Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Уровень надежности проверки подлинности — это элемент управления условным доступом Microsoft Entra, определяющий, какие комбинации методов проверки подлинности пользователи могут использовать для доступа к ресурсу. Пользователи могут удовлетворить требования к силе, выполнив проверку подлинности с помощью любой из разрешенных комбинаций.
Например, сила проверки подлинности может требовать от пользователей использовать только методы проверки подлинности, устойчивые к фишингу, для доступа к конфиденциальному ресурсу. Чтобы получить доступ к нечувствительному ресурсу, администраторы могут создать другую силу проверки подлинности, которая позволяет менее безопасным сочетаниям многофакторной проверки подлинности (MFA), таким как пароль и текстовое сообщение.
Сила аутентификации основана на политике методов аутентификации. То есть администраторы могут назначать методы проверки подлинности для определенных пользователей и групп, чтобы они использовались в федеративных приложениях Microsoft Entra ID. Уровень проверки подлинности позволяет дополнительно контролировать использование этих методов, основываясь на определенных сценариях, таких как доступ к конфиденциальным ресурсам, риск пользователя и расположение.
Предварительные условия
- Чтобы использовать условный доступ, клиент должен иметь лицензию Microsoft Entra ID P1. Если у вас нет этой лицензии, вы можете запустить бесплатную пробную версию.
Сценарии для сильных сторон проверки подлинности
Преимущества проверки подлинности могут помочь клиентам решить следующие сценарии:
- Для доступа к конфиденциальному ресурсу требуются определенные методы проверки подлинности.
- Требуется определенный метод проверки подлинности, когда пользователь принимает конфиденциальное действие в приложении (в сочетании с контекстом проверки подлинности условного доступа).
- Требовать, чтобы пользователи использовали определенный метод проверки подлинности при доступе к конфиденциальным приложениям за пределами корпоративной сети.
- Требовать более безопасные методы проверки подлинности для пользователей с высоким риском.
- Требовать определенные методы проверки подлинности от гостевых пользователей, которые получают доступ к ресурсному арендатору (в сочетании с межарендаторскими настройками).
Встроенные и настраиваемые преимущества проверки подлинности
Администраторы могут указать силу проверки подлинности для доступа к ресурсу, создав политику условного доступа с помощью элемента управления "Требовать надежность проверки подлинности". Они могут выбирать из трех встроенных сильных сторон проверки подлинности: многофакторная проверка подлинности, надежность MFA без пароля и устойчивость к фишингу MFA. Они также могут создать настраиваемую силу проверки подлинности на основе сочетаний методов проверки подлинности, которые они хотят разрешить.
Встроенные преимущества проверки подлинности
Встроенные преимущества проверки подлинности — это сочетания методов проверки подлинности, которые предопределяются корпорацией Майкрософт. Встроенные возможности проверки подлинности всегда доступны и не могут быть изменены. Корпорация Майкрософт обновляет встроенные преимущества проверки подлинности, когда новые методы становятся доступными.
Например, встроенная надежность проверки подлинности MFA с устойчивостью к фишингу позволяет использовать следующие сочетания:
- Учетные данные Windows Hello для бизнеса или для платформы
- Ключ безопасности FIDO2
- Проверка подлинности на основе сертификатов Microsoft Entra (многофакторная)
В следующей таблице перечислены сочетания методов проверки подлинности для каждой встроенной силы проверки подлинности. К этим сочетаниям относятся методы, которые пользователи должны зарегистрировать, а администраторы должны включить в политику для методов проверки подлинности или политики для устаревших параметров MFA:
- Сила MFA: тот же набор сочетаний, который можно использовать для удовлетворения параметра многофакторной проверки подлинности .
- Надежность MFA без пароля: включает методы проверки подлинности, удовлетворяющие MFA, но не требуют пароля.
- Устойчивость к фишингу MFA: включает методы, требующие взаимодействия между методом проверки подлинности и поверхностью входа.
| Сочетание методов проверки подлинности | Сила MFA | Эффективность безпарольной многофакторной аутентификации | Надежная защита многофакторной аутентификации от фишинга |
|---|---|---|---|
| Ключ безопасности FIDO2 | ✅ | ✅ | ✅ |
| Учетные данные Windows Hello для бизнеса или платформы | ✅ | ✅ | ✅ |
| Проверка подлинности на основе сертификатов (многофакторная) | ✅ | ✅ | ✅ |
| Microsoft Authenticator (вход по телефону) | ✅ | ✅ | |
| Временный пароль доступа (одноразовый и многоразовый) | ✅ | ||
| Пароль плюс еще что-то, что есть у пользователя1 | ✅ | ||
| Федеративная однофакторная аутентификация плюс метод, основанный на том, чем обладает пользователь1 | ✅ | ||
| Федеративный многофакторный | ✅ | ||
| Проверка подлинности на основе сертификатов (однофакторная проверка подлинности) | |||
| Вход с помощью SMS | |||
| Пароль | |||
| Федеративная однофакторная аутентификация |
1То, чем располагает пользователь, относится к одному из следующих методов: текстовое сообщение, голосовое сообщение, пуш-уведомление, программный токен OATH или аппаратный токен OATH.
Вы можете использовать следующий вызов API для определения списка всех встроенных преимуществ проверки подлинности:
GET https://graph.microsoft.com/beta/identity/conditionalAccess/authenticationStrength/policies?$filter=policyType eq 'builtIn'
Пользовательские преимущества проверки подлинности
Администраторы условного доступа также могут создавать настраиваемые преимущества проверки подлинности, чтобы точно соответствовать требованиям к доступу. Дополнительные сведения см. в статье "Создание и управление настраиваемыми преимуществами проверки подлинности условного доступа".
Ограничения
Влияние силы проверки подлинности на проверку подлинности: политики условного доступа оцениваются только после первоначальной проверки подлинности. В результате сила проверки подлинности не ограничивает начальную проверку подлинности пользователя.
Предположим, вы используете встроенную степень надежности MFA, защищенную от фишинга. Пользователь по-прежнему может ввести пароль, но должен войти с помощью метода, защищающего от фишинга, например ключа безопасности FIDO2, прежде чем он сможет продолжить.
Неподдерживаемая комбинация элементов управления предоставлением: невозможно использовать многофакторную проверку подлинности и требовать элементы управления надежностью проверки подлинности вместе в той же политике условного доступа. Причина заключается в том, что встроенная сила многофакторной аутентификации эквивалентна параметру управления "Требовать многофакторную аутентификацию".
Неподдерживаемый метод проверки подлинности: метод одноразового пароля электронной почты (гостевой) в настоящее время не поддерживается в доступных комбинациях.
Windows Hello для бизнеса: Если пользователь входит с помощью Windows Hello для бизнеса в качестве основного метода аутентификации, его можно использовать для выполнения требований к надежности аутентификации, которые включают Windows Hello для бизнеса. Но если пользователь входит с помощью другого метода (например, пароля) в качестве основного метода проверки подлинности, а для проверки подлинности требуется Windows Hello для бизнеса, пользователю не предлагается войти с помощью Windows Hello для бизнеса. Пользователь должен перезапустить сеанс, выбрать параметры входа и выбрать метод, который требуется для проверки подлинности.
Известные проблемы
Частота проверки подлинности и частоты входа. Если ресурсу требуется сила проверки подлинности и частота входа, пользователи могут удовлетворить оба требования в два разных раза.
Например, предположим, что ресурсу требуется ключ доступа (FIDO2) для обеспечения надежности проверки подлинности, а также частота входа в 1 час. Пользователь вошел с помощью ключа доступа (FIDO2), чтобы получить доступ к ресурсу 24 часа назад.
Когда пользователь разблокирует устройство Windows с помощью Windows Hello для бизнеса, он снова может получить доступ к ресурсу. Вчерашний вход удовлетворяет требованиям к силе аутентификации, а сегодняшняя разблокировка устройства — требованиям к частоте входа.
Вопросы и ответы
Следует ли использовать уровень надежности аутентификации или политику для методов аутентификации?
Сила проверки подлинности основана на политике методов проверки подлинности . Политика методов проверки подлинности помогает ограничить область и настроить методы проверки подлинности , которые пользователи и группы могут использовать в идентификаторе Microsoft Entra. Сила проверки подлинности позволяет другим ограничениям методов для определенных сценариев, таких как доступ к конфиденциальным ресурсам, риск пользователя и расположение.
Например, предположим, что администратор организации с именем Contoso хочет разрешить пользователям использовать Microsoft Authenticator с push-уведомлениями или режимом проверки подлинности без пароля. Администратор переходит к параметрам Authenticator в политике методов проверки подлинности , определяет политику для соответствующих пользователей и задает режим проверки подлинностиany.
Для наиболее конфиденциального ресурса Contoso администратор хочет ограничить доступ только к методам проверки подлинности без пароля. Администратор создает новую политику условного доступа с использованием встроенного уровня проверки подлинности без пароля MFA.
В результате пользователи Contoso могут получить доступ к большинству ресурсов в клиенте, используя пароль и push-уведомление от Authenticator, или только Authenticator для входа по телефону. Однако, когда пользователи в аренде получают доступ к конфиденциальному приложению, они должны использовать приложение Authenticator (вход по телефону).