Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Проверка подлинности — это процесс безопасности, который проверяет удостоверение пользователя перед предоставлением доступа к приложениям, службам, устройствам или сетям.
Методы проверки подлинности, поддерживаемые идентификатором Microsoft Entra
В следующей таблице описывается, когда метод проверки подлинности можно использовать для первичной проверки подлинности (первый фактор), вторичной проверки подлинности с Microsoft Entra помощью многофакторной проверки подлинности (MFA), самостоятельного сброса пароля (SSPR) или восстановления учетной записи.
| Метод | Основная проверка подлинности | Дополнительная проверка подлинности | SSPR / Восстановление учетной записи |
|---|---|---|---|
| Аутентификатор Lite | нет | МИД | нет |
| Аутентификация на основе сертификата | Да | МИД | нет |
| OTP для электронной почты | нет | Служба самосброса пароля и вход2 | SSPR |
| Внешняя многофакторная аутентификация | нет | МИД | нет |
| Аппаратные токены OATH (предварительная версия) | нет | МИД | SSPR |
| Microsoft Authenticator без пароля | Да | нет | нет |
| Уведомления push Microsoft Authenticator | Да | МИД | SSPR |
| Секретный ключ (FIDO2) | Да | МИД | нет |
| Секретный ключ в Microsoft Authenticator | Да | МИД | нет |
| Пароль | Да | нет | нет |
| Платформенные учетные данные для macOS | Да | МИД | нет |
| QR-код | Да | нет | нет |
| Вход SMS | Да | МИД | SSPR |
| Токены OATH программного обеспечения | нет | МИД | SSPR |
| Синхронизированный секретный ключ | Да | МИД | нет |
| Временный код доступа (TAP) | Да | МИД | нет |
| Проверенный идентификатор3 | нет | нет | Восстановление учетной записи |
| Голосовой вызов | нет | МИД | SSPR |
| Windows Hello для бизнеса | Да | Министерство иностранных дел1 | нет |
1Windows Hello для бизнеса может служить усовершенствованными учетными данными для многофакторной аутентификации, если у пользователя есть включенные парольные ключи (FIDO2) и зарегистрирован парольный ключ.
2Электронная почта с OTP доступна для участников арендатора для самостоятельного сброса пароля (SSPR). Его также можно настроить для входа гостевых пользователей.
3Проверенный идентификатор — это возможность проверки личности, а не традиционный метод проверки подлинности. Он предоставляет подтверждение личности для восстановления учетной записи, но не может использоваться для входа в систему, многофакторной аутентификации (MFA) или самостоятельного сброса пароля (SSPR).
Методы проверки подлинности, устойчивые к фишингу
В то время как традиционные MFA с SMS, электронной почтой OTP или приложениями для аутентификации значительно повышают безопасность по сравнению с системами, использующими только пароли, эти варианты создают дополнительные шаги для пользователей, такие как ввод кодов, утверждение push-уведомлений или использование приложений для аутентификации. Кроме того, эти параметры MFA подвержены удаленным фишинговым атакам. В удаленной фишинговой атаке злоумышленники используют средства социальной инженерии и искусственного интеллекта для кражи учетных данных удостоверений, таких как пароли или одноразовые коды, без физического доступа к устройству пользователя.
Корпорация Майкрософт рекомендует использовать методы проверки подлинности, устойчивые к фишингу, такие как Windows Hello для бизнеса, ключи доступа (FIDO2) и ключи безопасности FIDO2 или проверку подлинности на основе сертификатов (CBA), так как они обеспечивают наиболее безопасный вход.
Следующие методы проверки подлинности, устойчивые к фишингу, доступны в Microsoft Entra ID:
- Windows Hello для бизнеса
- Учетные данные на платформе macOS
- Синхронизированные ключи доступа (FIDO2)
- Ключи безопасности FIDO2
- Ключи доступа в Microsoft Authenticator
- Проверка подлинности на основе сертификатов (CBA)
Подтверждение идентичности с помощью Проверенного ID
Проверенный идентификатор — это возможность проверки подлинности в Microsoft Entra ID, а не традиционный метод проверки подлинности. Его нельзя использовать для удовлетворения требований проверки подлинности, таких как вход, MFA или SSPR. Вместо этого проверенный идентификатор предоставляет криптографическое подтверждение проверенного удостоверения пользователя для сценариев, когда доверие должно быть восстановлено, например восстановление учетной записи при потере всех методов проверки подлинности.
Профили проверки удостоверения личности определяют, какие пользователи могут участвовать в потоках проверенных удостоверений, какой поставщик выполняет проверку и как проверяются данные удостоверения. Администраторы настраивают профили с помощью мастера настройки восстановления учетных записей в Центр администрирования Microsoft Entra, а страница политики проверенного идентификатора предоставляет представление о назначениях профилей и глобальных исключениях.
Дополнительные сведения см. в обзоре процесса верификации удостоверения Verified ID.
Восстановление учетной записи с высокой степенью надежности
Восстановление учетной записи — это процесс помощи пользователям, которые потеряли все свои учетные данные и больше не могут получить доступ к своей учетной записи. Традиционно пользователь вызывает службу технической поддержки, отвечает на вопросы, чтобы проверить свою личность, а служба технической поддержки сбрасывает свои учетные данные. Microsoft Entra ID теперь поддерживает проверку идентификатора, выданного правительством, с биометрическим сопоставлением для восстановления учетной записи с высоким уровнем надежности— удаление необходимости вмешательства в службу поддержки и устранение рисков социальной инженерии.
Организации могут выбирать ведущих поставщиков проверки подлинности (IDV) через Microsoft Security Store. Эти партнеры предлагают охват в 192 странах и регионах и удаленной проверке для большинства документов, выданных правительством, в том числе лицензии водителя и паспорта. Проверенные учетные данные Microsoft Entra Face Check, на основе Azure AI services, проверяет доказательство присутствия, сопоставляя селфи пользователя в режиме реального времени с фотографией из документа удостоверения личности. Общим доступом делится только результат совпадения — конфиденциальные данные пользователей не передаются, что сохраняет их приватность и обеспечивает надежную гарантию идентификации.