Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Применяется: 
Внешние клиенты (дополнительные сведения)
Многофакторная проверка подлинности (MFA) добавляет уровень безопасности в приложения, требуя, чтобы пользователи предоставили второй метод проверки удостоверения во время регистрации или входа. Внешние клиенты поддерживают два метода проверки подлинности в качестве второго фактора:
- Отправка одноразового секретного кода по электронной почте
- Проверка подлинности на основе SMS, доступная в виде надстройки (см. сведения).
Применение MFA повышает безопасность вашей организации путем добавления дополнительного уровня проверки, что делает его более сложным для несанкционированных пользователей для получения доступа.
Создание политики MFA
Во внешнем клиенте можно использовать условный доступ Microsoft Entra для создания политики, которая запрашивает многофакторную аутентификацию (MFA) у пользователей при регистрации или входе в приложение. Эта политика создается в Центре администрирования Microsoft Entra в разделе "Условный доступ" в разделе "Защита". Вы можете указать, к каким пользователям и группам применяется политика, включая всех пользователей и исключая любые учетные записи аварийного доступа или взлома.
В политике определяются приложения, требующие многофакторной проверки подлинности. Политику можно применить ко всем облачным приложениям или выбрать определенные приложения, исключая все приложения, которые не требуют многофакторной проверки подлинности. Затем вы настраиваете политику для предоставления доступа только в том случае, если пользователи завершают требование MFA.
Дополнительные сведения см. в статье о создании политики условного доступа во внешнем клиенте.
Усиление MFA с контекстом условного доступа для проверки подлинности
Многофакторная проверка подлинности (MFA) с контекстом проверки подлинности позволяет применять более надежную безопасность, только если пользователи получают доступ к конфиденциальным данным или выполняют критически важные действия. Для всего приложения не требуется принудительно применять MFA. С помощью контекста проверки подлинности условного доступа Microsoft Entra разработчики могут добавлять пошаговую проверку подлинности, например MFA, в своих приложениях. Используйте это для таких сценариев, как транзакции с высоким уровнем ценности или просмотр персональных данных. Этот подход поддерживает принципы нулевого доверия. Это обеспечивает доступ с минимальными привилегиями и снижает затруднения пользователей. Пользователи получают безопасный и простой интерфейс.
Включение методов MFA
При выборе опций поставщика удостоверений в пользовательских потоках вы определяете методы идентификации первого фактора для регистрации и входа. Методы проверки второго фактора для MFA настраиваются в Центре администрирования Microsoft Entra в разделе Entra ID>Методы проверки подлинности.
В зависимости от того, какой вариант выбран в качестве первого фактора, доступны различные методы проверки второго фактора для многофакторной проверки подлинности (MFA).
- Электронная почта с паролем и внешними поставщиками удостоверений: для любого из этих методов первого фактора можно включить одноразовый код по электронной почте, SMS или оба в качестве методов проверки второго фактора для MFA.
- Одноразовый секретный код электронной почты: если в качестве метода проверки подлинности первого фактора выбран одноразовый секретный код, его нельзя использовать для проверки второго фактора. Поэтому для MFA можно включить только проверку на основе SMS.
Дополнительные сведения см. в том , как включить методы MFA во внешнем клиенте.
Отправка одноразового секретного кода по электронной почте
Аутентификация с использованием одноразового пароля по электронной почте доступна в внешнем клиенте как метод проверки первого и второго фактора. Чтобы разрешить использование одноразовых секретных кодов электронной почты для MFA, метод проверки подлинности локальной учетной записи должен иметь значение Email с паролем. Если вы выберете электронную почту с одноразовым секретным кодом, клиенты, использующие этот метод для первичного входа, не смогут использовать его для вторичной проверки MFA.
Если для MFA включен одноразовый секретный код электронной почты, пользователь входит в систему с помощью основного метода входа и уведомляется о том, что код будет отправлен по адресу электронной почты пользователя. Пользователь выбирает отправку кода, извлекает секретный код из почтового ящика и вводит его в окне входа. Пользователь должен завершить этот процесс проверки в течение 10 минут.
Проверка подлинности на основе SMS
SMS доступны за дополнительную плату для двухфакторной аутентификации и самостоятельного сброса пароля во внешних арендаторах. В настоящее время он не поддерживается для проверки подлинности первого фактора.
При включении SMS для MFA пользователи входят с помощью основного метода, после чего их просят подтвердить свою личность с помощью кода, отправленного по SMS. Они вводят свой номер телефона и получают SMS с кодом проверки.
Внешний идентификатор устраняет мошеннические регистрации и входы через SMS, применяя следующие меры:
- Ограничения регулирования телефонии помогают предотвратить сбои и замедление. См. лимиты и ограничения службы.
- CAPTCHA для SMS MFA помогает предотвратить автоматизированные атаки, различая пользователей от автоматизированных ботов. Если обнаружен рискованный пользователь, мы заблокируем его вход или попросим пройти CAPTCHA перед отправкой SMS с кодом проверки.
Ценовые категории SMS по странам или регионам
В следующей таблице приведены сведения о разных ценовых категориях служб проверки подлинности на основе SMS в разных странах или регионах. Сведения о ценах см. в разделе Цены на Microsoft Entra External ID.
SMS является дополнительной функцией и требует подписки, привязанной к учетной записи. Если срок действия подписки истекает или отменяется, конечные пользователи больше не смогут проходить проверку подлинности с помощью SMS, что может заблокировать вход в систему в зависимости от политики MFA.
| Уровень | Страны или регионы |
|---|---|
| Низкая стоимость проверки подлинности телефона | Австралия, Бразилия, Бруней, Канада, Чили, Китай, Колумбия, Кипр, Северная Македония, Польша, Португалия, Южная Корея, Таиланд, Türkiye, Соединенные Штаты |
| Средняя низкая стоимость проверки подлинности телефона | Гренландия, Албания, Американская Самоа, Австрия, Багамские острова, Бахрейн, Босния и Герцеговина, Ботсвана, Коста-Рика, Чешская Республика, Дания, Эстония, Фарерские острова, Финляндия, Франция, Греция, Гонконг, Венгрия, Исландия, Ирландия, Италия, Япония, Латвия, Литва, Люксембург, Макао, Мальта, Мексика, Микронезия, Молдова, Намибия, Новая Зеландия, Никарагуа, Норвегия, Румыния, Сан-Томе и Принсипи, Сейшельские острова, Сингапурская Республика, Словакия, Соломоновы острова, Испания, Швеция, Швейцария, Тайвань, Соединенное Королевство, Американские Виргинские острова, Уругвай |
| Средне-высокая стоимость аутентификации телефона | Андорра, Ангола, Ангилья, Антарктика, Антигуа и Барбуда, Аргентина, Армения, Аруба, Барбадос, Бельгия, Бенин, Боливия, Бонэйр, Кюрасао, Саба, Синт-Эстатиус и Синт-Мартен, Британские Виргинские Острова, Болгария, Буркина-Фасо, Камерун, Каймановы острова, Центральноафриканская Республика, Острова Кука, Кот-д’Ивуар, Хорватия, Диего-Гарсия, Джибути, Доминиканская Республика, Эквадор, Сальвадор, Эритрея, Фолклендские острова, Фиджи, Французская Гвиана, Французская Полинезия, Гамбия, Грузия, Германия, Гибралтар, Гренада, Гваделупа, Гуам, Гвинея, Гайана, Гондурас, Индия, Кения, Кирибати, Лаос, Либерия, Малайзия, Маршалловы острова, Мартиника, Маврикий, Монако, Черногория, Монтсеррат, Нидерланды, Новая Каледония, Ниуэ, Оман, Палау, Панама, Парагвай, Перу, Пуэрто-Рико, Реюньон, Руанда, Остров Святой Елены, Вознесения и Тристан-да-Кунья, Сент-Китс и Невис, Сент-Люсия, Сен-Пьер и Микелон, Сент-Винсент и Гренадины, Сайпан, Самоа, Сан-Марино, Саудовская Аравия, Синт-Мартен, Словения, Южная Африка, Южный Судан, Суринам, Эсватини (Королевство Эсватини), Восточный Тимор, Токелау, Тонга, Теркс и Кайкос, Тувалу, Объединённые Арабские Эмираты, Вануату, Венесуэла, Вьетнам, Уоллис и Футуна |
| Высокая стоимость проверки подлинности телефона | Лихтенштейн, Бермуда, Кабо-Верде, Камбоджа, Демократическая Республика Конго, Доминика, Египет, Экваториальная Гвинея, Гана, Гватемала, Гвинея-Бисау, Израиль, Ямайка, Косово, Мальдивы, Мали, Мавритания, Марокко, Мозамбик, Папуа-Новая Гвинея, Филиппины, Катар, Сьерра-Леоне, Тринидад и Тобаго, Украина, Зимбабве, Афганистан, Алжир, Азербайджан, Бангладеш, Беларусь, Белиз, Бутан, Бурунди, Чад, Коморские Острова, Конго, Эфиопия, Габонская Республика, Гаити, Индонезия, Ирак, Иордания, Кувейт, Кыргызстан, Ливан, Ливия, Мадагаскар, Малави, Монголия, Мьянма, Науру, Непал, Нигер, Нигерия, Пакистан, Палестинская национальная администрация, Россия, Сенегал, Сербия, Сомали, Шри-Ланка, Судан, Таджикистан, Танзания, Тоголезская Республика, Тунис, Туркменистан, Уганда, Узбекистан, Йемен, Замбия |
Регионы с подпиской на SMS
Начиная с января 2025 года некоторые коды стран по умолчанию будут отключены для проверки SMS. Если вы хотите разрешить трафик из деактивированных регионов, необходимо активировать их для приложения с помощью политики Microsoft Graph onPhoneMethodLoadStartevent . См. раздел "Регионы, требующие согласия на проверку SMS".
Следующие шаги
Добавление многофакторной проверки подлинности (MFA) в приложение