Как убедиться, что пользователи настроены для обязательной многофакторной проверки подлинности

В этом разделе рассматриваются действия по проверке того, что пользователи в вашей организации настроены для соблюдения обязательных требований MFA Azure. Дополнительные сведения о том, какие приложения и учетные записи затронуты и как работает развертывание, см. в статье "Планирование обязательной многофакторной проверки подлинности для Azure" и других порталов администрирования.

Проверить MFA для личной учетной записи

Пользователь может использовать свои личная учетная запись для создания клиента Microsoft Entra только для нескольких пользователей. Если вы использовали личная учетная запись для подписки на Azure, выполните следующие действия, чтобы убедиться, что учетная запись настроена для MFA.

1. Войдите в свою учетную запись Майкрософт с дополнительными параметрами безопасности.
2. В разделе "Дополнительная безопасность и двухфакторная проверка подлинности" выберите "Включить".
3. Следуйте инструкциям на экране.

Дополнительные сведения см. в статье "Использование двухфакторной проверки подлинности с учетной записью Майкрософт".

Найдите пользователей, которые входят в систему как с использованием многофакторной аутентификации, так и без неё.

Используйте следующие ресурсы, чтобы найти пользователей, которые входят в систему с MFA и без него.

• Чтобы экспортировать список пользователей и их методов проверки подлинности, используйте PowerShell.
• При выполнении запросов для анализа входов пользователей используйте идентификаторы приложений, требующих MFA.

Проверка включения MFA (многофакторной аутентификации)

Все пользователи, обращающиеся к приложениям, которым требуется MFA , должны быть настроены для использования MFA. Обязательный MFA не ограничивается привилегированными ролями. Рекомендуется использовать MFA для всех пользователей, имеющих доступ к любому порталу администрирования.

Чтобы убедиться, что MFA настроена для пользователей или включить его при необходимости, выполните следующие действия.

1. Войдите в портал Azure в качестве глобального читателя.

2. Перейдите к Entra ID>Обзор.

3. Проверьте тип лицензии для подписки клиента.

4. Следуйте инструкциям в зависимости от типа лицензии, чтобы убедиться, что многофакторная аутентификация включена, или включите её при необходимости. Чтобы выполнить эти действия, необходимо выйти из учетной записи глобального читателя и войти под более привилегированной ролью.

   • Microsoft Entra ID P1 или Microsoft Entra ID P2
   • Microsoft 365 или Microsoft Entra ID Бесплатно

Проверка включения MFA для лицензии Microsoft Entra ID P1 или Microsoft Entra ID P2

Если у вас есть лицензия Microsoft Entra ID P1 или Microsoft Entra ID P2, можно создать политику условного доступа, чтобы требовать MFA для пользователей, обращающихся к приложениям, которым требуется MFA:

1. Войдите в Центр администрирования Microsoft Entra в качестве по крайней мере администратора условного доступа.

2. Перейдите к Entra ID>условного доступа>Политикам.

3. Выберите новую политику.

4. Присвойте политике имя. Мы рекомендуем организациям присваивать политикам понятные имена.

5. В разделе Назначения выберите Пользователи или идентификации рабочих нагрузок.

6. В разделе "Включить" выберите "Все пользователи" или группу пользователей, которые входят в приложения, для которых требуется MFA.

7. В Целевые ресурсы>Облачные приложения>включить, выберите приложения, выберите порталы администрирования Microsoft и API управления службами Windows Azure.

8. В разделе "Предоставлениедоступа>" выберите "Предоставить доступ", "Требовать надежность проверки подлинности", выберите многофакторную проверку подлинности и выберите "Выбрать".

9. Подтвердите параметры и установите политику "Включить" на Только отчет.

10. Нажмите кнопку "Создать", чтобы включить политику.

    Это важно

    Создайте политику CA в режиме Report-Only, чтобы понять влияние на вашего арендатора и избежать блокировки.

Дополнительные сведения см. в статье "Общая политика условного доступа: требуется многофакторная проверка подлинности для администраторов, обращаюющихся к порталам администрирования Майкрософт".

Вы можете использовать аналитические сведения об условном доступе и книгу отчетов, содержащую журналы входа, чтобы понять влияние вашего клиента. В качестве необходимого условия необходимо выполнить следующие действия.

• Создайте рабочую область.
• Интеграция журналов действий с Azure Monitor.

Выберите следующие параметры, чтобы узнать, как обязательный MFA влияет на вашего арендатора.

• Выберите ранее созданную политику условного доступа MFA
• Выбор диапазона времени для оценки данных
• Выберите представление данных , чтобы просмотреть результаты с точки зрения количества пользователей или количества входов

Вы можете запросить сведения о входе или скачать журналы входа, чтобы глубже ознакомиться с данными. Дополнительные сведения см. в аналитических сведениях и отчетах об условном доступе.

Убедитесь, что включена функция многофакторной аутентификации (MFA) для Microsoft 365 или бесплатной версии Microsoft Entra ID

Если у вас есть бесплатная лицензия Microsoft 365 или Microsoft Entra ID Free, можно включить MFA с помощью стандартных значений безопасности. Пользователям при необходимости предлагается воспользоваться MFA, но нельзя определить собственные правила для управления его использованием.

Чтобы включить параметры безопасности по умолчанию, выполните следующие действия.

1. Войдите в центр администрирования Microsoft Entra как минимум в качестве Администратора безопасности.
2. Перейдите к Entra ID>Обзор>Свойства.
3. Выберите "Управление безопасностью по умолчанию".
4. Задайте для параметра "Безопасность" значение"Включено".
5. Нажмите кнопку "Сохранить".

Дополнительные сведения о параметрах безопасности по умолчанию см. в разделе "Безопасность по умолчанию" в идентификаторе Microsoft Entra ID.

Если вы не хотите использовать параметры безопасности по умолчанию, можно включить MFA для каждого пользователя. При включении пользователей по отдельности они выполняют многофакторную проверку подлинности при каждом входе. Администратор проверки подлинности может включить некоторые исключения. Чтобы включить многофакторную проверку подлинности для каждого пользователя, выполните приведенные действия.

1. Войдите в Центр администрирования Microsoft Entra в качестве по крайней мере Администратора проверки подлинности.
2. Перейдите к Entra ID>пользователи.
3. Выберите учетную запись пользователя и нажмите кнопку "Включить MFA".
4. Подтвердите свой выбор во всплывающем окне, которое откроется.

После включения пользователей уведомите их по электронной почте. Сообщите пользователям о том, что при следующем входе в систему им будет показан запрос на регистрацию. Дополнительные сведения см. в разделе "Включение многофакторной аутентификации пользователей Microsoft Entra для обеспечения безопасности событий входа".

Связанный контент

Дополнительные сведения о MFA см. в следующих разделах:

• Как отложить принудительное применение для клиента, где пользователи не могут войти после развертывания обязательной многофакторной проверки подлинности (MFA) для портала Azure, Центра администрирования Microsoft Entra или Центра администрирования Microsoft Intune
• Планирование обязательной многофакторной проверки подлинности для Azure и других порталов администрирования
• Руководство. Защита событий входа пользователей с помощью многофакторной проверки подлинности Microsoft Entra
• Безопасные события входа с помощью многофакторной аутентификации Microsoft Entra
• Планирование развертывания многофакторной проверки подлинности Microsoft Entra
• Методы MFA, устойчивые к фишингу
• Многофакторная проверка подлинности Microsoft Entra
• Методы проверки подлинности