Настройка и включение пользователей для проверки подлинности на основе SMS с помощью Microsoft Entra ID

Чтобы упростить и защитить вход в приложения и службы, идентификатор Microsoft Entra предоставляет проверку подлинности на основе SMS. Этот метод позволяет пользователям, таким как интерфейсные работники входить только с зарегистрированным номером телефона и одноразовым секретным кодом (OTP), отправленным через SMS, без необходимости имени пользователя или пароля.

Переход на современную аутентификацию, устойчивую к фишингу

Microsoft Entra проверка подлинности на основе SMS позволяет пользователям выполнять вход только с помощью зарегистрированного номера телефона и однократного секретного кода (OTP), отправленного через SMS, имя пользователя или пароль не требуется. Это отличается от многофакторной проверки подлинности MICROSOFT ENTRA SMS, которая обычно требует имени пользователя, пароля и SMS в качестве метода MFA. Этот метод проверки подлинности в первую очередь предназначен для упрощения процесса входа для работников, находящихся на передовой, и не рекомендуется для информационных работников (IW).

Microsoft Entra также предлагает альтернативный подход для передовых работников, называемый QR code authentication, который организации могут рассмотреть для сценариев совместно используемых устройств передовых работников.

В остальной части этой статьи показано, как включить проверку подлинности на основе SMS в качестве первого фактора для выбора пользователей или групп в Microsoft Entra ID. Список приложений, поддерживающих вход на основе SMS, приведен в разделе Поддержка приложений для проверки подлинности на основе SMS.

Прежде чем начать

Ниже приведены некоторые важные моменты перед началом работы.

• Необходимо включить проверку подлинности SMS только для сотрудников передней линии.
• Если вы включите проверку подлинности SMS, убедитесь, что вы следуйте рекомендациям по использованию средств управления безопасностью для работы или домашнего доступа для сотрудников передней линии. Дополнительные сведения см. в рекомендациях по защите сотрудников фронта.
• Если вы включите проверку подлинности SMS для сотрудников передней линии, мы рекомендуем перейти к использованию проверки подлинности QR-кода. Для получения дополнительной информации, см. раздел Методы проверки подлинности в Microsoft Entra ID - метод проверки подлинности с помощью QR-кода.

Чтобы упростить и защитить вход в приложения и службы, Microsoft Entra ID предоставляет несколько вариантов проверки подлинности. Проверка подлинности на основе SMS позволяет пользователям, таким как интерфейсные работники, вводить SMS-код в качестве первого фактора для входа. Пользователям не нужно предоставлять или даже знать их имя пользователя и пароль.

После создания учетной записи администратором удостоверений они могут ввести свой номер телефона в диалоговом окне для входа. Они получают код проверки подлинности SMS, который он может предоставить для завершения входа. Этот метод аутентификации упрощает доступ к приложениям и службам, особенно для рядовых сотрудников.

Предпосылки

Для работы с этой статьей требуются следующие ресурсы и разрешения:

• Активная подписка Azure.
  • Если у вас нет подписки Azure, создайте учетную запись.
• Клиент Microsoft Entra, связанный с подпиской.
  • При необходимости создайте клиент Microsoft Entra или соедините подписку Azure с учетной записью.
• Для включения аутентификации на основе SMS требуется по крайней мере роль администратора политики аутентификации в клиенте Microsoft Entra.
• Каждый пользователь, включенный в политику метода проверки подлинности SMS, должен быть лицензирован, даже если он не используется. У каждого включенного пользователя должна быть одна из следующих лицензий для Microsoft Entra ID, EMS или Microsoft 365:
  • Microsoft 365 F1 или F3
  • Microsoft Entra ID P1 или P2
  • Enterprise Mobility + Security (EMS) E3 или E5 или Microsoft 365 E3 или E5
  • Office 365 F3

Известные проблемы

Ниже приведены некоторые известные проблемы:

• Проверка подлинности на основе SMS в настоящее время несовместима с многофакторной проверкой подлинности Microsoft Entra.
• За исключением Teams, аутентификация через SMS в настоящее время несовместима с собственными приложениями Office.
• Проверка подлинности на основе SMS не поддерживается для учетных записей B2B.
• Федеративные пользователи не смогут пройти аутентификацию в домашнем арендаторе. Они проходят аутентификацию только в облаке.
• Если по умолчанию для входа пользователь используется текстовое сообщение или вызов на телефонный номер, при многофакторной проверке подлинности автоматически отправляется код в SMS или совершается голосовой звонок. Начиная с июня 2021 г. некоторые приложения будут запрашивать у пользователей сначала выбрать Текст или Вызов. Этот параметр предотвращает отправку слишком большого количества кодов безопасности для разных приложений. Если метод входа по умолчанию является приложением Microsoft Authenticator (which мы настоятельно рекомендуем), уведомление приложения отправляется автоматически.
• Кросс-клиентская синхронизация не поддерживает пользователей, у которых включена поддержка входа посредством SMS.

Включение метода аутентификации через SMS

Для включения и использования аутентификации через SMS в вашей организации необходимо выполнить три основных шага:

• Включить политику метода аутентификации.
• Выберите пользователей или группы, которые могут использовать метод аутентификации через SMS.
• Закрепите номер телефона за каждой учетной записью пользователя.
  • Этот номер телефона можно назначить в центре администрирования Microsoft Entra (который показан в этой статье) и в My Staff или My Account.

Сначала давайте включите проверку подлинности на основе SMS для вашего клиента Microsoft Entra.

1. Войдите в центр администрирования Microsoft Entra как минимум в качестве администратора политики аутентификации.

2. Перейдите к Entra ID>методам аутентификации>политикам.

3. В списке доступных методов проверки подлинности выберите SMS.

   

4. Выберите Включить и выберите Целевые пользователи. Вы можете включить проверку подлинности на основе SMS для всех пользователей или групп.

   Примечание.

   Чтобы настроить проверку подлинности на основе SMS для первого фактора (т. е. разрешить пользователям входить с помощью этого метода), установите флажок "Использовать для входа ". Если этот флажок не установлен, проверка подлинности на основе SMS доступна только для многофакторной проверки подлинности и самостоятельного сброса пароля.

   

Назначение метода аутентификации для пользователей и групп

Если в клиенте Microsoft Entra включена проверка подлинности на основе SMS, теперь выберите некоторых пользователей или группы, которым разрешено использовать этот метод проверки подлинности.

1. В окне политики проверки подлинности SMS задайте целевой объект для выбора пользователей.
2. Выберите "Добавить всех пользователей или группы", а затем выберите тестового пользователя или группы, например Contoso User или Contoso SMS Users.
3. Выбрав пользователей или группы, щелкните Выбрать, а затем — Сохранить, чтобы сохранить обновленную политику метода аутентификации.

Каждый пользователь, включенный в политике метода проверки подлинности SMS, должен быть лицензирован, даже если он не используется. Убедитесь, что у вас есть соответствующие лицензии для пользователей, которых вы подключили к политике метода аутентификации, особенно при включении этой функции для больших групп пользователей.

Установка номера телефона для учетных записей пользователей

Теперь пользователи включены для проверки подлинности на основе SMS, но их номер телефона должен быть связан с профилем пользователя в Microsoft Entra ID, прежде чем они смогут войти. Пользователь может задать этот номер телефона самостоятельно в Мой аккаунт, или вы можете назначить номер телефона с помощью центра администрирования Microsoft Entra. Номера телефонов могут устанавливаться людьми, имеющими по крайней мере роль Администратора проверки подлинности.

Если для входа на основе SMS задан номер телефона, он также доступен для использования с многофакторной аутентификацией Microsoft Entra и самообслуживанием сброса пароля.

1. Найдите и выберите Microsoft Entra ID.

2. В меню навигации в левой части окна Microsoft Entra выберите Users.

3. Выберите пользователя, для которого вы включили аутентификацию через SMS в предыдущем разделе, например Contoso User, а затем выберите Методы аутентификации.

4. Нажмите + Добавить метод проверки подлинности, а затем в раскрывающемся меню Выберите метод выберите Номер телефона.

   Введите номер телефона пользователя вместе с кодом страны, например + 1 XXXXXXXXX. Центр администрирования Microsoft Entra проверяет, что номер телефона имеет правильный формат.

   Затем в раскрывающемся меню Тип телефона выберите Мобильный, Альтернативный мобильный или Другой при необходимости.

   

   Номер телефона должен быть уникальным в вашем арендаторе. При попытке использовать один и тот же номер телефона для нескольких пользователей отображается сообщение об ошибке.

5. Чтобы прикрепить номер телефона к учетной записи пользователя, нажмите Добавить.

После успешного предоставления доступа появится галочка для включения входа через SMS.

Тестирование входа через SMS

Чтобы проверить учетную запись пользователя, в которой теперь включен вход через SMS, выполните следующие действия:

1. Откройте новое окно браузера в режиме InPrivate или инкогнито в https://www.office.com

2. В правом верхнем углу выберите Войти.

3. В строке входа введите номер телефона, связанный с пользователем в предыдущем разделе, а затем выберите Далее.

   

4. Sms-сообщение отправляется на указанный номер телефона. Чтобы завершить процесс входа, введите 6-значный код, предоставленный в SMS-сообщении в запросе на вход.

   

5. Теперь пользователь вошел в учетную запись, не указывая имя пользователя или пароль.

Устранение неполадок при входе через SMS

Вы можете использовать следующие сценарии и действия по устранению неполадок, если у вас возникли проблемы с включением и использованием входа на основе SMS. Список приложений, поддерживающих вход на основе SMS, приведен в разделе Поддержка приложений для проверки подлинности на основе SMS.

Номер телефона для учетной записи пользователя уже задан

Если пользователь уже зарегистрировался для Microsoft Entra многофакторной проверки подлинности или самостоятельного сброса пароля (SSPR), у него уже есть номер телефона, связанный с учетной записью. Этот номер телефона не доступен автоматически для использования при входе через SMS.

Дополнительные сведения о пользовательском опыте см. в статье Открытие сессии по номеру телефона с помощью SMS.

Ошибка при попытке задать номер телефона на учетной записи пользователя

Если вы получаете ошибку при попытке задать номер телефона для учетной записи пользователя в центре администрирования Microsoft Entra, изучите следующие шаги по устранению неполадок:

1. Убедитесь, что вы включили вход через SMS.
2. Убедитесь, что учетная запись пользователя включена в политике метода проверки подлинности SMS .
3. Убедитесь, что вы настроили номер телефона с правильным форматированием, как было проверено в центре администрирования Microsoft Entra (например, +1 4251234567).
4. Убедитесь, что номер телефона не используется в других местах вашего арендуемого помещения.
5. Проверьте, не задан ли номер голоса для учетной записи. Если установлен голосовой номер, удалите его и попробуйте ввести номер телефона снова.

Следующие шаги

• Список приложений, поддерживающих вход на основе SMS, приведен в разделе Поддержка приложений для проверки подлинности на основе SMS.
• Дополнительные способы входа в Microsoft Entra ID без пароля, например ключи безопасности приложения Microsoft Authenticator или FIDO2, см. в разделе Passwordless authentication options for Microsoft Entra ID.
• Можно также использовать REST API Microsoft Graph для включения или отключения входа с использованием SMS.