Поделиться через

Как убедиться, что пользователи настроены для обязательной многофакторной проверки подлинности

  • Статья

В этом разделе рассматриваются действия по проверке того, что пользователи в вашей организации настроены на соответствие требованиям для использования MFA для входа на порталы администрирования Майкрософт. Дополнительные сведения о том, какие приложения и учетные записи затронуты и как работает развертывание, см. в статье "Планирование обязательной многофакторной проверки подлинности для Azure" и других порталов администрирования.

Проверка MFA для личная учетная запись

Пользователь может использовать свои личная учетная запись для создания клиента Microsoft Entra только для нескольких пользователей. Если вы использовали личная учетная запись для подписки на Azure, выполните следующие действия, чтобы убедиться, что учетная запись настроена для MFA.

  1. Войдите в свою учетную запись Майкрософт с дополнительными параметрами безопасности.
  2. В разделе "Дополнительная безопасность и двухфакторная проверка подлинности" выберите "Включить".
  3. Следуйте инструкциям на экране.

Дополнительные сведения см. в статье "Использование двухфакторной проверки подлинности с учетной записью Майкрософт".

Поиск пользователей, которые входят в систему с помощью MFA и без MFA

Используйте следующие ресурсы, чтобы найти пользователей, которые входят в систему и без MFA:

  • Чтобы экспортировать список пользователей и их методов проверки подлинности, используйте PowerShell.
  • При выполнении запросов для анализа входов пользователей используйте идентификаторы приложений , требующих MFA.

Проверка включения MFA

Все пользователи, обращающиеся к порталам администрирования и клиентам Azure, которым требуется MFA, должны быть настроены для использования MFA . Обязательный MFA не ограничивается привилегированными ролями. Рекомендуется использовать MFA для всех пользователей, имеющих доступ к любому порталу администрирования.

Чтобы убедиться, что MFA настроена для пользователей или включить его при необходимости, выполните следующие действия.

  1. Войдите в портал Azure в качестве глобального читателя.

  2. Перейдите к обзору удостоверений>.

  3. Проверьте тип лицензии для подписки клиента.

  4. Выполните действия для типа лицензии, чтобы убедиться, что MFA включена, или включите его при необходимости. Чтобы выполнить эти действия, необходимо выйти в качестве глобального читателя и выполнить вход с помощью более привилегированной роли.

Проверка включения MFA для лицензии Microsoft Entra ID P1 или Microsoft Entra ID P2

Если у вас есть лицензия Microsoft Entra ID P1 или Microsoft Entra ID P2, можно создать политику условного доступа, чтобы требовать MFA для пользователей, обращающихся к порталам администрирования Майкрософт:

  1. Войдите в Центр администрирования Microsoft Entra в качестве администратора условного доступа.
  2. Перейдите к политикам условного доступа>защиты>.
  3. Выберите Новая политика.
  4. Присвойте политике имя. Мы рекомендуем организациям присваивать политикам понятные имена.
  5. В разделе Назначения выберите Идентификаторы пользователей или рабочих нагрузок.
  6. В разделе "Включить" выберите "Все пользователи" или группу пользователей, которые входят в приложения, для которых требуется MFA.
  7. В разделе "Целевые ресурсы>облачные приложения включают", выберите "Выбор приложений>" и выберите порталы администрирования Майкрософт.
  8. В разделе "Предоставление доступа>" выберите "Предоставить доступ", "Требовать надежность проверки подлинности", выберите многофакторную проверку подлинности и выберите "Выбрать".
  9. Подтвердите параметры и задайте для параметра Включить политику значение Только отчет.
  10. Нажмите Создать, чтобы создать и включить политику.

Дополнительные сведения см. в статье "Общая политика условного доступа: требуется многофакторная проверка подлинности для администраторов, обращаюющихся к порталам администрирования Майкрософт".

Проверка включения MFA для бесплатного идентификатора Microsoft 365 или Microsoft Entra ID

Если у вас есть бесплатная лицензия Microsoft 365 или Microsoft Entra ID Free, можно включить MFA с помощью стандартных значений безопасности. При необходимости пользователям предлагается указать MFA, но определять собственные правила для управления поведением нельзя.

Чтобы включить параметры безопасности по умолчанию, выполните приведенные по умолчанию действия.

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор безопасности.
  2. Перейдите к Удостоверение>Общие сведения>Свойства.
  3. Выберите Управление параметрами безопасности по умолчанию.
  4. Задайте для параметра "Безопасность" значение "Включено".
  5. Выберите Сохранить.

Дополнительные сведения о параметрах безопасности по умолчанию см. в разделе "Безопасность по умолчанию" в идентификаторе Microsoft Entra ID.

Если вы не хотите использовать параметры безопасности по умолчанию, можно включить MFA для каждого пользователя. При включении пользователей по отдельности они выполняют многофакторную проверку подлинности при каждом входе. Администратор проверки подлинности может включить некоторые исключения. Чтобы включить многофакторную проверку подлинности для каждого пользователя, выполните приведенные действия.

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор проверки подлинности.
  2. Перейдите в раздел Удостоверение>Пользователи>Все пользователи.
  3. Выберите учетную запись пользователя и нажмите кнопку "Включить MFA".
  4. Подтвердите свой выбор во всплывающем окне, которое откроется.

После включения пользователей уведомите их по электронной почте. Сообщите пользователям о том, что при следующем входе в систему им будет показан запрос на регистрацию. Дополнительные сведения см. в разделе "Включить многофакторную проверку подлинности Microsoft Entra" для защиты событий входа.

Связанный контент

Дополнительные сведения о MFA см. в следующих разделах: