Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Пароли являются наиболее распространенным методом проверки подлинности пользователей, но они также являются наиболее уязвимыми. Люди часто используют слабые, легко угадываемые пароли и используют одни и те же учетные данные в разных службах.
Чтобы обеспечить дополнительный уровень безопасности, многофакторная проверка подлинности (также известная как MFA, двухфакторная проверка подлинности или 2FA) требует второго метода проверки для входа пользователей на основе:
- То, что у пользователя есть, что не так просто дублировать. Например, смартфон.
- Что-то уникальное для пользователя. Например, отпечаток пальца или другие биометрические атрибуты.
Дополнительный метод проверки используется только после проверки пароля. Даже если надежный пароль пользователя скомпрометирован, у злоумышленника нет смартфона или отпечатков пальцев пользователя для завершения входа.
Доступные методы включения MFA в организациях Microsoft 365, включая Microsoft 365 для бизнес-организаций, описаны в следующих разделах.
Инструкции по настройке см . в разделе Настройка MFA для Microsoft 365.
Параметры безопасности по умолчанию
Параметры безопасности по умолчанию — это набор неизменяемых политик во всех организациях Microsoft 365 с помощью Microsoft Entra ID Free.
Параметры безопасности по умолчанию включают следующие функции безопасности:
- Обязать всех пользователей и администраторов зарегистрироваться для Microsoft Entra многофакторной проверки подлинности (MFA) с помощью приложения Microsoft Authenticator или любого другого приложения проверки подлинности, поддерживающего OATH TOTP.
- Требовать MFA для учетных записей администраторов при каждом входе.
- При необходимости требовать многофакторную проверку подлинности для пользователей (например, на новых устройствах).
- Блокировать устаревшие протоколы проверки подлинности (например, POP3 и IMAP4 в старых почтовых клиентах).
- Требовать MFA для пользователей и администраторов, обращаюющихся к службам Azure Resource Manager (например, microsoft портал Azure).
Параметры безопасности по умолчанию в организации либо включено, либо отключены. В организациях Microsoft 365, созданных после октября 2019 г., по умолчанию включено значение безопасности (следовательно, MFA), поэтому вам не нужно ничего делать, чтобы включить параметры безопасности по умолчанию или MFA в новой организации. Для многих организаций параметры безопасности по умолчанию обеспечивают хороший базовый уровень безопасности при входе.
Дополнительные сведения о политиках безопасности по умолчанию и применяемых политиках см. в статье Принудительные политики безопасности в параметрах безопасности по умолчанию.
Сведения о настройке значений безопасности по умолчанию см. в статье Управление значениями по умолчанию безопасности.
Политики условного доступа
В качестве альтернативы использованию политик безопасности по умолчанию политики условного доступа доступны для организаций с Microsoft Entra идентификатором P1 или P2. Вот некоторые примеры.
- Microsoft 365 бизнес премиум (идентификатор Microsoft Entra P1)
- Microsoft 365 E3 (идентификатор Microsoft Entra P1)
- Microsoft 365 E5 (идентификатор Microsoft Entra P2)
- Подписка на надстройку
Совет
Организации с идентификатором Microsoft Entra P2 также имеют доступ к Защита Microsoft Entra ID. Вы можете создать политику условного доступа, чтобы требовать многофакторную проверку подлинности для повышенного риска входа. Дополнительные сведения см. в статье Что такое Защита Microsoft Entra ID?.
Вы создаете политики условного доступа, которые реагируют на события входа до предоставления пользователю доступа к приложению или службе. Если в вашей организации предъявляются сложные требования к безопасности или требуется детальный контроль над политиками безопасности, можно использовать политики условного доступа вместо значений по умолчанию безопасности.
Важно!
Организации могут использовать политики безопасности по умолчанию или условного доступа, но не одновременно. Политики условного доступа требуют, чтобы параметры безопасности по умолчанию были отключены, поэтому важно воссоздать политики из политик безопасности по умолчанию в политиках условного доступа в качестве базового плана для всех пользователей.
Дополнительные сведения о политиках условного доступа см. в статье Что такое условный доступ?
Сведения о настройке политик условного доступа см. в статье Управление политиками условного доступа.
Устаревший MFA для каждого пользователя (не рекомендуется)
Если вы не можете использовать параметры безопасности по умолчанию или условный доступ для бизнеса, последний вариант — использовать устаревшую MFA для отдельных учетных записей Microsoft Entra идентификаторов. Этот параметр доступен для План \Бесплатный\ идентификатора Microsoft Entra. Настоятельно рекомендуется использовать MFA для учетных записей с ролями администратора, особенно роли глобального администратора.
Инструкции по настройке см. в статье Включение Microsoft Entra многофакторной проверки подлинности для защиты событий входа.
Важно!
Microsoft рекомендует использовать роли с наименьшим количеством разрешений. Использование учетных записей с более низкими разрешениями помогает повысить безопасность организации. Глобальный администратор — это роль с высокими привилегиями, которую следует ограничивать экстренными сценариями, когда вы не можете использовать существующую роль. Дополнительные сведения см. в разделе Сведения о ролях администратора в Центр администрирования Microsoft 365.
Сравнение методов MFA
В следующей таблице показаны результаты включения MFA с параметрами безопасности по умолчанию, политиками условного доступа или параметрами учетной записи пользователя.
| Метод | Метод включен | Метод отключен | Доступные методы проверки подлинности |
|---|---|---|---|
| Параметры безопасности по умолчанию | Если параметры безопасности по умолчанию включено, можно создать новые политики условного доступа, но включить их невозможно. | После отключения политик безопасности по умолчанию можно включить политики условного доступа. | Приложение Microsoft Authenticator или любое приложение проверки подлинности сторонних пользователей, поддерживающее OATH TOTP. |
| Политики условного доступа | Если одна или несколько политик условного доступа существуют в любом состоянии (выкл., включено или только отчет), вы не сможете включить параметры безопасности по умолчанию. | Если политики условного доступа отсутствуют, можно включить параметры безопасности по умолчанию. |
Приложение Microsoft Authenticator или любое приложение проверки подлинности сторонних пользователей, поддерживающее OATH TOTP. Также могут быть доступны другие методы проверки подлинности в зависимости от настроенной надежности проверки подлинности. |
| Устаревший MFA для каждого пользователя (не рекомендуется) | Переопределяет параметры безопасности по умолчанию и политики условного доступа, требующие многофакторной проверки подлинности при каждом входе. | Переопределяется политиками безопасности по умолчанию или политиками условного доступа | Указываются пользователем во время регистрации MFA |
Дальнейшие действия
Администраторы:
Пользователи. Настройка входа в Microsoft 365 для многофакторной проверки подлинности и следующее видео:
Связанные материалы
Включение многофакторной проверки подлинности (видео)
Включение многофакторной проверки подлинности для телефона (видео)