необходимо перейти к пирингу Майкрософт и зарегистрироваться в сообществе Другие онлайн-службы Office 365 (12076:5100) .Move to Microsoft peering and sign up for the Other Office 365 Online services (12076:5100) community. Дополнительные сведения см. в статье Переход с общедоступного пиринга на пиринг Майкрософт.For more info about how to move from Azure public peering to Microsoft peering, see the Move a public peering to Microsoft peering article.

  • Если вы используете пиринг Майкрософт.If you're on Microsoft peering. Зарегистрируйтесь в сообществе Другие онлайн-службы Office 365 (12076:5100) .Sign up for the Other Office 365 Online service (12076:5100) community. Дополнительные сведения о требованиях к маршрутизации см. в разделе Поддержка сообществ BGP статьи о требованиях к маршрутизации ExpressRoute.For more info about routing requirements, see the Support for BGP communities section of the ExpressRoute routing requirements article.

Если вам необходимо продолжить использование выделенных каналов, потребуется поговорить со службой технической поддержки учетных записей Майкрософт о том, как получить разрешение на использование сообществаДругие онлайн-службы Office 365 (12076:5100) .If you must continue to use dedicated circuits, you'll need to talk to your Microsoft Account team about how to get authorization to use the Other Office 365 Online service (12076:5100) community. Контрольный совет MS Office проверит, нужны ли вам эти каналы, и убедится, что вы понимаете технические последствия их использования.The MS Office-managed review board will verify whether you need those circuits and make sure you understand the technical implications of keeping them. Несанкционированные подписки, пытающиеся создать фильтры маршрутов для Office 365, получат сообщение об ошибке.Unauthorized subscriptions trying to create route filters for Office 365 will receive an error message.


API Microsoft Graph для администрирования условий использованияMicrosoft Graph APIs for administrative scenarios for TOU

Тип. Новая функция.Type: New feature
Категория службы. Условия использования.Service category: Terms of use
Возможности продукта. Возможности для разработчиковProduct capability: Developer Experience

Мы добавили Microsoft Graph API для администрирования условий использования Azure AD.We've added Microsoft Graph APIs for administration operation of Azure AD terms of use. Вы можете создавать, обновлять и удалять условия использования объекта.You are able to create, update, delete the terms of use object.


Добавление мультитенантной конечной точки Azure AD в качестве поставщика удостоверений в Azure AD B2CAdd Azure AD multi-tenant endpoint as an identity provider in Azure AD B2C

Тип. Новая функция.Type: New feature
Категория службы. B2C — управление удостоверениями клиентов.Service category: B2C - Consumer Identity Management
Возможности продукта. B2B и B2C.Product capability: B2B/B2C

Теперь с помощью пользовательских политик вы можете добавить обычную конечную точку Azure AD в качестве поставщика удостоверений в Azure AD B2C.Using custom policies, you can now add the Azure AD common endpoint as an identity provider in Azure AD B2C. Так у вас будет единая точка входа для всех пользователей Azure AD, которые входят в ваши приложения.This allows you to have a single point of entry for all Azure AD users that are signing into your applications. Дополнительные сведения см. в статье Azure Active Directory B2C. Предоставление пользователям возможности входить в мультитенантный поставщик удостоверений Azure AD с помощью пользовательских политик.For more information, see Azure Active Directory B2C: Allow users to sign in to a multi-tenant Azure AD identity provider using custom policies.


Использование внутренних URL-адресов для доступа к приложениям из любого расположения с помощью компонента "Расширение защищенного входа в мои приложения" и Azure AD Application ProxyUse Internal URLs to access apps from anywhere with our My Apps Sign-in Extension and the Azure AD Application Proxy

Тип. Новая функция.Type: New feature
Категория службы. "Мои приложения".Service category: My Apps
Возможности продукта. Единый вход.Product capability: SSO

Теперь пользователи могут получить доступ к приложениям через внутренние URL-адреса даже за пределами корпоративной сети с помощью компонента "Расширение защищенного входа в мои приложения" для Azure AD.Users can now access applications through internal URLs even when outside your corporate network by using the My Apps Secure Sign-in Extension for Azure AD. Эта возможность поддерживается в любых приложениях, опубликованных с помощью Azure AD Application Proxy, и браузерах, на которых также установлено расширение "Панель доступа".This will work with any application that you have published using Azure AD Application Proxy, on any browser that also has the Access Panel browser extension installed. Возможность перенаправления URL-адресов включается автоматически, когда пользователь входит в расширение.The URL redirection functionality is automatically enabled once a user logs into the extension. Расширение можно скачать для браузеров Microsoft Edge, Chrome и Firefox.The extension is available for download on Microsoft Edge, Chrome, and Firefox.


Azure Active Directory — данные в Европе для европейских клиентовAzure Active Directory - Data in Europe for Europe customers

Тип. Новая функция.Type: New feature
Категория службы. Другая.Service category: Other
Возможности продукта. GoLocal.Product capability: GoLocal

Для соблюдения законов о конфиденциальности и другого европейского законодательства данные клиентов из Европы должны оставаться в Европе и не реплицироваться за пределы европейских центров обработки данных.Customers in Europe require their data to stay in Europe and not replicated outside of European datacenters for meeting privacy and European laws. См. дополнительные сведения о том, какая информация об удостоверениях будет храниться в Европе и за ее пределами.This article provides the specific details on what identity information will be stored within Europe and also provide details on information that will be stored outside European datacenters.


Новые возможности интеграции для подготовки пользователей с приложениями SaaS — май 2018 г.New user provisioning SaaS app integrations - May 2018

Тип. Новая функция.Type: New feature
Категория службы. Подготовка приложений.Service category: App Provisioning
Возможности продукта. Интеграция с решениями сторонних производителей.Product capability: 3rd Party Integration

Служба Azure AD предоставляет возможность автоматизировать создание, обслуживание и удаление удостоверений пользователей в приложениях SaaS, таких как Dropbox, Salesforce, ServiceNow и т. д.Azure AD allows you to automate the creation, maintenance, and removal of user identities in SaaS applications such as Dropbox, Salesforce, ServiceNow, and more. В мае 2018 года мы добавили поддержку подготовки пользователей в следующие приложения в коллекции приложений Azure AD:For May 2018, we have added user provisioning support for the following applications in the Azure AD app gallery:

Список всех приложений, которые поддерживают подготовку пользователей, в коллекции Azure AD см. в статье https://aka.ms/appstutorial.For a list of all applications that support user provisioning in the Azure AD gallery, see https://aka.ms/appstutorial.


Функция проверки доступа Azure AD для групп и приложений теперь поддерживает повторяющиеся проверкиAzure AD access reviews of groups and app access now provides recurring reviews

Тип. Новая функция.Type: New feature
Категория службы. Проверка доступа.Service category: Access Reviews
Возможности продукта. Система управления.Product capability: Governance

Функция проверки доступа для групп и приложений стала общедоступной в Azure AD Premium P2.Access review of groups and apps is now generally available as part of Azure AD Premium P2. Администраторы смогут настраивать автоматическое повторение операций проверки доступа для членств в группах и назначений приложений с регулярным интервалом, например ежемесячно или ежеквартально.Administrators will be able to configure access reviews of group memberships and application assignments to automatically recur at regular intervals, such as monthly or quarterly.


Журналы действий Azure AD (вход и аудит) теперь доступны через MS GraphAzure AD Activity logs (sign-ins and audit) are now available through MS Graph

Тип. Новая функция.Type: New feature
Категория службы. Отчеты.Service category: Reporting
Возможности продукта. Мониторинг и отчетность.Product capability: Monitoring & Reporting

Журналы действий Azure AD, в том числе журналы входа и аудита, теперь доступны через MS Graph.Azure AD Activity logs, which, includes Sign-ins and Audit logs, are now available through MS Graph. Мы предоставили через MS Graph две конечных точки для доступа к этим журналам.We have exposed two end points through MS Graph to access these logs. Ознакомьтесь с документацией по программному доступу к API отчетов Azure AD.Check out our documents for programmatic access to Azure AD Reporting APIs to get started.


Улучшения процедуры активации B2B и возможности покинуть организациюImprovements to the B2B redemption experience and leave an org

Тип. Новая функция.Type: New feature
Категория службы. B2B.Service category: B2B
Возможности продукта. B2B и B2C.Product capability: B2B/B2C

Оперативная активация. Когда вы предоставляете гостевому пользователю ресурс для общего доступа с помощью API B2B, вам не нужно отправлять специальное сообщение с приглашением.Just in time redemption: Once you share a resource with a guest user using B2B API – you don’t need to send out a special invitation email. В большинстве случаев гостевой пользователь может обратиться к ресурсу, после чего выполняется оперативная процедура активации.In most cases, the guest user can access the resource and will be taken through the redemption experience just in time. Больше никаких недоразумений из-за пропущенных сообщений электронной почты.No more impact due to missed emails. Больше никаких вопросов "А вы щелкнули ссылку активации, предоставленную системой?"No more asking your guest users “Did you click on that redemption link the system sent you?”. Это означает, что когда SPO использует диспетчер приглашений, облачные вложения могут иметь одинаковый канонический URL-адрес для всех пользователей — как внутренних, так и внешних — в любом состоянии активации.This means once SPO uses the invitation manager – cloudy attachments can have the same canonical URL for all users – internal and external – in any state of redemption.

Современная процедура активации. Больше никакой целевой страницы активации с разделением экрана.Modern redemption experience: No more split screen redemption landing page. Пользователи увидят современный согласованный интерфейс с заявлением о конфиденциальности приглашающей организации, как это происходит для приложений сторонних разработчиков.Users will see a modern consent experience with the inviting organization's privacy statement, just like they do for third-party apps.

Гостевые пользователи могут покинуть организацию. Когда пользователь решает прекратить сотрудничество с организацией, он может самостоятельно покинуть ее.Guest users can leave the org: Once a user’s relationship with an org is over, they can self-serve leaving the organization. Больше никаких звонков администратору приглашающей организации с просьбой об удалении и никаких запросов в службу поддержки.No more calling the inviting org’s admin to “be removed”, no more raising support tickets.


Тип. Новая функция.Type: New feature
Категория службы. Корпоративные приложения.Service category: Enterprise Apps
Возможности продукта. Интеграция с решениями сторонних производителей.Product capability: 3rd Party Integration

В мае 2018 года мы добавили 18 новых приложений с поддержкой федерации в нашу коллекцию приложений:In May 2018, we've added these 18 new apps with Federation support to our app gallery:

AwardSpring, Infogix Data3Sixty Govern, Yodeck, Jamf Pro, KnowledgeOwl, Envi MMIS, LaunchDarkly, Adobe Captivate Prime, Montage Online, まなびポケット, OpenReel, Arc Publishing - SSO, PlanGrid, iWellnessNow, Proxyclick, Riskware, Flock, Reviewsnap.AwardSpring, Infogix Data3Sixty Govern, Yodeck, Jamf Pro, KnowledgeOwl, Envi MMIS, LaunchDarkly, Adobe Captivate Prime, Montage Online, まなびポケット, OpenReel, Arc Publishing - SSO, PlanGrid, iWellnessNow, Proxyclick, Riskware, Flock, Reviewsnap

Дополнительные сведения об этих приложениях см. в статье Интеграция приложений SaaS с Azure Active Directory.For more information about the apps, see SaaS application integration with Azure Active Directory.

Дополнительные сведения о том, как добавить приложение в коллекцию приложений Azure AD см. в этой статье.For more information about listing your application in the Azure AD app gallery, see List your application in the Azure Active Directory application gallery.


Новое пошаговое руководство по развертыванию для Azure Active DirectoryNew step-by-step deployment guides for Azure Active Directory

Тип. Новая функция.Type: New feature
Категория службы. Другая.Service category: Other
Возможности продукта. Каталог.Product capability: Directory

Новые, пошаговые инструкции по развертыванию Azure Active Directory (Azure AD), включая самостоятельный сброс пароля (SSPR), единый вход (SSO), условный доступ (ЦС), прокси приложения, подготовку пользователей службы федерации Active Directory (AD FS) (ADFS) для Сквозная проверка подлинности (PTA) и ADFS для синхронизации хэшей паролей (PHS).New, step-by-step guidance about how to deploy Azure Active Directory (Azure AD), including self-service password reset (SSPR), single sign-on (SSO), Conditional Access (CA), App proxy, User provisioning, Active Directory Federation Services (ADFS) to Pass-through Authentication (PTA), and ADFS to Password hash sync (PHS).

Чтобы просмотреть руководство по развертыванию, перейдите к репозиторию Identity Deployment Guides в GitHub.To view the deployment guides, go to the Identity Deployment Guides repo on GitHub. Чтобы оставить отзыв о руководстве по развертыванию, используйте форму обратной связи плана развертывания.To provide feedback about the deployment guides, use the Deployment Plan Feedback form. Если у вас возникли вопросы о руководствах по развертыванию, свяжитесь с нами на сайте IDGitDeploy.If you have any questions about the deployment guides, contact us at IDGitDeploy.


Поиск корпоративных приложений — загрузка дополнительных приложенийEnterprise Applications Search - Load More Apps

Тип. Новая функция.Type: New feature
Категория службы. Корпоративные приложения.Service category: Enterprise Apps
Возможности продукта. Единый вход.Product capability: SSO

У вас возникают трудности с поиском приложений или субъектов-служб?Having trouble finding your applications / service principals? Теперь вы можете загружать больше приложений в списке всех корпоративных приложений.We've added the ability to load more applications in your enterprise applications all applications list. По умолчанию отображается 20 приложений.By default, we show 20 applications. Теперь можно щелкнуть Загрузить больше, чтобы просмотреть дополнительные приложения.You can now click, Load more to view additional applications.


Майский выпуск AADConnect содержит общедоступную предварительную версию функции интеграции с PingFederate, важные обновления для системы безопасности, множество исправлений ошибок и новые средства для устранения неполадок.The May release of AADConnect contains a public preview of the integration with PingFederate, important security updates, many bug fixes, and new great new troubleshooting tools.

Тип. Измененная функция.Type: Changed feature
Категория службы. AD Connect.Service category: AD Connect
Возможности продукта. Управление жизненным циклом удостоверений.Product capability: Identity Lifecycle Management

Майский выпуск AADConnect содержит общедоступную предварительную версию функции интеграции с PingFederate, важные обновления для системы безопасности, множество исправлений ошибок и новые средства для устранения неполадок.The May release of AADConnect contains a public preview of the integration with PingFederate, important security updates, many bug fixes, and new great new troubleshooting tools. См. заметки о выпуске.You can find the release notes here.


Проверки доступа Azure AD: автоматическое применениеAzure AD access reviews: auto-apply

Тип. Измененная функция.Type: Changed feature
Категория службы. Проверка доступа.Service category: Access Reviews
Возможности продукта. Система управления.Product capability: Governance

Функция проверки доступа для групп и приложений стала общедоступной в Azure AD Premium P2.Access reviews of groups and apps are now generally available as part of Azure AD Premium P2. Администратор может автоматически применить изменения рецензента к соответствующей группе или соответствующему приложению после завершения проверки доступа.An administrator can configure to automatically apply the reviewer's changes to that group or app as the access review completes. Кроме того, он может указать, что происходит с доступом пользователя, если рецензенты не ответили, а именно: запрет доступа, сохранение доступа или следование рекомендациям системы.The administrator can also specify what happens to the user's continued access if reviewers didn't respond, remove access, keep access, or take system recommendations.


Маркеры идентификации теперь невозможно возвращать с помощью режима ответа query для новых приложений.ID tokens can no longer be returned using the query response_mode for new apps.

Тип. Измененная функция.Type: Changed feature
Категория службы. Проверки подлинности (имена входа).Service category: Authentications (Logins)
Возможности продукта. Проверка подлинности пользователей.Product capability: User Authentication

Приложения, созданные 25 апреля 2018 года или позднее, больше не могут запрашивать значение для id_token с использованием режима ответа query.Apps created on or after April 25, 2018 will no longer be able to request an id_token using the query response_mode. Это обеспечивает соответствие Azure AD спецификациям OIDC и помогает снизить уязвимость ваших приложений перед атаками.This brings Azure AD inline with the OIDC specifications and helps reduce your apps attack surface. Приложения, созданные до 25 апреля 2018 года, могут использовать режим ответа query с типом запроса id_token.Apps created before April 25, 2018 are not blocked from using the query response_mode with a response_type of id_token. При запросе значения id_token из AAD возвращается ошибка AADSTS70007: query не является поддерживаемым значением для режима response_mode при запросе токена.The error returned, when requesting an id_token from AAD, is AADSTS70007: ‘query’ is not a supported value of ‘response_mode’ when requesting a token.

Значения fragment и form_post для режимов ответа по-прежнему доступны при создании новых объектов приложения (например, для использования прокси приложения). Вам следует использовать одно из этих значений response_mode, прежде чем создавать приложения.The fragment and form_post response_modes continue to work - when creating new application objects (for example, for App Proxy usage), ensure use of one of these response_modes before they create a new application.


Апрель 2018 г.April 2018

Общедоступная версия маркера доступа Azure AD B2CAzure AD B2C Access Token are GA

Тип. Новая функция.Type: New feature
Категория службы. B2C — управление удостоверениями клиентов.Service category: B2C - Consumer Identity Management
Возможности продукта. B2B и B2C.Product capability: B2B/B2C

Теперь доступ к интерфейсам веб-API, защищенным Azure AD B2C, можно получать с помощью маркеров доступа.You can now access Web APIs secured by Azure AD B2C using access tokens. Эта функция переходит от общедоступной предварительной версии к общедоступной версии.The feature is moving from public preview to GA. Улучшен пользовательский интерфейс для настройки приложений Azure AD B2C и веб-API, а также внесены другие незначительные улучшения.The UI experience to configure Azure AD B2C applications and web APIs has been improved, and other minor improvements were made.

Дополнительные сведения см. в статье Azure AD B2C: запрос маркеров доступа.For more information, see Azure AD B2C: Requesting access tokens.


Тестирование конфигурации единого входа для приложений на основе SAMLTest single sign-on configuration for SAML-based applications

Тип. Новая функция.Type: New feature
Категория службы. Корпоративные приложения.Service category: Enterprise Apps
Возможности продукта. Единый вход.Product capability: SSO

При настройке приложений с функцией единого входа на основе SAML вы можете протестировать интеграцию на странице конфигурации.When configuring SAML-based SSO applications, you're able to test the integration on the configuration page. Если в процессе входа возникнет ошибка, ее можно указать в интерфейсе тестирования, и Azure AD предоставит вам пошаговые инструкции по решению конкретной проблемы.If you encounter an error during sign in, you can provide the error in the testing experience and Azure AD provides you with resolution steps to solve the specific issue.

Дополнительные сведения см. здесь:For more information, see:


Условия использования Azure AD теперь имеют отчеты "на пользователя"Azure AD terms of use now has per user reporting

Тип. Новая функция.Type: New feature
Категория службы. Условия использования.Service category: Terms of use
Возможности продукта. Соответствие требованиям.Product capability: Compliance

Администраторы теперь могут выбрать заданные условия использования и просмотреть список всех пользователей, которые приняли эти условия, а также дату и время этого события.Administrators can now select a given ToU and see all the users that have consented to that ToU and what date/time it took place.

Дополнительные сведения см. в статье Функция "Условия использования Azure Active Directory".For more information, see the Azure AD terms of use feature.


Azure AD Connect Health: обнаружение ненадежных IP-адресов для защиты блокировки экстрасети AD FSAzure AD Connect Health: Risky IP for AD FS extranet lockout protection

Тип. Новая функция.Type: New feature
Категория службы. Другая.Service category: Other
Возможности продукта. Мониторинг и отчетность.Product capability: Monitoring & Reporting

Connect Health теперь поддерживает обнаружение IP-адресов, для которых превышается пороговое количество неудачных попыток входа с именем пользователя и паролем в час или в день.Connect Health now supports the ability to detect IP addresses that exceed a threshold of failed U/P logins on an hourly or daily basis. Эта функция предоставляет следующие возможности:The capabilities provided by this feature are:

  • Полный отчет, который содержит IP-адрес и число неудачных попыток входа и формируется каждый час или каждый день с настраиваемым пороговым значением.Comprehensive report showing IP address and the number of failed logins generated on an hourly/daily basis with customizable threshold.
  • Оповещения по электронной почте, которые появляются, когда для конкретного IP-адреса превышается порог неудачных попыток входа с именем пользователя и паролем в час или в день.Email-based alerts showing when a specific IP address has exceeded the threshold of failed U/P logins on an hourly/daily basis.
  • Возможность скачать отчет для подробного анализа данныхA download option to do a detailed analysis of the data

Дополнительные сведения см. в разделе об отчете по ненадежным IP-адресам.For more information, see Risky IP Report.


Простая настройка приложений с помощью файла метаданных или URL-адресаEasy app config with metadata file or URL

Тип. Новая функция.Type: New feature
Категория службы. Корпоративные приложения.Service category: Enterprise Apps
Возможности продукта. Единый вход.Product capability: SSO

На странице приложений Enterprise администраторы могут отправить файл метаданных SAML для настройки входа на основе SAML для приложений из коллекции AAD и не входящих в нее.On the Enterprise applications page, administrators can upload a SAML metadata file to configure SAML based sign-on for AAD Gallery and Non-Gallery application.

Кроме того, URL-адрес метаданных федерации приложения Azure AD можно использовать для настройки единого входа в целевом приложении.Additionally, you can use Azure AD application federation metadata URL to configure SSO with the targeted application.

Дополнительные сведения см. в статье Настройка единого входа для приложений, которых нет в коллекции приложений Azure Active Directory.For more information, see Configuring single sign-on to applications that are not in the Azure Active Directory application gallery.


Выпущена общедоступная версия функции "Условия использования"Azure AD Terms of use now generally available

Тип. Новая функция.Type: New feature
Категория службы. Условия использования.Service category: Terms of use
Возможности продукта. Соответствие требованиям.Product capability: Compliance

Условия использования Azure AD были переведены из общедоступной предварительной версии в общую версию.Azure AD terms of use have moved from public preview to generally available.

Дополнительные сведения см. в статье Функция "Условия использования Azure Active Directory".For more information, see the Azure AD terms of use feature.


Предоставление или отзыв приглашений пользователям B2B из отдельных организацийAllow or block invitations to B2B users from specific organizations

Тип. Новая функция.Type: New feature
Категория службы. B2B.Service category: B2B
Возможности продукта. B2B и B2C.Product capability: B2B/B2C

Теперь можно указать, с какими партнерскими организациями вы хотите совместно использовать данные и совместно работать в службе совместной работы Azure AD B2B.You can now specify which partner organizations you want to share and collaborate with in Azure AD B2B Collaboration. Для этого можно создать список определенных разрешенных или запрещенных доменов.To do this, you can choose to create list of specific allow or deny domains. При блокировке домена с помощью этих возможностей сотрудники больше не смогут отправлять приглашения пользователям из этого домена.When a domain is blocked using these capabilities, employees can no longer send invitations to people in that domain.

Это помогает контролировать доступ к ресурсам, обеспечивая при этом удобную работу для утвержденных пользователей.This helps you to control access to your resources, while enabling a smooth experience for approved users.

Эта функция совместной работы B2B доступна для всех Azure Active Directory клиентов и может использоваться в сочетании с функциями Azure AD Premium, такими как условный доступ и защита идентификации, для более точного контроля над тем, когда и как осуществляется вход внешних бизнес-пользователей. в и получите доступ.This B2B Collaboration feature is available for all Azure Active Directory customers and can be used in conjunction with Azure AD Premium features like Conditional Access and identity protection for more granular control of when and how external business users sign in and gain access.

Дополнительные сведения см. в статье Предоставление или отзыв приглашений пользователям B2B из отдельных организаций.For more information, see Allow or block invitations to B2B users from specific organizations.


Тип. Новая функция.Type: New feature
Категория службы. Корпоративные приложения.Service category: Enterprise Apps
Возможности продукта. Интеграция с решениями сторонних производителей.Product capability: 3rd Party Integration

В апреле 2018 года мы добавили 13 новых приложений с поддержкой федерации в нашу коллекцию приложений:In April 2018, we've added these 13 new apps with Federation support to our app gallery:

Criterion HCM, FiscalNote, Secret Server (локальный), Dynamic Signal, mindWireless, OrgChart Now, Ziflow, AppNeta Performance Monitor, Elium, Fluxx Labs, Cisco Cloud, Shelf и SafetyNet.Criterion HCM, FiscalNote, Secret Server (On-Premises), Dynamic Signal, mindWireless, OrgChart Now, Ziflow, AppNeta Performance Monitor, Elium , Fluxx Labs, Cisco Cloud, Shelf, SafetyNet

Дополнительные сведения об этих приложениях см. в статье Интеграция приложений SaaS с Azure Active Directory.For more information about the apps, see SaaS application integration with Azure Active Directory.

Дополнительные сведения о том, как добавить приложение в коллекцию приложений Azure AD см. в этой статье.For more information about listing your application in the Azure AD app gallery, see List your application in the Azure Active Directory application gallery.


Предоставление пользователям B2B в Azure AD доступа к локальным приложениям (общедоступная предварительная версия)Grant B2B users in Azure AD access to your on-premises applications (public preview)

Тип. Новая функция.Type: New feature
Категория службы. B2B.Service category: B2B
Возможности продукта. B2B и B2C.Product capability: B2B/B2C

Теперь организации, использующие возможности совместной работы в Azure Active Directory (AAD) B2B для приглашения гостевых пользователей из партнерских организаций в AAD, могут предоставлять таким пользователям B2B доступ к локальным приложениям.As an organization that uses Azure Active Directory (Azure AD) B2B collaboration capabilities to invite guest users from partner organizations to your Azure AD, you can now provide these B2B users access to on-premises apps. В таких приложениях нужно использовать аутентификацию на основе SAML или встроенную проверку подлинности Windows (IWA) с ограниченным делегированием Kerberos (KCD).These on-premises apps can use SAML-based authentication or Integrated Windows Authentication (IWA) with Kerberos constrained delegation (KCD).

Дополнительные сведения см. в статье Предоставление пользователям B2B в Azure AD доступа к локальным приложениям.For more information, see Grant B2B users in Azure AD access to your on-premises applications.


Получение руководств по интеграции единого входа из Azure MarketplaceGet SSO integration tutorials from the Azure Marketplace

Тип. Измененная функция.Type: Changed feature
Категория службы. Другая.Service category: Other
Возможности продукта. Интеграция с решениями сторонних производителей.Product capability: 3rd Party Integration

Если приложение, указанное в Azure Marketplace поддерживает единый вход на основе SAML, то, щелкнув Получить, можно открыть руководство по интеграции, связанное с этим приложением.If an application that is listed in the Azure marketplace supports SAML based single sign-on, clicking Get it now provides you with the integration tutorial associated with that application.


Повышение производительности автоматической подготовки пользователей Azure AD в приложениях SaaSFaster performance of Azure AD automatic user provisioning to SaaS applications

Тип. Измененная функция.Type: Changed feature
Категория службы. Подготовка приложений.Service category: App Provisioning
Возможности продукта. Интеграция с решениями сторонних производителей.Product capability: 3rd Party Integration

Ранее клиенты, которые с помощью соединителей подготавливали пользователей Azure Active Directory для приложений SaaS (например, Salesforce, ServiceNow и Box), могли испытывать снижение производительности. Так происходило, если в их клиентах Azure AD содержалось свыше 100 000 совокупных пользователей и групп, и для определения пользователей, которых следует подготовить, они использовали назначения пользователей и групп.Previously, customers using the Azure Active Directory user provisioning connectors for SaaS applications (for example Salesforce, ServiceNow, and Box) could experience slow performance if their Azure AD tenants contained over 100,000 combined users and groups, and they were using user and group assignments to determine which users should be provisioned.

2 апреля 2018 года мы развернули значительные улучшения производительности для службы подготовки Azure AD, которые существенно сокращают время, необходимое на выполнение начальной синхронизации Azure Active Directory с целевыми приложениями SaaS.On April 2, 2018, significant performance enhancements were deployed to the Azure AD provisioning service that greatly reduce the amount of time needed to perform initial synchronizations between Azure Active Directory and target SaaS applications.

В результате многие клиенты, у которых начальная синхронизация с приложениями занимала много дней или никогда не завершалась, сейчас завершают ее в течение нескольких минут или часов.As a result, many customers that had initial synchronizations to apps that took many days or never completed, are now completing within a matter of minutes or hours.

Дополнительные сведения см. в разделе Что происходит при подготовке.For more information, see What happens during provisioning?


Самостоятельный сброс пароля с экрана блокировки Windows 10 для компьютеров, присоединенных к гибридной среде Azure ADSelf-service password reset from Windows 10 lock screen for hybrid Azure AD joined machines

Тип. Измененная функция.Type: Changed feature
Категория службы. Самостоятельный сброс пароля.Service category: Self Service Password Reset
Возможности продукта. Проверка подлинности пользователей.Product capability: User Authentication

Мы обновили компонент Windows 10 SSPR, добавив поддержку компьютеров, присоединенных к гибридной среде Azure AD.We have updated the Windows 10 SSPR feature to include support for machines that are hybrid Azure AD joined. Эта функция доступна в Windows 10 RS4 и дает пользователям возможность сбрасывать пароль с экрана блокировки на компьютере с Windows 10.This feature is available in Windows 10 RS4 allows users to reset their password from the lock screen of a Windows 10 machine. Эту функцию могут применять пользователи, которые включены и зарегистрированы для самостоятельного сброса пароля.Users who are enabled and registered for self-service password reset can utilize this feature.

Дополнительные сведения см. в статье Сброс пароля Azure AD на экране входа.For more information, see Azure AD password reset from the login screen.


Март 2018 г.March 2018

Уведомление об истечении срока действия сертификатаCertificate expire notification

Тип. Исправление.Type: Fixed
Категория службы. Корпоративные приложения.Service category: Enterprise Apps
Возможности продукта. Единый вход.Product capability: SSO

Azure AD отправляет уведомление о сертификатах с истекающим сроком действия для приложений из коллекции или не из коллекции.Azure AD sends a notification when a certificate for a gallery or non-gallery application is about to expire.

Некоторые пользователи не получают уведомления о корпоративных приложениях, для которых настроен единый вход для на основе SAML.Some users did not receive notifications for enterprise applications configured for SAML-based single sign-on. Эта проблема была устранена.This issue was resolved. Azure AD отправляет уведомление для сертификатов, срок действия которых истекает через 7, 30 и 60 дней.Azure AD sends notification for certificates expiring in 7, 30 and 60 days. Это событие отображается в журналах аудита.You are able to see this event in the audit logs.

Дополнительные сведения см. здесь:For more information, see:


Поставщики удостоверений Twitter и GitHub в Azure AD B2CTwitter and GitHub identity providers in Azure AD B2C

Тип. Новая функция.Type: New feature
Категория службы. B2C — управление удостоверениями клиентов.Service category: B2C - Consumer Identity Management
Возможности продукта. B2B и B2C.Product capability: B2B/B2C

Теперь в Azure AD B2C можно добавить Twitter или GitHub в качестве поставщика удостоверений.You can now add Twitter or GitHub as an identity provider in Azure AD B2C. От общедоступной предварительной версии Twitter переходит к общедоступной версии.Twitter is moving from public preview to GA. Для GitHub выпускается общедоступная предварительная версия.GitHub is being released in public preview.

Дополнительные сведения см. в статье Что такое служба совместной работы Azure AD B2B.For more information, see What is Azure AD B2B collaboration?.


Ограничение доступа к браузеру с помощью Intune Managed Browser с условным доступом на основе приложений Azure AD для iOS и AndroidRestrict browser access using Intune Managed Browser with Azure AD application-based Conditional Access for iOS and Android

Тип. Новая функция.Type: New feature
Категория службы. Условный доступ.Service category: Conditional Access
Возможности продукта. Безопасность и защита удостоверений.Product capability: Identity Security & Protection

Сейчас на этапе общедоступной предварительной версииNow in public preview!

Единый вход в Intune Managed Browser. Ваши сотрудники могут использовать единый вход через собственные клиенты (например, Microsoft Outlook) и Intune Managed Browser для всех подключенных приложений Azure AD.Intune Managed Browser SSO: Your employees can use single sign-on across native clients (like Microsoft Outlook) and the Intune Managed Browser for all Azure AD-connected apps.

Intune Managed Browser поддержка условного доступа: Теперь вы можете требовать от сотрудников использовать управляемый браузер Intune с помощью политик условного доступа на основе приложений.Intune Managed Browser Conditional Access Support: You can now require employees to use the Intune Managed browser using application-based Conditional Access policies.

Дополнительные сведения об этом см. в нашем блоге.Read more about this in our blog post.

Дополнительные сведения см. здесь:For more information, see:


Командлеты для прокси приложения в общедоступной версии модуля PowerShellApp Proxy Cmdlets in Powershell GA Module

Тип. Новая функция.Type: New feature
Категория службы. Прокси-сервер приложения.Service category: App Proxy
Возможность продукта. Контроль доступа.Product capability: Access Control

Теперь в общедоступной версии модуля PowerShell поддерживаются командлеты для прокси приложения.Support for Application Proxy cmdlets is now in the Powershell GA Module! Для этого требуется своевременно обновлять модули PowerShell. Если используемая версия модуля не будет обновляться более одного года, то некоторые командлеты могут перестать работать.This does require you to stay updated on Powershell modules - if you become more than a year behind, some cmdlets may stop working.

Дополнительные сведения см. в разделе AzureAD.For more information, see AzureAD.


Поддержка собственных клиентов Office 365 службой простого единого входа с помощью неинтерактивного протоколаOffice 365 native clients are supported by Seamless SSO using a non-interactive protocol

Тип. Новая функция.Type: New feature
Категория службы. Проверки подлинности (имена входа).Service category: Authentications (Logins)
Возможности продукта. Проверка подлинности пользователей.Product capability: User Authentication

Пользователь, применяющий собственные клиенты Office 365 (версии 16.0.8730.xxxx и более поздней версии), может использовать автоматический вход с помощью простого единого входа.User using Office 365 native clients (version 16.0.8730.xxxx and above) get a silent sign-on experience using Seamless SSO. Поддержка этой возможности обеспечивается за счет добавления в Azure AD неинтерактивного протокола (WS-Trust).This support is provided by the addition a non-interactive protocol (WS-Trust) to Azure AD.

Дополнительные сведения см. в разделе Как работает вход с функцией простого единого входа в собственном клиенте?For more information, see How does sign-in on a native client with Seamless SSO work?


Пользователи могут использовать автоматический вход с помощью простого единого входа, если приложение отправляет запросы на вход на клиентские конечные точки Azure ADUsers get a silent sign-on experience, with Seamless SSO, if an application sends sign-in requests to Azure AD's tenant endpoints

Тип. Новая функция.Type: New feature
Категория службы. Проверки подлинности (имена входа).Service category: Authentications (Logins)
Возможности продукта. Проверка подлинности пользователей.Product capability: User Authentication

Пользователи могут использовать автоматический вход с помощью простого единого входа, если приложение (например, https://contoso.sharepoint.com) отправляет запросы на вход на клиентские конечные точки Azure AD, т. е. https://login.microsoftonline.com/contoso.com/<..> или https://login.microsoftonline.com/<tenant_ID>/<..>, вместо обычной конечной точки Azure AD (https://login.microsoftonline.com/common/<...>).Users get a silent sign-on experience, with Seamless SSO, if an application (for example, https://contoso.sharepoint.com) sends sign-in requests to Azure AD's tenant endpoints - that is, https://login.microsoftonline.com/contoso.com/<..> or https://login.microsoftonline.com/<tenant_ID>/<..> - instead of Azure AD's common endpoint (https://login.microsoftonline.com/common/<...>).

Дополнительные сведения см. в разделе Устранение неполадок с простым единым входом Azure Active Directory.For more information, see Azure Active Directory Seamless Single Sign-On.


Необходимо добавить в параметры зоны интрасети пользователей только один URL-адрес Azure AD вместо двух (как было раньше) для развертывания простого единого входаNeed to add only one Azure AD URL, instead of two URLs previously, to users' Intranet zone settings to roll out Seamless SSO

Тип. Новая функция.Type: New feature
Категория службы. Проверки подлинности (имена входа).Service category: Authentications (Logins)
Возможности продукта. Проверка подлинности пользователей.Product capability: User Authentication

Чтобы развернуть простой единый вход для пользователей, необходимо добавить только один URL-адрес Azure AD в параметры зоны интрасети пользователей с помощью групповой политики Active Directory: https://autologon.microsoftazuread-sso.com.To roll out Seamless SSO to your users, you need to add only one Azure AD URL to the users' Intranet zone settings by using group policy in Active Directory: https://autologon.microsoftazuread-sso.com. Ранее клиентам требовалось добавить два URL-адреса.Previously, customers were required to add two URLs.

Дополнительные сведения см. в разделе Устранение неполадок с простым единым входом Azure Active Directory.For more information, see Azure Active Directory Seamless Single Sign-On.


Тип. Новая функция.Type: New feature
Категория службы. Корпоративные приложения.Service category: Enterprise Apps
Возможности продукта. Интеграция с решениями сторонних производителей.Product capability: 3rd Party Integration

В марте 2018 года мы добавили 15 новых приложений с поддержкой федерации в нашу коллекцию приложений:In March 2018, we've added these 15 new apps with Federation support to our app gallery:

Boxcryptor, CylancePROTECT, Wrike, SignalFx, Assistant by FirstAgenda, YardiOne, Vtiger CRM, inwink, Amplitude, Spacio, ContractWorks, Bersin, Mercell, Trisotech Digital Enterprise Server, Qumu Cloud.Boxcryptor, CylancePROTECT, Wrike, SignalFx, Assistant by FirstAgenda, YardiOne, Vtiger CRM, inwink, Amplitude, Spacio, ContractWorks, Bersin, Mercell, Trisotech Digital Enterprise Server, Qumu Cloud.

Дополнительные сведения об этих приложениях см. в статье Интеграция приложений SaaS с Azure Active Directory.For more information about the apps, see SaaS application integration with Azure Active Directory.

Дополнительные сведения о том, как добавить приложение в коллекцию приложений Azure AD см. в этой статье.For more information about listing your application in the Azure AD app gallery, see List your application in the Azure Active Directory application gallery.


Выпущена общедоступная версия PIM для ресурсов AzurePIM for Azure Resources is generally available

Тип. Новая функция.Type: New feature
Категория службы. Управление привилегированными пользователями.Service category: Privileged Identity Management
Возможности продукта. Управление привилегированными пользователями.Product capability: Privileged Identity Management

Теперь при использовании управления привилегированными пользователями Azure AD для ролей каталога можно применять возможности временного ограничения доступа и назначения для таких ролей ресурсов Azure, как подписки, группы ресурсов, виртуальные машины, а также любого другого ресурса, поддерживаемого Azure Resource Manager.If you are using Azure AD Privileged Identity Management for directory roles, you can now use PIM's time-bound access and assignment capabilities for Azure Resource roles such as Subscriptions, Resource Groups, Virtual Machines, and any other resource supported by Azure Resource Manager. Вы можете применять Многофакторную идентификацию при JIT-активации ролей и планировать активацию в соответствии с утвержденными периодами изменений.Enforce Multi-Factor Authentication when activating roles Just-In-Time, and schedule activations in coordination with approved change windows. Кроме того, в этом выпуске добавлены усовершенствования, отсутствующие в общедоступной предварительной версии, включая обновленный пользовательский интерфейс, рабочие процессы утверждения и возможность расширения ролей с истекающим сроком действия и обновления ролей с истекшим сроком действия.In addition, this release adds enhancements not available during public preview including an updated UI, approval workflows, and the ability to extend roles expiring soon and renew expired roles.

Дополнительные сведения см. в статье PIM для ресурсов Azure (предварительная версия).For more information, see PIM for Azure resources (Preview)


Добавление необязательных утверждений для токенов приложений (предварительная версия)Adding Optional Claims to your apps tokens (public preview)

Тип. Новая функция.Type: New feature
Категория службы. Проверки подлинности (имена входа).Service category: Authentications (Logins)
Возможности продукта. Проверка подлинности пользователей.Product capability: User Authentication

Теперь приложение Azure AD может запрашивать пользовательские или необязательные утверждения в токенах JWT или SAML.Your Azure AD app can now request custom or optional claims in JWTs or SAML tokens. Это утверждения о пользователе или клиенте, которые не включены по умолчанию в токен из-за ограничения размера или применимости.These are claims about the user or tenant that are not included by default in the token, due to size or applicability constraints. В настоящий момент доступна общедоступная предварительная версия этой функции для приложений Azure AD в конечных точках версии 1.0 и версии 2.0.This is currently in public preview for Azure AD apps on the v1.0 and v2.0 endpoints. Ознакомьтесь с соответствующей документацией, чтобы получить сведения о том, какие утверждения могут быть добавлены и как изменить манифест приложения, чтобы запросить их.See the documentation for information on what claims can be added and how to edit your application manifest to request them.

Дополнительные сведения см. в статье Optional claims in Azure AD (preview) (Необязательные утверждения в Azure AD (предварительная версия)).For more information, see Optional claims in Azure AD.


Azure AD поддерживает PKCE для более безопасных потоков OAuthAzure AD supports PKCE for more secure OAuth flows

Тип. Новая функция.Type: New feature
Категория службы. Проверки подлинности (имена входа).Service category: Authentications (Logins)
Возможности продукта. Проверка подлинности пользователей.Product capability: User Authentication

Документация по Azure AD была обновлена с учетом поддержки PKCE, что обеспечивает более безопасную связь во время потока предоставления кода авторизации OAuth 2.0.Azure AD docs have been updated to note support for PKCE, which allows for more secure communication during the OAuth 2.0 Authorization Code grant flow. S256 и code_challenge без шифрования поддерживаются в конечных точках версии 1.0 и версии 2.0.Both S256 and plaintext code_challenges are supported on the v1.0 and v2.0 endpoints.

Дополнительные сведения см. в разделе Запрос кода авторизации.For more information, see Request an authorization code.


Поддержка подготовки всех значений атрибутов пользователя, доступных в API Get_Workers WorkdaySupport for provisioning all user attribute values available in the Workday Get_Workers API

Тип. Новая функция.Type: New feature
Категория службы. Подготовка приложений.Service category: App Provisioning
Возможности продукта. Интеграция с решениями сторонних производителей.Product capability: 3rd Party Integration

Общедоступная предварительная версия функции подготовки входящих данных из Workday в Active Directory и Azure AD теперь поддерживает возможность извлечения и подготовки всех значений атрибутов в API Get_Workers Workday.The public preview of inbound provisioning from Workday to Active Directory and Azure AD now supports the ability to extract and provisioning all attribute values available in the Workday Get_Workers API. Добавлена поддержка сотен дополнительных стандартных и пользовательских атрибутов, не входящих в состав первоначальной версии соединителя подготовки входящих данных Workday.This adds supports for hundreds of additional standard and custom attributes beyond the ones shipped with the initial version of the Workday inbound provisioning connector.

Дополнительные сведения см. в разделе Настройка списка атрибутов пользователя Workday.For more information, see: Customizing the list of Workday user attributes


Изменение динамического членства в группе на статическое (и наоборот)Changing group membership from dynamic to static, and vice versa

Тип. Новая функция.Type: New feature
Категория службы. Управление группами.Service category: Group Management
Возможности продукта. Совместная работа.Product capability: Collaboration

Можно изменить способ управления членством в группе.It is possible to change how membership is managed in a group. Это удобно, если требуется сохранить имя и идентификатор группы в системе, чтобы все существующие ссылки на эту группу по-прежнему были действительны. При создании новой группы эти ссылки потребовалось бы обновить.This is useful when you want to keep the same group name and ID in the system, so any existing references to the group are still valid; creating a new group would require updating those references. Мы обновили центр администрирования Azure AD, чтобы поддержать эту функцию.We've updated the Azure AD Admin center to support this functionality. Теперь клиенты могут изменять динамическое членство в существующих группах на статическое (и наоборот).Now, customers can convert existing groups from dynamic membership to assigned membership and vice-versa. Существующие командлеты PowerShell по-прежнему доступны.The existing PowerShell cmdlets are also still available.

Дополнительные сведения см. в разделе правила динамического членства для групп в Azure Active DirectoryFor more information, see Dynamic membership rules for groups in Azure Active Directory


Улучшенный выход при простом едином входеImproved sign-out behavior with Seamless SSO

Тип. Измененная функция.Type: Changed feature
Категория службы. Проверки подлинности (имена входа).Service category: Authentications (Logins)
Возможности продукта. Проверка подлинности пользователей.Product capability: User Authentication

Ранее, если пользователи даже после явного выхода из приложения, защищенного Azure AD, пытались получить доступ к приложению Azure AD в своей корпоративной сети с собственных устройств, присоединенных к домену, они автоматически повторяли вход с помощью простого единого входа.Previously, even if users explicitly signed out of an application secured by Azure AD, they would be automatically signed back in using Seamless SSO if they were trying to access an Azure AD application again within their corpnet from their domain joined devices. Благодаря данному изменению поддерживается выход.With this change, sign out is supported. Это позволяет пользователям выбрать другую или ту же учетную запись Azure AD для входа вместо того, чтобы автоматически входить с помощью простого единого входа.This allows users to choose the same or different Azure AD account to sign back in with, instead of being automatically signed in using Seamless SSO.

Дополнительные сведения см. в разделе Устранение неполадок с простым единым входом Azure Active Directory.For more information, see Azure Active Directory Seamless Single Sign-On


Выпущен соединитель прокси приложения версии 1.5.402.0Application Proxy Connector Version 1.5.402.0 Released

Тип. Измененная функция.Type: Changed feature
Категория службы. Прокси-сервер приложения.Service category: App Proxy
Возможности продукта. Безопасность и защита удостоверений.Product capability: Identity Security & Protection

Эта версия соединителя постепенно разворачивалась в ноябре.This connector version is gradually being rolled out through November. Данная новая версия соединителя включает в себя следующие изменения.This new connector version includes the following changes:

  • Теперь соединитель задает файлы cookie уровня домена, а не уровня поддомена.The connector now sets domain level cookies instead subdomain level. Это обеспечивает более удобный единый вход и позволяет избежать избыточных запросов аутентификации.This ensures a smoother SSO experience and avoids redundant authentication prompts.
  • Поддержка запросов на поблочное кодирование.Support for chunked encoding requests
  • Улучшенный мониторинг работоспособности соединителей.Improved connector health monitoring
  • Устранено несколько ошибок и повышена стабильность.Several bug fixes and stability improvements

Дополнительные сведения см. в разделе Сведения о соединителях прокси приложения Azure AD.For more information, see Understand Azure AD Application Proxy connectors.


Февраль 2018 г.February 2018

Улучшенная навигация для управления пользователями и группамиImproved navigation for managing users and groups

Тип. Планирование изменений.Type: Plan for change
Категория службы. Управление каталогами.Service category: Directory Management
Возможности продукта. Каталог.Product capability: Directory

Упрощена навигация для управления пользователями и группами.The navigation experience for managing users and groups has been streamlined. Теперь вы можете переходить из обзора каталога непосредственно к списку всех пользователей с удобным доступом к списку удаленных пользователей,You can now navigate from the directory overview directly to the list of all users, with easier access to the list of deleted users. а также к списку всех групп с удобным доступом к параметрам управления группами.You can also navigate from the directory overview directly to the list of all groups, with easier access to group management settings. Кроме того, на странице обзора каталога можно выполнить поиск пользователя, группы, корпоративного приложения или регистрацию приложения.And also from the directory overview page, you can search for a user, group, enterprise application, or app registration.


Доступность журналов входов в систему и отчетов об аудите в Microsoft Azure, обслуживаемой 21Vianet (21Vianet в Azure для Китая)Availability of sign-ins and audit reports in Microsoft Azure operated by 21Vianet (Azure China 21Vianet)

Тип. Новая функция.Type: New feature
Категория службы. Azure StackService category: Azure Stack
Возможности продукта. Мониторинг и отчетность.Product capability: Monitoring & Reporting

Отчеты журнала действий Azure AD теперь доступны в Microsoft Azure, обслуживаемой экземплярами 21Vianet (21Vianet в Azure для Китая).Azure AD Activity log reports are now available in Microsoft Azure operated by 21Vianet (Azure China 21Vianet) instances. Сюда относятся следующие журналы:The following logs are included:

  • Журналы действий входов в систему. Журналы всех входов в систему, связанные с вашим клиентом.Sign-ins activity logs - Includes all the sign-ins logs associated with your tenant.

  • Журналы самостоятельного аудита паролей. Все журналы аудита SSPR.Self service Password Audit Logs - Includes all the SSPR audit logs.

  • Журналы аудита управления каталогами. Все журналы аудита, связанные с управлением каталогами, например управлением пользователями, управлением приложениями и другими видами управления.Directory Management Audit logs - Includes all the directory management-related audit logs like User management, App Management, and others.

Из этих журналов можно получить важные сведения о том, как работает ваша среда.With these logs, you can gain insights into how your environment is doing. Полученные данные позволят вам выполнять следующее:The provided data enables you to:

  • определять, как приложения и службы используются пользователями;Determine how your apps and services are utilized by your users.

  • устранить неполадки, влияющие на работу пользователей.Troubleshoot issues preventing your users from getting their work done.

Дополнительные сведения об использовании этих отчетов см. в статье Отчеты Azure Active Directory.For more information about how to use these reports, see Azure Active Directory reporting.


Просмотр отчетов об активности Azure AD с использованием роли "Читатель отчетов" (без прав администратора роли)Use "Report Reader" role (non-admin role) to view Azure AD Activity Reports

Тип. Новая функция.Type: New feature
Категория службы. Отчеты.Service category: Reporting
Возможности продукта. Мониторинг и отчетность.Product capability: Monitoring & Reporting

Прислушиваясь к предложениям клиентов предоставить ролям без прав администратора доступ к журналам действий Azure AD, мы предоставили пользователям, которым назначена роль "Читатель отчетов", доступ к действиям, связанным с входом и аудитом, на портале Azure, а также с помощью наших API Graph.As part of customers feedback to enable non-admin roles to have access to Azure AD activity logs, we have enabled the ability for users who are in the "Report Reader" role to access Sign-ins and Audit activity within the Azure portal as well as using our Graph APIs.

Дополнительные сведения об использовании этих отчетов см. в статье Отчеты Azure Active Directory.For more information, how to use these reports, see Azure Active Directory reporting.


Утверждение EmployeeID, доступное в виде атрибута пользователя и идентификатора пользователяEmployeeID claim available as user attribute and user identifier

Тип. Новая функция.Type: New feature
Категория службы. Корпоративные приложения.Service category: Enterprise Apps
Возможности продукта. Единый вход.Product capability: SSO

Утверждение EmployeeID можно настроить как идентификатор пользователя и атрибут пользователя для пользователей-участников и гостей B2B в приложении с входом на основе SAML из пользовательского интерфейса корпоративного приложения.You can configure EmployeeID as the User identifier and User attribute for member users and B2B guests in SAML-based sign-on applications from the Enterprise application UI.

Дополнительные сведения см. в статье Настройка утверждений, выпущенных в токене SAML для корпоративных приложений в Azure Active Directory.For more information, see Customizing claims issued in the SAML token for enterprise applications in Azure Active Directory.


Упрощенное управление приложениями с использованием подстановочных знаков в Azure AD Application ProxySimplified Application Management using Wildcards in Azure AD Application Proxy

Тип. Новая функция.Type: New feature
Категория службы. Прокси-сервер приложения.Service category: App Proxy
Возможности продукта. Проверка подлинности пользователей.Product capability: User Authentication

Чтобы облегчить процесс развертывания приложений и сократить административные расходы, мы теперь поддерживаем возможность публикации приложений с использованием подстановочных знаков.To make application deployment easier and reduce your administrative overhead, we now support the ability to publish applications using wildcards. Чтобы опубликовать приложение с подстановочным знаком, можно выполнить стандартный поток публикации приложения, но во внутренних и внешних URL-адресах использовать подстановочный знак.To publish a wildcard application, you can follow the standard application publishing flow, but use a wildcard in the internal and external URLs.

Дополнительные сведения см. в статье Приложения с подстановочным знаком в прокси приложения Azure Active Directory.For more information, see Wildcard applications in the Azure Active Directory application proxy


Новые командлеты для поддержки конфигурации прокси-сервера приложенияNew cmdlets to support configuration of Application Proxy

Тип. Новая функция.Type: New feature
Категория службы. Прокси-сервер приложения.Service category: App Proxy
Возможности продукта. Платформа.Product capability: Platform

В последнем выпуске модуля предварительной версии AzureAD PowerShell содержатся новые командлеты, позволяющие клиентам настраивать приложения прокси-сервера приложения с помощью PowerShell.The latest release of the AzureAD PowerShell Preview module contains new cmdlets that allow customers to configure Application Proxy Applications using PowerShell.

Ниже перечислены новые командлеты.The new cmdlets are:

  • Get-AzureADApplicationProxyApplicationGet-AzureADApplicationProxyApplication
  • Get-AzureADApplicationProxyApplicationConnectorGroupGet-AzureADApplicationProxyApplicationConnectorGroup
  • Get-AzureADApplicationProxyConnectorGet-AzureADApplicationProxyConnector
  • Get-AzureADApplicationProxyConnectorGroupGet-AzureADApplicationProxyConnectorGroup
  • Get-AzureADApplicationProxyConnectorGroupMembersGet-AzureADApplicationProxyConnectorGroupMembers
  • Get-AzureADApplicationProxyConnectorMemberOfGet-AzureADApplicationProxyConnectorMemberOf
  • New-AzureADApplicationProxyApplicationNew-AzureADApplicationProxyApplication
  • New-AzureADApplicationProxyConnectorGroupNew-AzureADApplicationProxyConnectorGroup
  • Remove-AzureADApplicationProxyApplicationRemove-AzureADApplicationProxyApplication
  • Remove-AzureADApplicationProxyApplicationConnectorGroupRemove-AzureADApplicationProxyApplicationConnectorGroup
  • Remove-AzureADApplicationProxyConnectorGroupRemove-AzureADApplicationProxyConnectorGroup
  • Set-AzureADApplicationProxyApplicationSet-AzureADApplicationProxyApplication
  • Set-AzureADApplicationProxyApplicationConnectorGroupSet-AzureADApplicationProxyApplicationConnectorGroup
  • Set-AzureADApplicationProxyApplicationCustomDomainCertificateSet-AzureADApplicationProxyApplicationCustomDomainCertificate
  • Set-AzureADApplicationProxyApplicationSingleSignOnSet-AzureADApplicationProxyApplicationSingleSignOn
  • Set-AzureADApplicationProxyConnectorSet-AzureADApplicationProxyConnector
  • Set-AzureADApplicationProxyConnectorGroupSet-AzureADApplicationProxyConnectorGroup

Новые командлеты для поддержки конфигурации группNew cmdlets to support configuration of groups

Тип. Новая функция.Type: New feature
Категория службы. Прокси-сервер приложения.Service category: App Proxy
Возможности продукта. Платформа.Product capability: Platform

В последнем выпуске модуля AzureAD PowerShell содержатся командлеты для управления группами в Azure AD.The latest release of the AzureAD PowerShell module contains cmdlets to manage groups in Azure AD. Эти командлеты ранее были доступны в модуле AzureADPreview и теперь добавлены в модуль AzureADThese cmdlets were previously available in the AzureADPreview module and are now added to the AzureAD module

К командлетам группы, которые теперь входят в общедоступную версию, относятся:The Group cmdlets that are now release for General Availability are:

  • Get-AzureADMSGroupGet-AzureADMSGroup
  • New-AzureADMSGroupNew-AzureADMSGroup
  • Remove-AzureADMSGroupRemove-AzureADMSGroup
  • Set-AzureADMSGroupSet-AzureADMSGroup
  • Get-AzureADMSGroupLifecyclePolicyGet-AzureADMSGroupLifecyclePolicy
  • New-AzureADMSGroupLifecyclePolicyNew-AzureADMSGroupLifecyclePolicy
  • Remove-AzureADMSGroupLifecyclePolicyRemove-AzureADMSGroupLifecyclePolicy
  • Add-AzureADMSLifecyclePolicyGroupAdd-AzureADMSLifecyclePolicyGroup
  • Remove-AzureADMSLifecyclePolicyGroupRemove-AzureADMSLifecyclePolicyGroup
  • Reset-AzureADMSLifeCycleGroupReset-AzureADMSLifeCycleGroup
  • Get-AzureADMSLifecyclePolicyGroupGet-AzureADMSLifecyclePolicyGroup

Доступна новая версия Azure AD ConnectA new release of Azure AD Connect is available

Тип. Новая функция.Type: New feature
Категория службы. AD Sync.Service category: AD Sync
Возможности продукта. Платформа.Product capability: Platform

Azure AD Connect предпочтительней использовать для синхронизации данных между Azure AD и локальными источниками данных, включая Windows Server Active Directory и LDAP.Azure AD Connect is the preferred tool to synchronize data between Azure AD and on premises data sources, including Windows Server Active Directory and LDAP.

Важно!

В этой сборке представлены изменения схем и правил синхронизации.This build introduces schema and sync rule changes. После обновления служба синхронизации Azure AD Connect запустит действия полного импорта и полной синхронизации.The Azure AD Connect Synchronization Service triggers a Full Import and Full Synchronization steps after an upgrade. Сведения о том, как изменить эту реакцию на событие, см. в разделе Как отложить полную синхронизацию после обновления.For information on how to change this behavior, see How to defer full synchronization after upgrade.

Этот выпуск содержит следующие обновления и изменения.This release has the following updates and changes:

Исправленные проблемыFixed issues

  • Устранены ошибки с временным окном выполнения фоновых задач для страницы фильтрации разделов при переходе на следующую страницу.Fix timing window on background tasks for Partition Filtering page when switching to next page.

  • Устранена ошибка, вызывавшая нарушение прав доступа во время выполнения настраиваемого действия ConfigDB.Fixed a bug that caused Access violation during the ConfigDB custom action.

  • Устранена ошибка восстановления после превышения времени ожидания подключения к SQL.Fixed a bug to recover from sql connection timeout.

  • Устранена ошибка, из-за которой сертификаты с подстановочными знаками SAN не проходили предварительную проверку.Fixed a bug where certificates with SAN wildcards fail pre-req check.

  • Устранена ошибка, из-за которой выполнение файла miiserver.exe завершалось сбоем при экспорте соединителя AAD.Fixed a bug that causes miiserver.exe crash during AAD connector export.

  • Устранена ошибка, когда при вводе неправильного пароля выполнялся вход в контроллер домена при запуске мастера AAD Connect для изменения конфигурации.Fixed a bug where a bad password attempt logged on DC when running caused the AAD connect wizard to change configuration

Новые функции и внесенные улучшенияNew features and improvements

  • Телеметрия приложений. Администратор может включать и отключать этот класс данных.Application telemetry - Administrators can switch this class of data on/off.

  • Данные о работоспособности Azure AD. Для управления параметрами работоспособности администратору необходимо зайти на портал работоспособности.Azure AD Health data - Administrators must visit the health portal to control their health settings. После изменения политики службы агенты прочитают и применят ее.Once the service policy has been changed, the agents will read and enforce it.

  • Добавлены действия настройки обратной записи устройств и индикатор выполнения для инициализации страницы.Added device writeback configuration actions and a progress bar for page initialization.

  • Усовершенствована общая диагностика, предоставляемая в отчете HTML, и полный сбор данных, предоставляемых в ZIP-файле или отчете HTML.Improved general diagnostics with HTML report and full data collection in a ZIP-Text / HTML Report.

  • Усовершенствована надежность автоматического обновления и добавлена дополнительная телеметрия для определения работоспособности сервера.Improved reliability of auto upgrade and added additional telemetry to ensure the health of the server can be determined.

  • Ограничены доступные разрешения привилегированных учетных записей в учетной записи соединителя AD.Restrict permissions available to privileged accounts on AD Connector account. Мастер ограничивает разрешения привилегированных учетных записей для новых установок после создания учетной записи MSOL.For new installations, the wizard restricts the permissions that privileged accounts have on the MSOL account after creating the MSOL account. Изменения влияют на быстрые установки и выборочные установки с автоматически создаваемой учетной записью.The changes affect express installations and custom installations with Auto-Create account.

  • Изменен установщик. Теперь ему не нужно разрешение сопоставления безопасности для чистой установки AAD Connect.Changed the installer to not require SA privilege on clean install of AADConnect.

  • Новая служебная программа для устранения неполадок с синхронизацией определенного объекта.New utility to troubleshoot synchronization issues for a specific object. В настоящее время служебная программа проверяет следующие вещи:Currently, the utility checks for the following things:

    • Несоответствие UserPrincipalName между синхронизированными объектом пользователя и учетной записью пользователя в клиенте Azure AD.UserPrincipalName mismatch between synchronized user object and the user account in Azure AD Tenant.

    • Фильтруется ли объект после синхронизации при фильтрации домена.If the object is filtered from synchronization due to domain filtering

    • Фильтруется ли объект после синхронизации при фильтрации организационной единицы.If the object is filtered from synchronization due to organizational unit (OU) filtering

  • Новая служебная программа для синхронизации текущего хэша паролей, хранящегося в локальном каталоге Active Directory для конкретной учетной записи пользователя.New utility to synchronize the current password hash stored in the on-premises Active Directory for a specific user account. Служебная программа не требует изменения пароля.The utility does not require a password change.


Приложения, поддерживающие политики Защита приложений Intune, добавленные для использования с условным доступом на основе приложений Azure ADApplications supporting Intune App Protection policies added for use with Azure AD application-based Conditional Access

Тип. Измененная функция.Type: Changed feature
Категория службы. Условный доступ.Service category: Conditional Access
Возможности продукта. Безопасность и защита удостоверений.Product capability: Identity Security & Protection

Мы добавили дополнительные приложения, поддерживающие условный доступ на основе приложений.We have added more applications that support application-based Conditional Access. Теперь вы можете получить доступ к Office 365 и другим облачным приложениям, подключенным к Azure AD, с помощью этих клиентских приложений.Now, you can get access to Office 365 and other Azure AD-connected cloud apps using these approved client apps.

К концу февраля будут добавлены следующие приложения:The following applications will be added by the end of February:

  • Microsoft Power BIMicrosoft Power BI

  • Microsoft Launcher;Microsoft Launcher

  • Microsoft Invoicing.Microsoft Invoicing

Дополнительные сведения см. здесь:For more information, see:


Условия использования обновление в мобильном интерфейсеTerms of use update to mobile experience

Тип. Измененная функция.Type: Changed feature
Категория службы. Условия использования.Service category: Terms of use
Возможности продукта. Соответствие требованиям.Product capability: Compliance

Когда будут отображаться условия использования, можно щелкнуть, чтобы устранить неполадки при просмотре? Щелкните здесь.When the terms of use are displayed, you can now click Having trouble viewing? Click here. При выборе этой ссылки условия использования откроются, адаптировавшись под ваше устройство.Clicking this link opens the terms of use natively on your device. Независимо от размера шрифта в документе или размера экрана устройства, документ можно увеличить, чтобы прочитать нужный фрагмент.Regardless of the font size in the document or the screen size of device, you can zoom and read the document as needed.


Январь 2018 г.January 2018

Тип. Новая функция.Type: New feature
Категория службы. Корпоративные приложения.Service category: Enterprise Apps
Возможности продукта. Интеграция с решениями сторонних производителей.Product capability: 3rd Party Integration

В январе 2018 года в коллекцию приложений были добавлены следующие новые приложения с поддержкой федерации:In January 2018, the following new apps with federation support were added in the app gallery:

IBM OpenPages, программное обеспечение управления конфиденциальностью OneTrust, Dealpath, федеративный каталог IriusRisk и Fidelity NetBenefits.IBM OpenPages, OneTrust Privacy Management Software, Dealpath, [IriusRisk Federated Directory, and Fidelity NetBenefits.

Дополнительные сведения об этих приложениях см. в статье Интеграция приложений SaaS с Azure Active Directory.For more information about the apps, see SaaS application integration with Azure Active Directory.

Дополнительные сведения о том, как добавить приложение в коллекцию приложений Azure AD см. в этой статье.For more information about listing your application in the Azure AD app gallery, see List your application in the Azure Active Directory application gallery.


Вход в систему с обнаруженным дополнительным рискомSign in with additional risk detected

Тип. Новая функция.Type: New feature
Категория службы. Защита идентификации.Service category: Identity Protection
Возможности продукта. Безопасность и защита удостоверений.Product capability: Identity Security & Protection

Аналитика, полученная для обнаружения обнаруженных рисков, связана с подпиской Azure AD.The insight you get for a detected risk detection is tied to your Azure AD subscription. Выпуск Azure AD Premium P2 позволяет получать самые подробные сведения обо всех основных обнаружениях.With the Azure AD Premium P2 edition, you get the most detailed information about all underlying detections.

В выпуске Azure AD Premium P1 обнаружения, не охваченные лицензией, отображаются в виде входа с обнаружением рисков с обнаруженным дополнительным риском.With the Azure AD Premium P1 edition, detections that are not covered by your license appear as the risk detection Sign-in with additional risk detected.

Дополнительные сведения см. в статье об обнаружении рисков Azure Active Directory.For more information, see Azure Active Directory risk detections.


Скрытие приложений Office 365 на панели доступа пользователяHide Office 365 applications from end user's access panels

Тип. Новая функция.Type: New feature
Категория службы. "Мои приложения".Service category: My Apps
Возможности продукта. Единый вход.Product capability: SSO

Теперь вы можете лучше управлять тем, как приложения Office 365 отображаются на панелях доступа пользователя, с помощью нового пользовательского параметра.You can now better manage how Office 365 applications show up on your user's access panels through a new user setting. Он позволяет уменьшить количество приложений, которые отображаются на панелях доступа пользователей, если вы предпочитаете, чтобы приложения Office отображались только на портале Office.This option is helpful for reducing the number of apps in a user's access panels if you prefer to only show Office apps in the Office portal. Этот параметр находится в разделе параметров пользователя и называется Пользователи могут видеть приложения Office 365 только на портале Office 365.The setting is located in the User Settings and is labeled, Users can only see Office 365 apps in the Office 365 portal.

Дополнительные сведения см. в статье Скрытие приложения в пользовательском интерфейсе Azure Active Directory.For more information, see Hide an application from user's experience in Azure Active Directory.


Простой вход в приложения, поддерживающие единый вход с помощью пароля, непосредственно из URL-адреса приложенияSeamless sign into apps enabled for Password SSO directly from app's URL

Тип. Новая функция.Type: New feature
Категория службы. "Мои приложения".Service category: My Apps
Возможности продукта. Единый вход.Product capability: SSO

Расширение браузера "Мои приложения" теперь доступно с помощью удобного инструмента, который дает возможность выполнять единый вход в "Мои приложения" через ярлык в вашем браузере.The My Apps browser extension is now available via a convenient tool that gives you the My Apps single-sign on capability as a shortcut in your browser. После установки появится значок в виде вафли в браузере, который предоставляет быстрый доступ к приложениям.After installing, user's will see a waffle icon in their browser that provides them quick access to apps. Теперь пользователи могут воспользоваться следующими преимуществами:Users can now take advantage of:

  • Выполнять прямой вход в приложения с единым входом на основе пароля на странице входа в приложение.The ability to directly sign in to password-SSO based apps from the app’s sign-in page
  • Запускать любое приложение с помощью функции быстрого поиска.Launch any app using the quick search feature
  • Использовать ярлыки для недавно использовавшихся приложений из расширения.Shortcuts to recently used apps from the extension
  • Расширение доступно для браузеров Microsoft Edge, Chrome и Firefox.The extension is available for Microsoft Edge, Chrome, and Firefox.

Дополнительные сведения см. в разделе Расширение защищенного входа на страницу "Мои приложения".For more information, see My Apps Secure Sign-in Extension.


Интерфейс администрирования Azure AD на классическом портале Azure больше не поддерживаетсяAzure AD administration experience in Azure Classic Portal has been retired

Тип. Прекращение поддержки.Type: Deprecated
Категория службы. Azure AD.Service category: Azure AD
Возможности продукта. Каталог.Product capability: Directory

Начиная с 8 января 2018 года интерфейс администрирования Azure AD на классическом портале Azure больше не поддерживается.As of January 8, 2018, the Azure AD administration experience in the Azure classic portal has been retired. Это произошло в связи с прекращением поддержки самого классического портала Azure.This took place in conjunction with the retirement of the Azure classic portal itself. В будущем следует использовать Центр администрирования Azure AD для задач администрирования Azure AD, выполняемых с помощью портала.In the future, you should use the Azure AD admin center for all your portal-based administration of Azure AD.


Начиная с 8 января 2018 года прекращена поддержка веб-портала.The PhoneFactor web portal has been retired

Тип. Прекращение поддержки.Type: Deprecated
Категория службы. Azure AD.Service category: Azure AD
Возможности продукта. Каталог.Product capability: Directory

Начиная с 8 января 2018 года прекращена поддержка веб-портала PhoneFactor.As of January 8, 2018, the PhoneFactor web portal has been retired. Этот портал использовался для администрирования сервера MFA, но эти функции были перенесены на портал Azure по адресу portal.azure.com.This portal was used for the administration of MFA server, but those functions have been moved into the Azure portal at portal.azure.com.

Чтобы перейти к настройке MFA, выберите Azure Active Directory > Сервер MFA.The MFA configuration is located at: Azure Active Directory > MFA Server


Неподдерживаемые отчеты Azure ADDeprecate Azure AD reports

Тип. Прекращение поддержки.Type: Deprecated
Категория службы. Отчеты.Service category: Reporting
Возможности продукта. Управление жизненным циклом удостоверений.Product capability: Identity Lifecycle Management

С выходом общедоступной версии новой консоли администрирования Azure Active Directory и новых API-интерфейсов, доступных для отчетов о действиях и безопасности, API-интерфейсы отчетов в конечной точке /reports были удалены 31 декабря 2017 года.With the general availability of the new Azure Active Directory Administration console and new APIs now available for both activity and security reports, the report APIs under "/reports" endpoint have been retired as of end of December 31, 2017.

Доступные возможностиWhat's available?

В рамках перехода на новую консоль администратора мы создали 2 новых программных интерфейса для извлечения журналов действий Azure AD.As part of the transition to the new admin console, we have made 2 new APIs available for retrieving Azure AD Activity Logs. В новом наборе программных интерфейсов расширены функции фильтрации, сортировки, аудита и действий входа.The new set of APIs provides richer filtering and sorting functionality in addition to providing richer audit and sign-in activities. Доступ к данным, ранее доступным через отчеты о безопасности, теперь можно получить с помощью API обнаружения рисков для защиты идентификации в Microsoft Graph.The data previously available through the security reports can now be accessed through the Identity Protection risk detections API in Microsoft Graph.

Дополнительные сведения см. здесь:For more information, see:


Декабрь 2017 г.December 2017

Условия использования на панели доступаTerms of use in the Access Panel

Тип. Новая функция.Type: New feature
Категория службы. Условия использования.Service category: Terms of use
Возможности продукта. Соответствие требованиям.Product capability: Compliance

Теперь можно перейти к панели доступа и просмотреть условия использования, которые были приняты ранее.You now can go to the Access Panel and view the terms of use that you previously accepted.

Выполните следующие действия.Follow these steps:

  1. Перейдите на портал MyApps и войдите в систему.Go to the MyApps portal, and sign in.

  2. В правом верхнем углу щелкните свое имя, а затем в списке выберите Профиль.In the upper-right corner, select your name, and then select Profile from the list.

  3. В профиле выберите Ознакомьтесь с условиями использования.On your Profile, select Review terms of use.

  4. Здесь можно просмотреть принятые вами условия использования.Now you can review the terms of use you accepted.

Дополнительные сведения см. в статье Функция "Условия использования Azure Active Directory" (предварительная версия).For more information, see the Azure AD terms of use feature (preview).


Новый вход в систему Azure ADNew Azure AD sign-in experience

Тип. Новая функция.Type: New feature
Категория службы. Azure AD.Service category: Azure AD
Возможности продукта. Аутентификация пользователей.Product capability: User authentication

Пользовательские интерфейсы системы идентификации пользователей Azure AD и Майкрософт были перепроектированы таким образом, чтобы они имели единый внешний вид.The Azure AD and Microsoft account identity system UIs were redesigned so that they have a consistent look and feel. Кроме того, страница входа в Azure AD сначала собирает имя пользователя, а затем учетные данные на втором экране.In addition, the Azure AD sign-in page collects the user name first, followed by the credential on a second screen.

Дополнительные сведения см. в записи блога The new Azure AD Signin Experience is now in Public Preview (Новый интерфейс входа в Azure AD теперь находится в общедоступной предварительной версии).For more information, see The new Azure AD sign-in experience is now in public preview.


Меньше запросов для входа. Новая функция "оставаться в системе" для входа в Azure ADFewer sign-in prompts: A new "keep me signed in" experience for Azure AD sign-in

Тип. Новая функция.Type: New feature
Категория службы. Azure AD.Service category: Azure AD
Возможности продукта. Аутентификация пользователей.Product capability: User authentication

Флажок Оставаться в системе на странице входа в Azure AD был заменен новым запросом, который появляется после прохождения проверки подлинности.The Keep me signed in check box on the Azure AD sign-in page was replaced with a new prompt that shows up after you successfully authenticate.

Если на такой запрос ответить Да, служба предоставит постоянный токен обновления.If you respond Yes to this prompt, the service gives you a persistent refresh token. То же самое происходило при установке флажка Оставаться в системе в старой версии.This behavior is the same as when you selected the Keep me signed in check box in the old experience. Для федеративных клиентов этот запрос отображается после выполнения проверки подлинности в службе федерации.For federated tenants, this prompt shows after you successfully authenticate with the federated service.

Дополнительные сведения см. в записи блога Fewer login prompts: The new “Keep me signed in” experience for Azure AD is in preview (Меньшее число запросов пароля. Новая функция "Оставаться в системе" в Azure AD).For more information, see Fewer sign-in prompts: The new "keep me signed in" experience for Azure AD is in preview.


Добавление конфигурации для требования развертывания условий использования перед их принятиемAdd configuration to require the terms of use to be expanded prior to accepting

Тип. Новая функция.Type: New feature
Категория службы. Условия использования.Service category: Terms of use
Возможности продукта. Соответствие требованиям.Product capability: Compliance

Функция для администраторов, позволяющая требовать развертывания условий использования перед их принятием пользователем.An option for administrators requires their users to expand the terms of use prior to accepting the terms.

Включите или отключите параметр "Требовать, чтобы пользователи развернули условия использования".Select either On or Off to require users to expand the terms of use. Если выбран вариант Вкл. , чтобы принять соглашение, пользователям сначала нужно просмотреть условия.The On setting requires users to view the terms of use prior to accepting them.

Дополнительные сведения см. в статье Функция "Условия использования Azure Active Directory" (предварительная версия).For more information, see the Azure AD terms of use feature (preview).


Активация только соответствующих назначений ролейScoped activation for eligible role assignments

Тип. Новая функция.Type: New feature
Категория службы. Управление привилегированными пользователями.Service category: Privileged Identity Management
Возможности продукта. Управление привилегированными пользователями.Product capability: Privileged Identity Management

Вы можете использовать ограниченную активацию для активации подходящих назначений ролей ресурсов Azure с меньшей автономией, чем исходные настройки по умолчанию.You can use scoped activation to activate eligible Azure resource role assignments with less autonomy than the original assignment defaults. Предположим, вы назначены владельцем подписки в своем клиенте.An example is if you're assigned as the owner of a subscription in your tenant. С помощью ограниченной активации вы можете активировать роль владельца для максимум пяти ресурсов, содержащихся в рамках подписки (например, группы ресурсов и виртуальные машины).With scoped activation, you can activate the owner role for up to five resources contained within the subscription (such as resource groups and virtual machines). Ограничение активации может снизить вероятность выполнения нежелательных изменений в критических ресурсах Azure.Scoping your activation might reduce the possibility of executing unwanted changes to critical Azure resources.

Дополнительные сведения см. в статье Что такое Azure AD Privileged Identity Management?For more information, see What is Azure AD Privileged Identity Management?.


Тип. Новая функция.Type: New feature
Категория службы. Корпоративные приложения.Service category: Enterprise apps
Возможности продукта. Интеграция с решениями сторонних производителей.Product capability: 3rd Party Integration

В декабре 2017 года мы добавили эти новые приложения с поддержкой федерации в нашу коллекцию приложений:In December 2017, we've added these new apps with Federation support to our app gallery:

Accredible, Adobe Experience Manager, EFI Digital StoreFront, Communifire CybSafe, FactSet, IMAGE WORKS, MOBI, MobileIron Azure AD integration, Reflektive, SAML SSO for Bamboo by resolution GmbH, SAML SSO for Bitbucket by resolution GmbH, Vodeclic, WebHR, Zenegy Azure AD Integration.Accredible, Adobe Experience Manager, EFI Digital StoreFront, Communifire CybSafe, FactSet, IMAGE WORKS, MOBI, MobileIron Azure AD integration, Reflektive, SAML SSO for Bamboo by resolution GmbH, SAML SSO for Bitbucket by resolution GmbH, Vodeclic, WebHR, Zenegy Azure AD Integration.

Дополнительные сведения об этих приложениях см. в статье Интеграция приложений SaaS с Azure Active Directory.For more information about the apps, see SaaS application integration with Azure Active Directory.

Дополнительные сведения о том, как добавить приложение в коллекцию приложений Azure AD см. в этой статье.For more information about listing your application in the Azure AD app gallery, see List your application in the Azure Active Directory application gallery.


Рабочий процесс утверждения ролей каталога Azure ADApproval workflows for Azure AD directory roles

Тип. Измененная функция.Type: Changed feature
Категория службы. Управление привилегированными пользователями.Service category: Privileged Identity Management
Возможности продукта. Управление привилегированными пользователями.Product capability: Privileged Identity Management

Рабочий процесс утверждения ролей каталога Azure AD доступен в общедоступной версии.Approval workflow for Azure AD directory roles is generally available.

С помощью рабочего процесса утверждения администраторы привилегированной роли могут требовать от кандидатов на участников роли запрашивать активацию привилегированной роли, прежде чем они смогут ее использовать.With approval workflow, privileged-role administrators can require eligible-role members to request role activation before they can use the privileged role. Многим пользователям и группам могут быть делегированы полномочия на утверждение.Multiple users and groups can be delegated approval responsibilities. Кандидаты на участников роли получат уведомления, когда они будут утверждены и их роль будет активирована.Eligible role members receive notifications when approval is finished and their role is active.


Сквозная проверка подлинности. Поддержка Skype для бизнеса.Pass-through authentication: Skype for Business support

Тип. Измененная функция.Type: Changed feature
Категория службы. Проверки подлинности (имена входа).Service category: Authentications (Logins)
Возможности продукта. Аутентификация пользователей.Product capability: User authentication

Сквозная проверка подлинности теперь поддерживает вход пользователей в клиентские приложения Skype для бизнеса, которые поддерживают современную проверку подлинности, включая сетевые и гибридные топологии.Pass-through authentication now supports user sign-ins to Skype for Business client applications that support modern authentication, which includes online and hybrid topologies.

Дополнительные сведения см. в статье Топологии Skype для бизнеса, поддерживаемые современной проверкой подлинности.For more information, see Skype for Business topologies supported with modern authentication.


Обновления Azure AD Privileged Identity Management для Azure RBAC (предварительная версия)Updates to Azure AD Privileged Identity Management for Azure RBAC (preview)

Тип. Измененная функция.Type: Changed feature
Категория службы. Управление привилегированными пользователями.Service category: Privileged Identity Management
Возможности продукта. Управление привилегированными пользователями.Product capability: Privileged Identity Management

Теперь, когда вышло обновление общедоступной предварительной версии Azure AD Privileged Identity Management (PIM) для управления доступом на основе ролей (RBAC) Azure, вы можете:With the public preview refresh of Azure AD Privileged Identity Management (PIM) for Azure Role-Based Access Control (RBAC), you can now:

  • Использовать Just Enough Administration (JEA).Use Just Enough Administration.
  • Требовать утверждения для активации ролей ресурсов.Require approval to activate resource roles.
  • Планировать активацию ролей в будущем, которая требует одобрения как для ролей Azure AD, так и для ролей Azure RBAC.Schedule a future activation of a role that requires approval for both Azure AD and Azure RBAC roles.

Дополнительные сведения см. в статье PIM для ресурсов Azure (предварительная версия).For more information, see Privileged Identity Management for Azure resources (preview).


Ноябрь 2017 г.November 2017

Прекращение поддержки службы контроля доступаAccess Control service retirement

Тип. Планирование изменений.Type: Plan for change
Категория службы. Служба проверки доступа.Service category: Access Control service
Возможность продукта. Служба контроля доступа.Product capability: Access Control service

Использование службы контроля доступа Azure Active Directory (также называется просто службой контроля доступа) будет прекращено в конце 2018 г.Azure Active Directory Access Control (also known as the Access Control service) will be retired in late 2018. Дополнительные сведения, включая подробное расписание и общее руководство по переходу, будут предоставлены в ближайшие недели.More information that includes a detailed schedule and high-level migration guidance will be provided in the next few weeks. Вы можете оставить на этой странице комментарии с любыми вопросами, касающимися службы контроля доступа, и член нашей команды ответит вам.You can leave comments on this page with any questions about the Access Control service, and a team member will answer them.


Предоставление доступа через браузер к управляемому браузеру IntuneRestrict browser access to the Intune Managed Browser

Тип. Планирование изменений.Type: Plan for change
Категория службы. Условный доступ.Service category: Conditional Access
Возможности продукта. Безопасность и защита удостоверений.Product capability: Identity security and protection

Вы можете предоставлять доступ через браузер к Office 365 и другим облачным приложениям, подключенным к Azure AD, используя Intune Managed Browser в качестве утвержденного приложения.You can restrict browser access to Office 365 and other Azure AD-connected cloud apps by using the Intune Managed Browser as an approved app.

Теперь можно настроить следующие условия для условного доступа на основе приложений.You now can configure the following condition for application-based Conditional Access:

Клиентские приложения. Браузер.Client apps: Browser

Каков эффект изменения?What is the effect of the change?

В настоящее время при использовании этого условия доступ заблокирован.Today, access is blocked when you use this condition. Если доступна предварительная версия, для всех операций доступа потребуется приложение управляемого браузера.When the preview is available, all access will require the use of the managed browser application.

Ищите сведения об этой возможности в предстоящих записях в блогах и заметках о выпуске.Look for this capability and more information in upcoming blogs and release notes.

Дополнительные сведения см. в статье условный доступ в Azure AD.For more information, see Conditional Access in Azure AD.


Новые утвержденные клиентские приложения для условного доступа на основе приложений Azure ADNew approved client apps for Azure AD app-based Conditional Access

Тип. Планирование изменений.Type: Plan for change
Категория службы. Условный доступ.Service category: Conditional Access
Возможности продукта. Безопасность и защита удостоверений.Product capability: Identity security and protection

Следующие приложения добавлены в список утвержденных клиентских приложений:The following apps are on the list of approved client apps:

Дополнительные сведения см. здесь:For more information, see:


Поддержка условий использования для нескольких языковTerms-of-use support for multiple languages

Тип. Новая функция.Type: New feature
Категория службы. Условия использования.Service category: Terms of use
Возможности продукта. Соответствие требованиям.Product capability: Compliance

Теперь администраторы могут создавать новые условия использования, содержащие несколько документов в формате PDF.Administrators now can create new terms of use that contain multiple PDF documents. Вы можете отметить эти документы соответствующими языками.You can tag these PDF documents with a corresponding language. Пользователям будут показаны PDF-файлы на том языке, который соответствует их предпочтениям.Users are shown the PDF with the matching language based on their preferences. Если документа на их языке нет, отображается язык по умолчанию.If there is no match, the default language is shown.


Состояние обратной записи паролей клиента в реальном времениReal-time password writeback client status

Тип. Новая функция.Type: New feature
Категория службы. Самостоятельный сброс пароля.Service category: Self-service password reset
Возможности продукта. Аутентификация пользователей.Product capability: User authentication

Теперь вы можете просмотреть состояние обратной записи паролей клиента в локальной среде.You now can review the status of your on-premises password writeback client. Этот параметр доступен в разделе Интеграция с локальной средой на странице Сброс пароля.This option is available in the On-premises integration section of the Password reset page.

Если возникли проблемы с подключением к клиенту обратной записи в локальной среде, появится сообщение об ошибке, содержащее следующую информацию:If there are issues with your connection to your on-premises writeback client, you see an error message that provides you with:

  • сведения о том, почему не удается подключиться к клиенту обратной записи в локальной среде;Information on why you can't connect to your on-premises writeback client.
  • ссылка на документацию, которая помогает устранить проблему.A link to documentation that assists you in resolving the issue.

Дополнительные сведения см. в разделе Интеграция с локальной средой.For more information, see on-premises integration.


Условный доступ на основе приложений Azure ADAzure AD app-based Conditional Access

Тип. Новая функция.Type: New feature
Категория службы. Azure AD.Service category: Azure AD
Возможности продукта. Безопасность и защита удостоверений.Product capability: Identity security and protection

Теперь вы можете ограничить доступ к Office 365 и другим облачным приложениям, подключенным к Azure AD, с утвержденными клиентскими приложениями , поддерживающими политики защиты приложений Intune, с помощью условного доступа на основе приложений Azure AD.You now can restrict access to Office 365 and other Azure AD-connected cloud apps to approved client apps that support Intune app protection policies by using Azure AD app-based Conditional Access. Политики защиты приложений Intune используются для настройки и защиты данных компании в этих клиентских приложениях.Intune app protection policies are used to configure and protect company data on these client applications.

Объединив приложения на основе приложений с политиками условного доступа на основе устройств , вы получаете гибкие возможности для защиты данных персональных и корпоративных устройств.By combining app-based with device-based Conditional Access policies, you have the flexibility to protect data for personal and company devices.

Следующие условия и элементы управления теперь доступны для использования с условным доступом на основе приложений.The following conditions and controls are now available for use with app-based Conditional Access:

Условие поддерживаемой платформыSupported platform condition

  • iOSiOS
  • AndroidAndroid

Условие клиентских приложенийClient apps condition

  • Мобильные приложения и настольные клиентыMobile apps and desktop clients

Контроль доступаAccess control

  • Требование утвержденного клиентского приложенияRequire approved client app

Дополнительные сведения см. в статье Условный доступ на основе приложений Azure AD.For more information, see Azure AD app-based Conditional Access.


Управление устройствами Azure AD на портале AzureManage Azure AD devices in the Azure portal

Тип. Новая функция.Type: New feature
Категория службы. Регистрация устройств и управление ими.Service category: Device registration and management
Возможности продукта. Безопасность и защита удостоверений.Product capability: Identity security and protection

Теперь все устройства, подключенные к Azure AD, и действия, связанные с устройствами, размещены в одном месте.You now can find all your devices connected to Azure AD and the device-related activities in one place. На портале Azure доступен новый интерфейс администрирования для управления удостоверениями и параметрами устройств.There is a new administration experience to manage all your device identities and settings in the Azure portal. В этом выпуске вы можете:In this release, you can:

  • Просмотрите все устройства, доступные для условного доступа в Azure AD.View all your devices that are available for Conditional Access in Azure AD.
  • просматривать свойства, включая гибридные устройства, присоединенные к Azure AD;View properties, which include your hybrid Azure AD-joined devices.
  • находить ключи BitLocker для устройств, присоединенных к Azure AD, чтобы управлять устройствами с помощью Intune и т. д.;Find BitLocker keys for your Azure AD-joined devices, manage your device with Intune, and more.
  • управлять параметрами, связанными с устройствами Azure AD.Manage Azure AD device-related settings.

Дополнительные сведения см. в статье Управление устройствами с помощью портала Azure.For more information, see Manage devices by using the Azure portal.


Поддержка macOS в качестве платформы устройств для условного доступа Azure ADSupport for macOS as a device platform for Azure AD Conditional Access

Тип. Новая функция.Type: New feature
Категория службы. Условный доступ.Service category: Conditional Access
Возможности продукта. Безопасность и защита удостоверений.Product capability: Identity security and protection

Теперь вы можете включить (или исключить) macOS в качестве условия платформы устройства в политике условного доступа Azure AD.You now can include (or exclude) macOS as a device platform condition in your Azure AD Conditional Access policy. Добавив macOS в качестве поддерживаемой платформы устройства, вы можете:With the addition of macOS to the supported device platforms, you can:

  • Регистрировать устройства macOS и управлять ими в Intune.Enroll and manage macOS devices by using Intune. Подобно другим платформам, таким как iOS и Android, приложение корпоративного портала доступно для единой регистрации устройств macOS.Similar to other platforms like iOS and Android, a company portal application is available for macOS to do unified enrollments. Вы можете использовать новое приложение корпоративного портала для macOS, чтобы зарегистрировать устройство в Intune и Azure AD.You can use the new company portal app for macOS to enroll a device with Intune and register it with Azure AD.
  • Гарантировать соблюдение устройствами macOS политик соответствия вашей организации, определенных в Intune.Ensure macOS devices adhere to your organization's compliance policies defined in Intune. В Intune на портале Azure вы можете настроить соответствующие политики для устройств macOS.In Intune on the Azure portal, you now can set up compliance policies for macOS devices.
  • Предоставлять доступ к приложениям Azure AD только совместимым устройствам macOS.Restrict access to applications in Azure AD to only compliant macOS devices. Создание политики условного доступа имеет macOS как отдельный параметр платформы устройства.Conditional Access policy authoring has macOS as a separate device platform option. Теперь вы можете создавать политики условного доступа, относящиеся к macOS, для набора целевых приложений в Azure.Now you can author macOS-specific Conditional Access policies for the targeted application set in Azure.

Дополнительные сведения см. здесь:For more information, see:


Расширение NPS для Многофакторной идентификации AzureNetwork Policy Server extension for Azure Multi-Factor Authentication

Тип. Новая функция.Type: New feature
Категория службы. Многофакторная идентификация.Service category: Multi-factor authentication
Возможности продукта. Аутентификация пользователей.Product capability: User authentication

Расширение сервера политики сети для Многофакторной идентификации Azure добавляет в инфраструктуру проверки подлинности возможности Многофакторной идентификации на основе облака с использованием имеющихся серверов.The Network Policy Server extension for Azure Multi-Factor Authentication adds cloud-based Multi-Factor Authentication capabilities to your authentication infrastructure by using your existing servers. Расширение NPS позволяет добавить телефонный звонок, текстовое сообщение или запрос на подтверждение в мобильном приложении в существующий процесс аутентификации.With the Network Policy Server extension, you can add phone call, text message, or phone app verification to your existing authentication flow. Можно обойтись без установки, настройки и поддержания новых серверов.You don't have to install, configure, and maintain new servers.

Это расширение было создано для организаций, которым необходимо защитить VPN-подключения, не развертывая сервер Многофакторной идентификации Azure.This extension was created for organizations that want to protect virtual private network connections without deploying the Azure Multi-Factor Authentication Server. Расширение NPS выполняет функции адаптера между RADIUS и облачной службой Azure MFA, предоставляя второй фактор проверки подлинности для федеративных или синхронизированных пользователей.The Network Policy Server extension acts as an adapter between RADIUS and cloud-based Azure Multi-Factor Authentication to provide a second factor of authentication for federated or synced users.

Дополнительные сведения см. в статье Интеграция существующей инфраструктуры NPS с Многофакторной идентификацией Azure.For more information, see Integrate your existing Network Policy Server infrastructure with Azure Multi-Factor Authentication.


Восстановление или окончательное удаление удаленных пользователейRestore or permanently remove deleted users

Тип. Новая функция.Type: New feature
Категория службы. Управление пользователями.Service category: User management
Возможности продукта. Каталог.Product capability: Directory

Теперь в центре администрирования Azure AD вы можете:In the Azure AD admin center, you can now:

  • Восстановить удаленного пользователя.Restore a deleted user.
  • Окончательно удалить пользователя.Permanently delete a user.

Для этого:To try it out:

  1. В центре администрирования Azure AD в разделе Управление выберите Все пользователи.In the Azure AD admin center, select All users in the Manage section.

  2. В списке Показать выберите Недавно удаленные пользователи.From the Show list, select Recently deleted users.

  3. Выберите одного или нескольких недавно удаленных пользователей, а затем восстановите их или удалите без возможности восстановления.Select one or more recently deleted users, and then either restore them or permanently delete them.


Новые утвержденные клиентские приложения для условного доступа на основе приложений Azure ADNew approved client apps for Azure AD app-based Conditional Access

Тип. Измененная функция.Type: Changed feature
Категория службы. Условный доступ.Service category: Conditional Access
Возможности продукта. Безопасность и защита удостоверений.Product capability: Identity security and protection

Следующие приложения добавлены в список утвержденных клиентских приложений:The following apps were added to the list of approved client apps:

  • Планировщик (Майкрософт);Microsoft Planner
  • Azure Information ProtectionAzure Information Protection

Дополнительные сведения см. здесь:For more information, see:


Использование "или" между элементами управления в политике условного доступаUse "OR" between controls in a Conditional Access policy

Тип. Измененная функция.Type: Changed feature
Категория службы. Условный доступ.Service category: Conditional Access
Возможности продукта. Безопасность и защита удостоверений.Product capability: Identity security and protection

Теперь можно использовать "или" (требуется один из выбранных элементов управления) для элементов управления условного доступа.You now can use "OR" (require one of the selected controls) for Conditional Access controls. Эта функция позволяет создавать политики со значением "или" между элементами управления доступом.You can use this feature to create policies with "OR" between access controls. Например, эта функция позволяет создать политику, требующую от пользователя входа в систему с помощью Многофакторной идентификации или использования соответствующего устройства.For example, you can use this feature to create a policy that requires a user to sign in by using Multi-Factor Authentication "OR" to be on a compliant device.

Дополнительные сведения см. в разделе элементы управления условным доступом Azure AD.For more information, see Controls in Azure AD Conditional Access.


Агрегирование обнаруженных рисков в реальном времениAggregation of real-time risk detections

Тип. Измененная функция.Type: Changed feature
Категория службы. Защита идентификации.Service category: Identity protection
Возможности продукта. Безопасность и защита удостоверений.Product capability: Identity security and protection

В защита идентификации Azure AD все обнаружения рисков в режиме реального времени, полученные с того же IP-адреса в заданный день, теперь объединяются для каждого типа обнаружения риска.In Azure AD Identity Protection, all real-time risk detections that originated from the same IP address on a given day are now aggregated for each risk detection type. Это изменение ограничивает объем обнаруженных рисков без каких бы то ни было изменений в системе безопасности пользователей.This change limits the volume of risk detections shown without any change in user security.

Функция базового обнаружения в реальном времени работает каждый раз, когда пользователь выполняет вход.The underlying real-time detection works each time the user signs in. Если вы настроили для политики безопасности входа Многофакторную идентификацию или блокирование доступа, она все равно будет срабатывать при каждом подозрительном входе.If you have a sign-in risk security policy set up to Multi-Factor Authentication or block access, it is still triggered during each risky sign-in.


Октябрь 2017 г.October 2017

Неподдерживаемые отчеты Azure ADDeprecate Azure AD reports

Тип. Планирование изменений.Type: Plan for change
Категория службы. Отчеты.Service category: Reporting
Возможности продукта. Управление жизненным циклом удостоверений.Product capability: Identity Lifecycle Management

Портал Azure предлагает:The Azure portal provides you with:

  • новую консоль администрирования Azure AD;A new Azure AD administration console.
  • новые программные интерфейсы (API) для отчетов по действиям и безопасности.New APIs for activity and security reports.

Благодаря этим новым возможностям API отчетов на конечной точке /reports были выведены из эксплуатации 10 декабря 2017 г.Due to these new capabilities, the report APIs under the /reports endpoint were retired on December 10, 2017.


Автоматическое определение полей входа в системуAutomatic sign-in field detection

Тип. Исправление.Type: Fixed
Категория службы. "Мои приложения".Service category: My Apps
Возможности продукта. Единый вход.Product capability: Single sign-on

Azure AD поддерживает автоматическое определение поля входа для приложений, преобразовывающих для просмотра поле имени пользователя и пароля HTML.Azure AD supports automatic sign-in field detection for applications that render an HTML user name and password field. Эти шаги описаны в разделе Определение полей входа в систему для приложения вручную.These steps are documented in How to automatically capture sign-in fields for an application. Эту возможность можно найти путем добавления приложения не из коллекции на страницу корпоративных приложений на портале Azure.You can find this capability by adding a Non-Gallery application on the Enterprise Applications page in the Azure portal. Кроме того, можно настроить режим единого входа в это новое приложение с помощью единого входа по паролю путем введения URL-адреса и сохранения страницы.Additionally, you can configure the Single Sign-on mode on this new application to Password-based Single Sign-on, enter a web URL, and then save the page.

Из-за сбоя в службе эта функциональность была временно отключена.Due to a service issue, this functionality was temporarily disabled. Сейчас эта проблема устранена и автоматическое обнаружение поля входа снова доступно.The issue was resolved, and the automatic sign-in field detection is available again.


Новые возможности Многофакторной идентификацииNew Multi-Factor Authentication features

Тип. Новая функция.Type: New feature
Категория службы. Многофакторная проверка подлинности.Service category: Multi-factor authentication
Возможности продукта. Безопасность и защита удостоверений.Product capability: Identity security and protection

Многофакторная проверка подлинности (MFA) является важной частью процесса защиты организации.Multi-factor authentication (MFA) is an essential part of protecting your organization. Чтобы сделать учетные данные более адаптивными, а работу — простой, были добавлены следующие возможности:To make credentials more adaptive and the experience more seamless, the following features were added:

  • Влияние интеграции многофакторной аутентификации на отчет о входе в Azure AD, включая программный доступ к результатам многофакторной аутентификации.Multi-factor challenge results are directly integrated into the Azure AD sign-in report, which includes programmatic access to MFA results.
  • Более тесная интеграция конфигурации многофакторной проверки подлинности с конфигурацией Azure AD на портале Azure.The MFA configuration is more deeply integrated into the Azure AD configuration experience in the Azure portal.

В общедоступной предварительной версии управление и составление отчетов многофакторной проверки подлинности являются неотъемлемой частью настройки основных компонентов Azure AD.With this public preview, MFA management and reporting are an integrated part of the core Azure AD configuration experience. Теперь вы можете управлять функциональными возможностями портала управления многофакторной проверки подлинности в Azure AD.Now you can manage the MFA management portal functionality within the Azure AD experience.

Дополнительные сведения см. в статье Справочник по созданию отчетов многофакторной проверки подлинности на портале Azure.For more information, see Reference for MFA reporting in the Azure portal.


Условия использованияTerms of use

Тип. Новая функция.Type: New feature
Категория службы. Условия использования.Service category: Terms of use
Возможности продукта. Соответствие требованиям.Product capability: Compliance

Вы можете использовать условия использования Azure AD для предоставления пользователям такой информации, как соответствующие заявления об отказе для юридических требований и требования к соответствию.You can use Azure AD terms of use to present information such as relevant disclaimers for legal or compliance requirements to users.

Условия использования Azure AD можно применять в следующих сценариях:You can use Azure AD terms of use in the following scenarios:

  • общие условия использования для всех пользователей в вашей организации;General terms of use for all users in your organization
  • определенные условия использования на основе атрибутов пользователя (например, для медсестер и врачей или местных и международных сотрудников, что выполняется с помощью динамических групп);Specific terms of use based on a user's attributes (for example, doctors vs. nurses or domestic vs. international employees, done by dynamic groups)
  • определенные условия использования для доступа к важным для бизнеса приложениям, например Salesforce.Specific terms of use for accessing high-impact business apps, like Salesforce

Дополнительные сведения см. в статье Функция "Условия использования Azure Active Directory" (предварительная версия).For more information, see Azure AD terms of use.


Улучшение управления привилегированными пользователямиEnhancements to Privileged Identity Management

Тип. Новая функция.Type: New feature
Категория службы. Управление привилегированными пользователями.Service category: Privileged Identity Management
Возможности продукта. Управление привилегированными пользователями.Product capability: Privileged Identity Management

С помощью службы Azure AD Privileged Identity Management (PIM) можно администрировать, контролировать и отслеживать доступ к ресурсам Azure (предварительная версия) в пределах организации:With Azure AD Privileged Identity Management, you can manage, control, and monitor access to Azure resources (preview) within your organization to:

  • ПодпискиSubscriptions
  • Группы ресурсовResource groups
  • Виртуальные машиныVirtual machines

Все ресурсы на портале Azure, который использует функции Azure RBAC, могут воспользоваться всеми преимуществами управления безопасностью и жизненным циклом, которые может предложить Azure AD Privileged Identity Management.All resources within the Azure portal that use the Azure RBAC functionality can take advantage of all the security and lifecycle management capabilities that Azure AD Privileged Identity Management has to offer.

Дополнительные сведения см. в статье PIM для ресурсов Azure (предварительная версия).For more information, see Privileged Identity Management for Azure resources.


Проверки доступаAccess reviews

Тип. Новая функция.Type: New feature
Категория службы. Проверки доступа.Service category: Access reviews
Возможности продукта. Соответствие требованиям.Product capability: Compliance

Проверки доступа (предварительная версия) позволяют организациям эффективно управлять членством в группе и доступом к корпоративным приложениям.Organizations can use access reviews (preview) to efficiently manage group memberships and access to enterprise applications:

  • Проверки доступа позволяют повторно оценивать, действительно ли гостевым пользователям нужен доступ к приложениям и членство в группах.You can recertify guest user access by using access reviews of their access to applications and memberships of groups. Сведения, предоставляемые проверками доступа, позволяют рецензентам решать, нужен ли гостевым пользователям постоянный доступ.Reviewers can efficiently decide whether to allow guests continued access based on the insights provided by the access reviews.
  • С их помощью можно повторно подтвердить доступ сотрудников к приложениям и их членство в группах.You can recertify employee access to applications and group memberships with access reviews.

Можно собирать элементы управления проверки доступа в программы, соответствующие вашей организации, чтобы отслеживать доступ для приложений, чувствительных к риску или нарушениям соответствия.You can collect the access review controls into programs relevant for your organization to track reviews for compliance or risk-sensitive applications.

Дополнительные сведения см. в статье Проверки доступа Azure AD (предварительная версия).For more information, see Azure AD access reviews.


Скрытие сторонних приложений в разделе "Мои приложения" и от средства запуска приложения Office 365Hide third-party applications from My Apps and the Office 365 app launcher

Тип. Новая функция.Type: New feature
Категория службы. "Мои приложения".Service category: My Apps
Возможности продукта. Единый вход.Product capability: Single sign-on

Теперь можно эффективнее управлять приложениями, которые отображаются на пользовательском портале, с помощью нового свойства Скрыть приложение.You now can better manage apps that show up on your users' portals through a new hide app property. Это помогает в случаях, когда плитки приложений отображаются для серверных служб или плиток-дубликатов и перегружают средства запуска пользовательских приложений.You can hide apps to help in cases where app tiles show up for back-end services or duplicate tiles and clutter users' app launchers. Переключатель находится в разделе Свойства в стороннем приложении. Он называется Visible to user? (Видимый для пользователя?).The toggle is in the Properties section of the third-party app and is labeled Visible to user? Скрыть приложение можно также программным способом с помощью PowerShell.You also can hide an app programmatically through PowerShell.

Дополнительные сведения см. в статье Скрытие приложения в пользовательском интерфейсе Azure Active Directory.For more information, see Hide a third-party application from a user's experience in Azure AD.

Доступные возможностиWhat's available?

В рамках перехода на новую консоль администратора доступны два новых программных интерфейса для извлечения доступных журналов действий Azure AD.As part of the transition to the new admin console, two new APIs for retrieving Azure AD activity logs are available. В новом наборе программных интерфейсов расширены функции фильтрации, сортировки, аудита и действий входа.The new set of APIs provides richer filtering and sorting functionality in addition to providing richer audit and sign-in activities. Доступ к данным, ранее доступным через отчеты о безопасности, теперь можно получить с помощью API обнаружения рисков для защиты идентификации в Microsoft Graph.The data previously available through the security reports now can be accessed through the Identity Protection Risk Detections API in Microsoft Graph.

Сентябрь 2017 г.September 2017

Исправления для Identity ManagerHotfix for Identity Manager

Тип. Измененная функция.Type: Changed feature
Категория службы. Identity Manager.Service category: Identity Manager
Возможности продукта. Управление жизненным циклом удостоверений.Product capability: Identity lifecycle management

Накопительный пакет исправлений (сборка 4.4.1642.0) для Identity Manager 2016 с пакетом обновления 1 стал доступен с 25 сентября 2017 года.A hotfix roll-up package (build 4.4.1642.0) is available as of September 25, 2017, for Identity Manager 2016 Service Pack 1. Этот накопительный пакет исправлений:This roll-up package:

  • устраняет проблемы и добавляет улучшения;Resolves issues and adds improvements.
  • является накопительным обновлением, которое заменяет все обновления сборки Identity Manager 2016 с пакетом обновления 1 от Identity Manager 2016 версии 4.4.1459.0;Is a cumulative update that replaces all Identity Manager 2016 Service Pack 1 updates up to build 4.4.1459.0 for Identity Manager 2016.
  • требует наличия сборки Identity Manager 2016 версии 4.4.1302.0.Requires you to have Identity Manager 2016 build 4.4.1302.0.

Дополнительные сведения см. в статье Доступен накопительный пакет исправлений (сборка 4.4.1642.0) для пакета обновления 1 для Microsoft Identity Manager 2016.For more information, see Hotfix rollup package (build 4.4.1642.0) is available for Identity Manager 2016 Service Pack 1.