Настройка и включение пользователей для проверки подлинности на основе SMS с помощью идентификатора Microsoft Entra

Проверка подлинности на основе SMS записи позволяет пользователям выполнять вход только с помощью зарегистрированного номера телефона и однократного секретного кода (OTP), отправленного через SMS, имя пользователя или пароль не требуется. Это отличается от многофакторной проверки подлинности Entra SMS, которая обычно требует имени пользователя, пароля и SMS в качестве метода MFA. Этот метод проверки подлинности в первую очередь предназначен для упрощения входа в интерфейсные работники и не рекомендуется для информационных работников (IW).

Entra также предлагает общедоступную предварительную версию альтернативного подхода для работников на передовой, называемого аутентификацией с помощью QR-кода, который организации могут рассмотреть для сценариев использования общих устройств на передовой.

В остальной части этой статьи показано, как включить проверку подлинности на основе SMS в качестве первого фактора для выбора пользователей или групп в идентификаторе Microsoft Entra. Список приложений, поддерживающих вход на основе SMS, приведен в разделе Поддержка приложений для проверки подлинности на основе SMS.

Прежде чем начать

Ниже приведены некоторые важные моменты перед началом работы.

• Необходимо включить проверку подлинности SMS только для сотрудников передней линии.
• Если вы включите проверку подлинности SMS, убедитесь, что вы следуйте рекомендациям по использованию средств управления безопасностью для работы или домашнего доступа для сотрудников передней линии. Дополнительные сведения см. в рекомендациях по защите сотрудников фронта.
• Если вы включите аутентификацию SMS для сотрудников передовой линии, мы рекомендуем перейти на использование аутентификации по QR-коду (предварительная версия), которая не может быть легко удостоверена злоумышленниками. Дополнительные сведения см. в разделе "Методы проверки подлинности" в Microsoft Entra ID — метод QR-кода (предварительная версия).

Чтобы упростить и защитить вход в приложения и службы, идентификатор Microsoft Entra предоставляет несколько вариантов проверки подлинности. Проверка подлинности на основе SMS позволяет пользователям, таким как интерфейсные работники, вводить SMS-код в качестве первого фактора для входа. Пользователям не нужно предоставлять или даже знать их имя пользователя и пароль.

После создания учетной записи администратором удостоверений они могут ввести свой номер телефона в диалоговом окне для входа. Они получают код проверки подлинности SMS, который он может предоставить для завершения входа. Этот метод аутентификации упрощает доступ к приложениям и службам, особенно для рядовых сотрудников.

Предпосылки

Для работы с этой статьей требуются следующие ресурсы и разрешения:

• Активная подписка Azure.
  • Если у вас еще нет подписки Azure, создайте учетную запись.
• Клиент Microsoft Entra, связанный с вашей подпиской.
  • При необходимости создайте клиент Microsoft Entra или свяжите подписку Azure с вашей учетной записью.
• Чтобы включить проверку подлинности на основе SMS, необходимо по крайней мере роль администратора политики проверки подлинности в клиенте Microsoft Entra.
• Каждый пользователь, включенный в политику метода проверки подлинности SMS, должен быть лицензирован, даже если он не используется. Каждый пользователь с поддержкой должен иметь одну из следующих лицензий Microsoft Entra ID, EMS, Microsoft 365:
  • Microsoft 365 F1 или F3
  • Идентификатор Microsoft Entra P1 или P2
  • Enterprise Mobility + Security (EMS) E3 или E5 или Microsoft 365 E3 или E5
  • Office 365 F3

Известные проблемы

Ниже приведены некоторые известные проблемы:

• Проверка подлинности на основе SMS в настоящее время не совместима с многофакторной проверкой подлинности Microsoft Entra.
• За исключением Teams, аутентификация через SMS в настоящее время несовместима с собственными приложениями Office.
• Проверка подлинности на основе SMS не поддерживается для учетных записей B2B.
• Федеративные пользователи не смогут пройти аутентификацию в домашнем арендаторе. Они проходят аутентификацию только в облаке.
• Если по умолчанию для входа пользователь используется текстовое сообщение или вызов на телефонный номер, при многофакторной проверке подлинности автоматически отправляется код в SMS или совершается голосовой звонок. Начиная с июня 2021 г. некоторые приложения будут запрашивать у пользователей сначала выбрать Текст или Вызов. Этот параметр предотвращает отправку слишком большого количества кодов безопасности для разных приложений. Если по умолчанию для входа используется приложение Microsoft Authenticator (которое мы настоятельно рекомендуем), уведомление приложения отправляется автоматически.
• Кросс-клиентская синхронизация не поддерживает пользователей, у которых включена поддержка входа посредством SMS.

Включение метода аутентификации через SMS

Для включения и использования аутентификации через SMS в вашей организации необходимо выполнить три основных шага:

• Включить политику метода аутентификации.
• Выберите пользователей или группы, которые могут использовать метод аутентификации через SMS.
• Закрепите номер телефона за каждой учетной записью пользователя.
  • Этот номер телефона можно назначить в Центре администрирования Microsoft Entra (который показан в этой статье), а также в разделе "Мой персонал " или "Моя учетная запись".

Сначала давайте включите проверку подлинности на основе SMS для клиента Microsoft Entra.

1. Войдите в центр администрирования Microsoft Entra как администратор политики проверки подлинности или пользователь с более высокими привилегиями.

2. Перейдите к Entra ID>методам аутентификации>политикам.

3. В списке доступных методов проверки подлинности выберите SMS.

   

4. Выберите Включить и выберите Целевые пользователи. Вы можете включить проверку подлинности на основе SMS для всех пользователей или групп.

   Примечание.

   Чтобы настроить проверку подлинности на основе SMS для первого фактора (т. е. разрешить пользователям входить с помощью этого метода), установите флажок "Использовать для входа ". Если этот флажок не установлен, проверка подлинности на основе SMS доступна только для многофакторной проверки подлинности и самостоятельного сброса пароля.

   

Назначение метода аутентификации для пользователей и групп

Если в клиенте Microsoft Entra включена проверка подлинности на основе SMS, теперь выберите некоторых пользователей или групп, которым разрешено использовать этот метод проверки подлинности.

1. В окне политики проверки подлинности SMS задайте целевой объект для выбора пользователей.
2. Выберите "Добавить всех пользователей или группы", а затем выберите тестового пользователя или группы, например Contoso User или Contoso SMS Users.
3. Выбрав пользователей или группы, щелкните Выбрать, а затем — Сохранить, чтобы сохранить обновленную политику метода аутентификации.

Каждый пользователь, включенный в политике метода проверки подлинности SMS, должен быть лицензирован, даже если он не используется. Убедитесь, что у вас есть соответствующие лицензии для пользователей, которых вы подключили к политике метода аутентификации, особенно при включении этой функции для больших групп пользователей.

Установка номера телефона для учетных записей пользователей

Теперь пользователи включены для проверки подлинности на основе SMS, но их номер телефона должен быть связан с профилем пользователя в идентификаторе Microsoft Entra, прежде чем они смогут войти. Пользователь может задать этот номер телефона в моей учетной записи или назначить номер телефона с помощью Центра администрирования Microsoft Entra. Номера телефонов могут устанавливаться людьми, имеющими по крайней мере роль Администратора проверки подлинности.

Если для входа на основе SMS задан номер телефона, он также доступен для использования с многофакторной проверкой подлинности Microsoft Entra и самостоятельным сбросом пароля.

1. Найдите и выберите Microsoft Entra ID.

2. В меню навигации в левой части окна Microsoft Entra выберите "Пользователи".

3. Выберите пользователя, для которого вы включили аутентификацию через SMS в предыдущем разделе, например Contoso User, а затем выберите Методы аутентификации.

4. Нажмите + Добавить метод проверки подлинности, а затем в раскрывающемся меню Выберите метод выберите Номер телефона.

   Введите номер телефона пользователя вместе с кодом страны, например + 1 XXXXXXXXX. Центр администрирования Microsoft Entra проверяет, что номер телефона имеет правильный формат.

   Затем в раскрывающемся меню Тип телефона выберите Мобильный, Альтернативный мобильный или Другой при необходимости.

   

   Номер телефона должен быть уникальным в вашем арендаторе. При попытке использовать один и тот же номер телефона для нескольких пользователей отображается сообщение об ошибке.

5. Чтобы прикрепить номер телефона к учетной записи пользователя, нажмите Добавить.

После успешного предоставления доступа появится галочка для включения входа через SMS.

Тестирование входа через SMS

Чтобы проверить учетную запись пользователя, в которой теперь включен вход через SMS, выполните следующие действия:

1. Откройте новое окно браузера в режиме InPrivate или инкогнито в https://www.office.com

2. В правом верхнем углу выберите Войти.

3. В строке входа введите номер телефона, связанный с пользователем в предыдущем разделе, а затем выберите Далее.

   

4. Sms-сообщение отправляется на указанный номер телефона. Чтобы завершить процесс входа, введите 6-значный код, предоставленный в SMS-сообщении в запросе на вход.

   

5. Теперь пользователь вошел в учетную запись, не указывая имя пользователя или пароль.

Устранение неполадок при входе через SMS

Вы можете использовать следующие сценарии и действия по устранению неполадок, если у вас возникли проблемы с включением и использованием входа на основе SMS. Список приложений, поддерживающих вход на основе SMS, приведен в разделе Поддержка приложений для проверки подлинности на основе SMS.

Номер телефона для учетной записи пользователя уже задан

Если пользователь уже зарегистрировался для многофакторной проверки подлинности Microsoft Entra и /или самостоятельного сброса пароля (SSPR), у него уже есть номер телефона, связанный с учетной записью. Этот номер телефона не доступен автоматически для использования при входе через SMS.

Пользователю, у которого номер телефона уже закреплен в учетной записи, отображается кнопка Включить вход через SMS на странице Мой профиль. Нажмите эту кнопку, чтобы активировать учетную запись для входа с использованием SMS, а также предыдущей многофакторной аутентификации Microsoft Entra или регистрации SSPR.

Дополнительные сведения о пользовательском опыте см. в статье Открытие сессии по номеру телефона с помощью SMS.

Ошибка при попытке задать номер телефона на учетной записи пользователя

Если при попытке установить номер телефона для учетной записи пользователя в Центре администрирования Microsoft Entra вы получаете ошибку, просмотрите следующие действия по устранению неполадок:

1. Убедитесь, что вы включили вход через SMS.
2. Убедитесь, что учетная запись пользователя включена в политике метода проверки подлинности SMS .
3. Убедитесь, что вы настроили номер телефона с правильным форматированием, как было проверено в Центре администрирования Microsoft Entra (например , +1 4251234567).
4. Убедитесь, что номер телефона не используется в других местах вашего арендуемого помещения.
5. Проверьте, не задан ли номер голоса для учетной записи. Если установлен голосовой номер, удалите его и попробуйте ввести номер телефона снова.

Следующие шаги

• Список приложений, поддерживающих вход на основе SMS, приведен в разделе Поддержка приложений для проверки подлинности на основе SMS.
• Дополнительные способы входа в идентификатор Microsoft Entra без пароля, например ключи безопасности Microsoft Authenticator или FIDO2, см. в разделе "Параметры проверки подлинности без пароля" для идентификатора Microsoft Entra.
• Вы также можете использовать REST API Microsoft Graph для включения или отключения входа на основе SMS.