Функции и лицензии для многофакторной проверки подлинности Microsoft Entra
Для защиты учетных записей пользователей в организации следует использовать многофакторную проверку подлинности. Эта функция особенно важна для учетных записей, которые имеют привилегированный доступ к ресурсам. Основные функции многофакторной проверки подлинности доступны пользователям и администраторам Идентификатора Microsoft 365, а также пользователям и администраторам Microsoft Entra. Если вы хотите обновить функции для администраторов или расширить многофакторную проверку подлинности для остальных пользователей с дополнительными методами проверки подлинности и большим контролем, вы можете включить многофакторную проверку подлинности Microsoft Entra с помощью условного доступа. Дополнительные сведения см. в разделе "Общая политика условного доступа": требуется многофакторная проверка подлинности для всех пользователей.
Внимание
В этой статье описаны различные способы, которыми можно лицензировать и использовать многофакторную проверку подлинности Microsoft Entra. Дополнительные сведения о ценах и выставлении счетов см. на странице цен Microsoft Entra.
Доступные версии многофакторной проверки подлинности Microsoft Entra
Многофакторная проверка подлинности Microsoft Entra может использоваться и лицензироваться несколькими способами в зависимости от потребностей вашей организации. Все клиенты имеют право на базовые функции многофакторной проверки подлинности с помощью стандартных значений безопасности. Вы уже можете использовать расширенную многофакторную проверку подлинности Microsoft Entra в зависимости от лицензии, имеющейся в настоящее время. Например, первые 50 000 ежемесячных активных пользователей в Внешняя идентификация Microsoft Entra могут использовать MFA и другие функции P1 или P2 бесплатно. Дополнительные сведения см. в ценах на Azure Active Directory B2C.
В следующей таблице описаны различные способы получения многофакторной проверки подлинности Microsoft Entra и некоторых функций и вариантов использования для каждого из них.
| Если вы являетесь пользователем | Возможности и варианты использования |
|---|---|
| Microsoft 365 бизнес премиум и EMS или Microsoft 365 E3 и E5 | EMS E3, Microsoft 365 E3 и Microsoft 365 бизнес премиум включают идентификатор Microsoft Entra ID P1. EMS E5 или Microsoft 365 E5 включает идентификатор Microsoft Entra ID P2. В следующих разделах можно использовать те же функции условного доступа, чтобы обеспечить многофакторную проверку подлинности пользователям. |
| Microsoft Entra ID P1 | Условный доступ Microsoft Entra можно использовать для запроса пользователей на многофакторную проверку подлинности во время определенных сценариев или событий в соответствии с вашими бизнес-требованиями. |
| Microsoft Entra ID P2 | Обеспечивает наивысший уровень безопасности и улучшает взаимодействие с пользователем. Добавляет условный доступ на основе рисков к функциям Microsoft Entra ID P1, которые адаптируются к шаблонам пользователя и минимизирует запросы многофакторной проверки подлинности. |
| Все планы Microsoft 365 | Многофакторная проверка подлинности Microsoft Entra может быть включена для всех пользователей, использующих параметры безопасности по умолчанию. Управление многофакторной проверкой подлинности Microsoft Entra осуществляется через портал Microsoft 365. Для улучшения пользовательского интерфейса обновите идентификатор Microsoft Entra ID P1 или P2 и используйте условный доступ. Дополнительные сведения см. в разделе безопасных ресурсов Microsoft 365 с многофакторной проверкой подлинности. |
| Office 365 уровня "Бесплатный" Бесплатный идентификатор Microsoft Entra |
Вы можете использовать значения безопасности по умолчанию для запроса пользователей на многофакторную проверку подлинности по мере необходимости, но у вас нет детального управления включенными пользователями или сценариями, но он предоставляет этот дополнительный шаг безопасности. |
Сравнение функций на основе лицензий
В следующей таблице приведен список функций, доступных в различных версиях идентификатора Microsoft Entra для многофакторной проверки подлинности. Спланируйте потребности в защите проверки подлинности пользователей, а затем определите, какой подход соответствует этим требованиям. Например, хотя Microsoft Entra ID Free предоставляет параметры безопасности, обеспечивающие многофакторную проверку подлинности Microsoft Entra, где для запроса проверки подлинности можно использовать только мобильное приложение проверки подлинности. Этот подход может быть ограничением, если не удастся убедиться, что на персональном устройстве пользователя установлено мобильное приложение проверки подлинности. Дополнительные сведения см . на уровне "Бесплатный идентификатор Майкрософт" далее в этом разделе.
| Функция | Бесплатный идентификатор Microsoft Entra — значения по умолчанию безопасности (включены для всех пользователей) | Бесплатный идентификатор Microsoft Entra — только глобальные администраторы | Office 365 | Microsoft Entra ID, лицензия P1 | Microsoft Entra ID, лицензия P2 |
|---|---|---|---|---|---|
| Защита учетных записей администратора клиента Microsoft Entra с помощью MFA | ● | ● (только учетные записи глобального администратора Майкрософт) | ● | ● | ● |
| Мобильное приложение в качестве второго фактора | ● | ● | ● | ● | ● |
| Телефонный вызов в качестве второго фактора | ● | ● | ● | ||
| Текстовое сообщение в качестве второго фактора | ● | ● | ● | ● | |
| Администраторский контроль над методами проверки | ● | ● | ● | ● | |
| Предупреждение о мошенничестве | ● | ● | |||
| Отчеты службы "Многофакторная идентификация Azure" | ● | ● | |||
| Настраиваемые приветствия для телефонных вызовов | ● | ● | |||
| Настраиваемый идентификатор вызывающей стороны для телефонных звонков | ● | ● | |||
| Надежные IP-адреса | ● | ● | |||
| Запоминание данных MFA для доверенных устройств | ● | ● | ● | ● | |
| MFA для локальных приложений | ● | ● | |||
| Условный доступ | ● | ● | |||
| Условный доступ на основе рисков | ● |
Сравнение политик многофакторной проверки подлинности
Рекомендуемый нами подход к применению MFA — использование условного доступа. Ознакомьтесь со следующей таблицей, чтобы определить, какие возможности включены в лицензии.
| Политика | Параметры безопасности по умолчанию | Условный доступ | MFA для каждого пользователя |
|---|---|---|---|
| Управление | |||
| Стандартный набор правил безопасности для защиты вашей организации. | ● | ||
| Включение и отключение одним щелчком. | ● | ||
| Обеспечивается лицензиями Office 365 (изучите рекомендации по лицензиям). | ● | ● | |
| Предварительно настроенные шаблоны в мастере центра администрирования Microsoft 365. | ● | ● | |
| Гибкость настройки. | ● | ||
| Функция | |||
| Исключение пользователей из политики. | ● | ● | |
| Проверка подлинности по телефону или текстовому сообщению | ● | ● | ● |
| Проверка подлинности с помощью Microsoft Authenticator и программных маркеров. | ● | ● | ● |
| Проверка подлинности с помощью FIDO2, Windows Hello для бизнеса и аппаратных маркеров. | ● | ● | |
| Блокирование устаревших протоколов проверки подлинности. | ● | ● | ● |
| Новые сотрудники защищаются автоматически. | ● | ● | |
| Динамические триггеры MFA на основе событий риска. | ● | ||
| Политики поверки подлинности и авторизации. | ● | ||
| Возможность настройки на основе расположения и состояния устройства. | ● | ||
| Поддержка режима "только отчет". | ● | ||
| Возможность полностью блокировать пользователей и службы. | ● |
Бесплатный уровень идентификатора Microsoft Entra
Все пользователи в клиенте Microsoft Entra ID Free могут использовать многофакторную проверку подлинности Microsoft Entra с помощью по умолчанию безопасности. Мобильное приложение проверки подлинности можно использовать для многофакторной проверки подлинности Microsoft Entra при использовании по умолчанию бесплатной безопасности Microsoft Entra ID.
- Дополнительные сведения о параметрах безопасности Microsoft Entra по умолчанию
- Включение значений безопасности по умолчанию для пользователей в бесплатном коде Microsoft Entra ID
Включить многофакторную проверку подлинности Microsoft Entra можно одним из следующих способов в зависимости от типа используемой учетной записи:
- Если вы используете учетную запись Майкрософт, зарегистрируйтесь для многофакторной проверки подлинности.
- Если вы не используете учетную запись Майкрософт, включите многофакторную проверку подлинности для пользователя или группы в идентификаторе Microsoft Entra.
Следующие шаги
- Дополнительные сведения о затратах см. в ценах на Microsoft Entra.
- Что такое условный доступ?
- Что собой представляет защита идентификатора Microsoft Entra
- MFA также можно включить отдельно для каждого пользователя.