Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Пользователи в Microsoft Entra ID имеют два различных набора контактных данных:
- Контактные данные открытого профиля, управление которыми осуществляется в профиле пользователя и которые видны участникам вашей организации. Для пользователей, синхронизированных с on-premises Active Directory, эта информация управляется в локальной Windows Server Active Directory Domain Services.
- Методы проверки подлинности, которые всегда хранятся в закрытом режиме и используются только для проверки подлинности, включая многофакторную проверку подлинности. Администраторы могут управлять этими способами в колонке способа проверки подлинности пользователя, а пользователи могут управлять своими способами на странице сведений о безопасности своей учетной записи.
При управлении методами многофакторной проверки подлинности Microsoft Entra для пользователей администраторы проверки подлинности могут:
- Добавление способов проверки подлинности для конкретного пользователя, включая номера телефонов, используемые для MFA.
- Сброс пароля пользователя.
- Требовать от пользователя перерегистрироваться в MFA.
- Отмена сеансов.
- Удаление существующих паролей приложений пользователя.
Примечание.
На снимках экрана в этом разделе показано, как управлять методами проверки подлинности пользователей с помощью обновленного интерфейса в центре администрирования Microsoft Entra. Существует также устаревший интерфейс, и администраторы могут переключаться между двумя с помощью баннера в Центре администрирования. Современный опыт имеет полный паритет с устаревшим опытом и управляет современными методами, такими как временный пароль доступа, ключи аутентификации и другие параметры. Устаревший интерфейс в центре администрирования Microsoft Entra вышел из эксплуатации 30 сентября 2025 года. Никаких действий, необходимых организациям перед выходом на пенсию, не требуется.
Необходимые компоненты
Microsoft Entra многофакторная аутентификация, которая включена по умолчанию.
Добавление или изменение методов проверки подлинности для пользователя
Вы можете добавлять или изменять методы проверки подлинности для пользователя с помощью центра администрирования Microsoft Entra или Microsoft Graph PowerShell. В центре администрирования Microsoft Entra устаревший метод управления методами проверки подлинности пользователей выходит из эксплуатации после 30 сентября 2025 года.
Примечание.
По соображениям безопасности поля общедоступных контактных данных пользователя не должны использоваться для выполнения MFA. Вместо этого пользователи должны указывать номера способов проверки подлинности, которые будут применяться для MFA.
Чтобы добавить или изменить методы проверки подлинности для пользователя в центре администрирования Microsoft Entra:
- Войдите в центр администрирования Microsoft Entra как минимум в качестве Authentication Administrator.
- Перейдите к разделу Entra ID>Пользователи.
- Выберите пользователя, для которого вы хотите добавить или изменить метод проверки подлинности, и выберите методы проверки подлинности.
- В верхней части окна нажмите кнопку +Добавить метод проверки подлинности.
- Выберите способ (номер телефона или адрес электронной почты). Электронная почта может использоваться для самостоятельного сброса пароля, но не для проверки подлинности. При добавлении номера телефона выберите тип телефона и введите номер телефона с допустимым форматом (например
+1 4255551234). - Нажмите кнопку "Добавить".
- Выберите способ (номер телефона или адрес электронной почты). Электронная почта может использоваться для самостоятельного сброса пароля, но не для проверки подлинности. При добавлении номера телефона выберите тип телефона и введите номер телефона с допустимым форматом (например
Пользователи могут добавлять или изменять собственные методы проверки подлинности в my Sign Ins | Сведения о безопасности. Например, чтобы изменить номер телефона, выберите номер телефона и нажмите кнопку "Изменить".
Управление методами с помощью PowerShell
Установите модуль Microsoft.Graph.Identity.Signins PowerShell с помощью указанны ниже команд.
Install-module Microsoft.Graph.Identity.Signins
Connect-MgGraph -Scopes "User.Read.all","UserAuthenticationMethod.Read.All","UserAuthenticationMethod.ReadWrite.All"
Select-MgProfile -Name beta
List phone based authentication methods for a specific user.
Get-MgUserAuthenticationPhoneMethod -UserId balas@contoso.com
Create a mobile phone authentication method for a specific user.
New-MgUserAuthenticationPhoneMethod -UserId balas@contoso.com -phoneType "mobile" -phoneNumber "+1 7748933135"
Remove a specific phone method for a user
Remove-MgUserAuthenticationPhoneMethod -UserId balas@contoso.com -PhoneAuthenticationMethodId 00aa00aa-bb11-cc22-dd33-44ee44ee44ee
Authentication methods can also be managed using Microsoft Graph APIs. For more information, see Authentication and authorization basics.
Управление параметрами проверки подлинности пользователей
Администраторы проверки подлинности могут требовать от других пользователей сброса пароля, повторной регистрации для MFA или отмены сеансов пользователя. Пользователи не могут обновить собственный объект пользователя. Чтобы изменить или сбросить собственные методы безопасности, пользователи могут перейти в сведения о безопасности или перейти к самостоятельному сбросу пароля для сброса пароля. Чтобы управлять параметрами других пользователей, выполните следующие действия.
Войдите в центр администрирования Microsoft Entra с правами как минимум администратора по аутентификации Authentication Administrator.
Перейдите к разделу Entra ID>Пользователи.
Выберите пользователя, с которым вы хотите выполнить действие, и выберите методы проверки подлинности. В верхней части окна выберите для пользователя один из следующих вариантов:
- Сброс пароля сбрасывает пароль пользователя и назначает временный пароль, который необходимо изменить при следующем входе.
- Требуется повторная регистрация MFA, которая деактивирует аппаратные токены OATH пользователя и удаляет следующие методы аутентификации этого пользователя: номера телефонов, приложения Microsoft Authenticator и программные токены OATH. При необходимости пользователю предлагается настроить новый метод проверки подлинности MFA при следующем входе.
- Отмена сеансов делает недействительными токены обновления пользователя, заставляя пользователя повторно проходить проверку подлинности в активных сеансах и приложениях.
Удаление существующих паролей приложений пользователей
Для пользователей, для которых определены пароли приложений, администраторы также могут удалить их, что приведет к сбою проверки подлинности в этих приложениях. Эти действия могут потребоваться, если понадобится помочь пользователю или сбросить его методы аутентификации. Приложения, не являющиеся браузерами и связанные с этими паролями приложений, перестанут работать до создания нового пароля приложения.
Чтобы удалить пароли приложений пользователя, выполните указанные ниже действия.
Войдите в центр администрирования Microsoft Entra как минимум с правами администратора аутентификации.
Перейдите к разделу Entra ID>Пользователи.
Выберите многофакторную проверку подлинности. Возможно, чтобы увидеть этот пункт меню, вам понадобится прокрутить экран вправо. Выберите пример снимка экрана ниже, чтобы просмотреть полное окно и расположение меню:
Установите флажок рядом с именем пользователя или пользователей, которыми требуется управлять. В правой части отобразится список параметров быстрых действий.
Выберите "Управление параметрами пользователя", а затем установите флажок "Удалить все существующие пароли приложений, созданные выбранными пользователями", как показано в следующем примере:
Нажмите кнопку "Сохранить", а затем закройте.
