Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Восстановление учетных записей — это возможность Microsoft Entra ID, которая позволяет пользователям восстановить доступ к учетным записям организации, когда они теряют все зарегистрированные методы проверки подлинности, например когда основное устройство потеряно, украдено или скомпрометировано. В отличие от самостоятельного сброса пароля (SSPR), который требует, чтобы пользователи сохраняли по крайней мере один метод проверки подлинности, восстановление учетной записи повторно устанавливает доверие к удостоверению пользователя через проверку подлинности стороннего удостоверения перед восстановлением доступа.
Восстановление учетной записи заменяет ручное восстановление через службу поддержки на автоматическую проверку личности. Традиционное восстановление через службу поддержки уязвимо для атак социальной инженерии, когда злоумышленники манипулируют персоналом службы поддержки, убеждая в незаконном предоставлении доступа. Восстановление учетной записи устраняет этот вектор атаки с помощью идентификации, выданной правительством, и биометрической проверки с помощью сертифицированных поставщиков проверки идентификации.
Основы восстановления учетной записи
Восстановление учетных записей — это механизм восстановления проверки подлинности для сценариев, когда пользователи сталкиваются с полной блокировкой проверки подлинности— все зарегистрированные методы недоступны, а традиционные варианты самообслуживания не могут помочь.
Ключевые характеристики
- Центрированный на идентификации — сдвигает восстановление от того, что вы знаете (пароли) и что у вас есть (устройства, ключи безопасности) на кто вы путем полной проверки личности с использованием выданных государством документов и биометрических данных.
- Восстановление доверия — рассматривается как сценарий повторной адаптации. Организация проверяет и повторно устанавливает доверие к удостоверению пользователя перед предоставлением доступа к регистрации новых методов проверки подлинности.
- Основан на системе Verified ID — используется Проверенные учетные данные Microsoft Entra и проверка лица, в сочетании с услугами сторонних поставщиков идентификации, доступных через Microsoft Security Store.
- Конфигурация на основе профилей — администраторы создают профили проверки подлинности, определяющие поведение восстановления для каждого пользователя, в том числе поставщик выполняет проверку, какой режим восстановления применяется и как работает проверка учетных записей.
Когда следует использовать восстановление учетной записи
- Потеря устройства или кража — пользователь теряет телефон или ключ безопасности, содержащий свое приложение проверки подлинности, пароль или другие методы проверки подлинности.
- Завершение блокировки проверки подлинности — все зарегистрированные методы проверки подлинности становятся недоступными одновременно.
- Реагирование на компрометацию учетной записи . Для инцидента безопасности требуется полный сброс метода проверки подлинности в рамках реагирования на инциденты.
Сравнение восстановления учетной записи и самостоятельного сброса пароля
Хотя восстановление учетной записи и SSPR оба восстанавливают доступ пользователей, они рассматривают различные сценарии:
| Аспект | Самостоятельный сброс пароля (SSPR) | Восстановление учетной записи |
|---|---|---|
| Основной вариант использования | Пользователь забыл пароль, но сохраняет доступ к методам проверки подлинности | Пользователь потерял доступ ко всем методам проверки подлинности |
| Требование проверки подлинности | По крайней мере один зарегистрированный метод (политика может потребовать до двух) | Проверка удостоверений через сертифицированного поставщика |
| Предположение доверия | Удостоверение пользователя проверяется с помощью существующих методов | Удостоверение пользователя должно быть повторно установлено |
| Область восстановления | Только пароль | Полный сброс метода проверки подлинности |
| Зависимость технологий | Существующие методы MFA | Службы проверки подлинности, проверенный идентификатор |
| Уровень безопасности | Средний — использует предварительно зарегистрированные методы | Высокий — требует комплексной проверки подлинности |
Преимущества бизнеса
- Снижение нагрузки на службу поддержки — безопасное самостоятельное восстановление в случаях полной блокировки сокращает количество заявок в службу поддержки высокой приоритетности, требующих ручного вмешательства.
- Улучшено взаимодействие с пользователем — пользователи самостоятельно восстанавливают учетные записи, не ожидая доступности службы поддержки, уменьшая время простоя во время критических ситуаций.
- Более высокий уровень безопасности — проверка подлинности обеспечивает более надежную гарантию, чем традиционные методы восстановления, которые полагаются на информацию, уязвимую для социальной инженерии.
- Масштабируемый для удаленной работы — организации поддерживают распределенные рабочие ресурсы без необходимости физического присутствия или сложной проверки вручную.
Подсказка
Страница обзора восстановления учетной записи в Центр администрирования Microsoft Entra включает в себя оценку экономии средств, которая помогает организациям оценивать потенциальную экономию, сравнивая затраты на традиционное восстановление учетной записи через службу поддержки и самостоятельное восстановление учетной записи.
Как работает восстановление учетной записи
Восстановление учетной записи выполняется с помощью структурированной проверки подлинности и восстановления доверия, который начинается при входе.
Основные компоненты
Поставщики проверки удостоверений (IDV) — доверенные сторонние службы, которые проверяют удостоверение пользователя с помощью документов, выданных правительством, биометрических проверок и других методов высокой надежности. Эти поставщики выдают подтверждаемые учетные данные, которые подтверждают проверенную личность пользователя. Поставщики доступны через Microsoft Security Store.
Проверенные учетные данные Microsoft Entra — децентрализованная служба удостоверений, которая позволяет пользователям представлять криптографически безопасные учетные данные удостоверения во время восстановления. Эти учетные данные предоставляют подтверждение проверки личности без предоставления конфиденциальной личной информации. Дополнительные сведения см. в разделе Introduction to Проверенные учетные данные Microsoft Entra.
профили проверки Identity — объекты конфигурации в Центр администрирования Microsoft Entra, определяющие, как работает восстановление учетных записей для определенной группы пользователей. Каждый профиль задает режим восстановления, целевые группы пользователей, поставщик проверки удостоверений и правила проверки учетных записей. Организации могут создавать несколько профилей для поддержки различных групп пользователей с различными требованиями.
Расширения кастомной проверки подлинности — необязательные функции Azure, логические приложения или конечные точки REST API, которые добавляют логику валидации учетной записи для конкретной организации во время восстановления. Проверенные утверждения от провайдера проверки удостоверений передаются в расширение, которое проверяет их на соответствие данным организации, таким как системы управления информацией о персонале (HRIS) или каталоги сотрудников. Расширения должны использовать управляемые удостоверения или другую аутентификацию без использования секретов для обмена данными между службами. Все данные, обработанные расширением, остаются в пределах границы доверия организации — данные организации не передаются Microsoft.
Поток восстановления
Процесс восстановления учетной записи объединяет несколько уровней проверки, чтобы гарантировать, что только законные владельцы учетных записей восстанавливают доступ.
Обнаружение учетных записей
Пользователь предоставляет идентификатор учетной записи при входе и указывает, что он не может получить доступ к своей учетной записи. Система проверяет, имеет ли учетная запись право на восстановление на основе профилей проверки идентификации, настроенных администратором клиента, а затем направляет пользователя соответствующему поставщику проверки подлинности.
Проверка подлинности
Пользователь перенаправляется к поставщику для проверки личности, указанному в соответствующем профиле. Поставщик проверяет документы идентификации, выданные правительством, с помощью расширенного обнаружения мошенничества. Проверки активности и распознавание лиц подтверждают, что человек физически присутствует. После успешной проверки пользователь получает проверяемые учетные данные (проверенный идентификатор), хранящийся в Microsoft Authenticator.
Проверка учетных данных
Пользователь представляет свой недавно приобретенный подтвержденный идентификатор в Microsoft Entra ID. Система проверяет подлинность учетных данных и сопоставляет атрибуты удостоверения с сохраненной информацией профиля пользователя — по умолчанию используются имя и фамилия. Если в профиле настроено пользовательское расширение проверки подлинности, дополнительная проверка утверждений выполняется в отношении данных организации.
Восстановление доступа
Пользователь получает временный пропуск доступа с ограниченным сроком действия и сопровождается регистрацией новых методов аутентификации, таких как ключи доступа.
Профили проверки подлинности
Профили проверки идентификации — это центральный объект конфигурации для восстановления учетной записи. Каждый профиль определяет:
- Имя профиля и описание — понятное имя для идентификации назначения профиля.
- Режим восстановления — работает ли профиль в режиме оценки (только тестирование — учетные записи не восстанавливаются) или рабочий режим (включен полный режим восстановления).
- Область группы пользователей — к каким пользователям применяется профиль, определенный включенными и исключенными группами.
- Поставщик проверки подлинности — сторонний поставщик, который выполняет проверку подлинности для пользователей в этом профиле.
- Правила проверки учетных записей — как утверждения идентичности сопоставляются со свойствами пользователей Entra, включая уровень достоверности (точное или ослабленное) и необязательную проверку пользовательских расширений для проверки подлинности.
Организации создают несколько профилей для решения различных требований в их популяции пользователей. Например, профиль для корпоративных сотрудников может использовать другой поставщик проверки удостоверений или более строгие правила проверки, чем профиль для сотрудников передней линии.
Режимы оценки и эксплуатации
Каждый профиль проверки подлинности работает в одном из двух режимов:
- Оценка . Пользователи могут проверить поток проверки личности, чтобы убедиться, что он работает правильно. Учетные записи не восстанавливаются в этом режиме. Используйте режим оценки для проверки опыта с небольшой группой перед включением полной стадии восстановления.
- Производство — пользователи, которые выполняют проверку личности, могут полностью восстановить свои учетные записи, получить временный пропуск доступа и повторно зарегистрировать методы аутентификации.
Начните с режима оценки для новых профилей, чтобы убедиться, что поток проверки идентификации работает для пользователей и политик перед переходом на рабочую среду.
Note
Проверка подлинности включает обработку документов, выданных правительством, и биометрических данных через сторонних поставщиков. Перед развертыванием восстановления учетной записи проверьте конфиденциальность, хранение данных и региональные требования к соответствию.
Проверка учетных записей и пользовательские расширения проверки подлинности
По умолчанию восстановление учетной записи сопоставляет утверждения об удостоверении личности от поставщика проверки со свойствами First name и Last name в Microsoft Entra ID. Администраторы могут настроить уровень достоверности соответствия:
- Точные — утверждения должны совпадать точно.
- Расслабленный — позволяет незначительным вариациям в сопоставлении имен.
Подсказка
Для чувствительных групп пользователей рекомендуется рассмотреть возможность активации настраиваемого расширения для аутентификации, чтобы проверять дополнительные утверждения помимо имени и фамилии. Сопоставление имен только по умолчанию может не обеспечить достаточную гарантию для учетных записей с высоким риском.
Для организаций, которым требуется более надежная проверка, пользовательские расширения проверки подлинности добавляют второй уровень сопоставления учетных записей. Во время восстановления проверенные утверждения от поставщика проверки удостоверений передаются в конечную точку организации, такой как Azure Function, Logic App или REST API, которая сверяет их с достоверными источниками данных, такими как:
- Системы HRIS (записи сотрудников)
- Каталоги сотрудников
- Системы управления эмблемами
- Другие хранилища данных, принадлежащие организации
Important
Данные, обработанные пользовательским расширением проверки подлинности, остаются в пределах границы доверия организации. Данные организации не передаются Microsoft, только результат соответствия возвращается в поток восстановления учетной записи.
Дальнейшие действия
Восстановление учетной записи занимает около 5–10 минут. Запустите в режиме оценки, чтобы проверить интерфейс перед включением восстановления рабочей среды. Чтобы начать, см. Включите и настройте восстановление учетной записи в Microsoft Entra ID.
Связанный контент
- Включить и настроить восстановление учетной записи в Microsoft Entra ID
- Как конечные пользователи могут выполнять восстановление учетной записи в Microsoft Entra ID
- Часто задаваемые вопросы о восстановлении учетной записи Microsoft Entra ID
- Что такое удостоверение Проверенные учетные данные Microsoft Entra?
- Включите политику временного доступа
- Принципы работы: сброс пароля в Microsoft Entra через самообслуживание