Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Многофакторная проверка подлинности (также известная как MFA, двухфакторная проверка подлинности или 2FA) требует второго метода проверки для входа пользователей и повышает безопасность учетной записи.
В этой статье содержатся инструкции по настройке MFA с помощью доступных параметров:
- Параметры безопасности по умолчанию: доступно во всех организациях Microsoft 365 через Microsoft Entra ID бесплатно.
- Политики условного доступа: доступны в организациях Microsoft 365 с Microsoft Entra ID P1 или P2.
- Устаревшая MFA для каждого пользователя (не рекомендуется): доступна во всех организациях Microsoft 365 через Microsoft Entra ID бесплатно.
Сведения о различных параметрах MFA в Microsoft 365 см. в статье Многофакторная проверка подлинности в Microsoft 365.
Что нужно знать перед началом работы
Перед выполнением процедур, описанных в этой статье, необходимо назначить соответствующие разрешения. Ниже приведены некоторые варианты.
-
- Включить или отключить параметры безопасности по умолчанию: членство в ролях глобальный администратор или администратор безопасности .
- Создание политик условного доступа и управление ими: членство в ролях глобального администратора или администратора условного доступа .
Важно!
Microsoft рекомендует использовать роли с наименьшим количеством разрешений. Использование учетных записей с более низкими разрешениями помогает повысить безопасность организации. Глобальный администратор — это роль с высокими привилегиями, которую следует ограничивать экстренными сценариями, когда вы не можете использовать существующую роль.
-
Чтобы использовать параметры безопасности по умолчанию или условный доступ, необходимо отключить устаревшую MFA для пользователей в организации. Если подписка вашей организации была запущена после 2019 года, устаревшая MFA для каждого пользователя, скорее всего, не включена. Дополнительные сведения см. в статье Включение Microsoft Entra многофакторной проверки подлинности для защиты событий входа.
Примечание.
Если у вас есть сторонние службы каталогов с службы федерации Active Directory (AD FS) (AD FS), настроенные до июля 2019 г., настройте сервер MFA Azure. Дополнительные сведения см. в статье Дополнительные сценарии с Microsoft Entra многофакторной проверкой подлинности и решениями VPN сторонних разработчиков.
Управление параметрами безопасности по умолчанию
Для клиентов Microsoft 365, созданных после октября 2019 г., по умолчанию включено значение безопасности по умолчанию. Чтобы просмотреть или изменить текущее состояние по умолчанию безопасности в организации, выполните следующие действия.
В Центр администрирования Microsoft Entra перейдите в раздел Обзор удостоверений>. Или перейдите непосредственно на страницу обзора Microsoft Entra.
На странице обзора выберите вкладку Свойства и перейдите в раздел Безопасность по умолчанию в нижней части вкладки.
В зависимости от текущего состояния по умолчанию системы безопасности доступно одно из следующих возможностей:
Параметры безопасности по умолчанию включено: отображается следующий текст и доступно управление значениями по умолчанию:
Ваша организация защищена по умолчанию.
В Microsoft Entra ID P1 или P2 существует одна или несколько политик условного доступа: отображается следующий текст, а управление параметрами безопасности по умолчанию недоступно:
В настоящее время в вашей организации используются политики условного доступа, которые не позволяют включить параметры безопасности по умолчанию. Условный доступ можно использовать для настройки настраиваемых политик, которые обеспечивают то же поведение, что и параметры безопасности по умолчанию.
Управление условным доступом позволяет перейти на страницу Политики , где можно управлять политиками условного доступа. Сведения о переключении между политиками безопасности по умолчанию и политиками условного доступа см. в разделе Возврат к значениям по умолчанию безопасности из политик условного доступа этой статьи.
Параметры безопасности по умолчанию отключены: отображается следующий текст и доступен параметр Управление значениями по умолчанию:
Ваша организация не защищена значениями безопасности по умолчанию.
Если доступно управление значениями безопасности по умолчанию , выберите его, чтобы включить или отключить параметры безопасности по умолчанию.
Во всплывающем окне Безопасность по умолчанию выполните одно из следующих действий.
- Включите параметры безопасности по умолчанию. В раскрывающемся списке Параметры безопасности по умолчанию выберите Включено, а затем нажмите кнопку Сохранить.
- Отключить параметры безопасности по умолчанию. В раскрывающемся списке Параметры безопасности по умолчанию выберите Отключено. В разделе Причина отключения выберите Моя организация планирует использовать условный доступ.
По завершении во всплывающем окне Безопасность по умолчанию выберите Сохранить.
Предостережение
Не отключайте параметры безопасности по умолчанию, если вы не переходите на политики условного доступа в Microsoft Entra ID P1 или P2.
Управление политиками условного доступа
Если ваша организация Microsoft 365 включает Microsoft Entra ID P1 или более поздней версии, вы можете использовать условный доступ вместо значений по умолчанию для обеспечения более высокого уровня безопасности и более детализированного контроля. Например:
- Microsoft 365 бизнес премиум (Microsoft Entra ID P1)
- Microsoft 365 E3 (Microsoft Entra ID P1)
- Microsoft 365 E5 (Microsoft Entra ID P2)
- Подписка на надстройку
Дополнительные сведения см. в статье Планирование развертывания условного доступа.
Для переключения с политик условного доступа по умолчанию на политики условного доступа необходимо выполнить следующие основные действия.
Отключите параметры безопасности по умолчанию.
Создайте базовые политики условного доступа, чтобы воссоздать политики безопасности по умолчанию.
Настройте исключения MFA.
Создайте новые политики условного доступа.
Совет
Если включены параметры безопасности по умолчанию, можно создать новые политики условного доступа, но включить их невозможно. После отключения политик безопасности по умолчанию можно включить политики условного доступа.
Шаг 1. Отключение значений безопасности по умолчанию
Параметры безопасности по умолчанию и политики условного доступа нельзя включить одновременно, поэтому первое, что необходимо сделать, — это отключить параметры безопасности по умолчанию.
Инструкции см. в предыдущем разделе Управление значениями безопасности по умолчанию этой статьи.
Шаг 2. Создание базовых политик условного доступа для повторного создания политик в политиках безопасности по умолчанию
Политики в политиках безопасности по умолчанию являются рекомендуемыми майкрософт базовыми показателями для всех организаций, поэтому важно повторно создать эти политики в условном доступе, прежде чем создавать другие политики условного доступа.
Следующие шаблоны в условном доступе воссоздают политики по умолчанию безопасности:
- Обязательное использование MFA для всех пользователей
- Требовать многофакторную проверку подлинности для администраторов (чтобы улучшить состояние безопасности, см. раздел Требование защиты от фишинга для администраторов)
- Блокирование традиционной проверки подлинности
- Требовать многофакторную проверку подлинности для управления Azure
Чтобы создать политики условного доступа с помощью этих шаблонов, выполните следующие действия.
В Центр администрирования Microsoft Entra перейдите к условному доступу | Страница "Политики".
На условном доступе | На странице Политики выберите
Создать политику из шаблона.На странице Новая политика из шаблона убедитесь, что выбрана вкладка Выбор шаблона . На вкладке Выбор шаблона убедитесь, что выбрана вкладка Secure Foundation (Защита основы ).
На вкладке Secure Foundation выберите один из обязательных шаблонов (например, Требовать многофакторную проверку подлинности для всех пользователей) и выберите Просмотр и создание.
Совет
Чтобы найти и выбрать шаблон Требовать устойчивую к фишингу многофакторную проверку подлинности для администраторов, используйте
поле Поиск.На вкладке Просмотр и создание просмотрите или настройте следующие параметры:
Раздел "Основные сведения ":
- Имя политики. Примите имя по умолчанию или настройте его.
- Состояние политики: выберите Включено
Раздел Назначения. Обратите внимание, что в разделе Пользователи и группы значение Исключенные пользователи имеет значение Текущий пользователь, и изменить его невозможно. Из требований MFA следует исключить только учетные записи аварийного доступа . Дополнительные сведения см. в следующем шаге.
По завершении на вкладке Рецензирование и создание выберите Создать.
Созданная политика отображается в условном доступе | Страница "Политики ".
Повторите предыдущие шаги для остальных шаблонов.
Шаг 3. Настройка исключений MFA
По умолчанию политики условного доступа, созданные на предыдущем шаге, содержат исключения для учетной записи, в которую вы вошли, и вы не можете изменить исключения во время создания политики.
Мы рекомендуем по крайней мере две учетные записи администратора аварийного доступа в каждой организации, которые не назначены определенным пользователям и используются только в чрезвычайных ситуациях. Эти учетные записи необходимо исключить из требований MFA.
Может потребоваться удалить исключения текущих учетных записей и (или) добавить исключения учетных записей для аварийного доступа в следующие политики:
- Обязательное использование MFA для всех пользователей
- Требовать MFA для администраторов или требовать устойчивую к фишингу MFA для администраторов
- Требовать многофакторную проверку подлинности для управления Azure
Перед созданием настраиваемых политик условного доступа создайте учетные записи аварийного доступа, а затем выполните следующие действия, чтобы настроить исключения для политик, связанных с MFA:
На условном доступе | На странице Политики выберите одну из политик, связанных с MFA, которая была создана на предыдущем шаге (например, требовать многофакторную проверку подлинности для управления Azure).
На открывающейся странице сведений о политике выберите Все пользователи включены и конкретные пользователи исключены> в разделе Назначенияпользователей.
В появившемся окне выберите вкладку Исключить .
На вкладке Исключить настроены следующие параметры:
Выберите пользователей и группы, которые следует исключить из политики: выбрано значение Пользователи и группы .
Выберите исключенных пользователей и группы. Отображается значение 1 пользователя и учетная запись пользователя, которая использовалась для создания политики.
- Чтобы удалить текущую учетную запись из списка исключенных пользователей, выберите
>
Удалить.
Значение изменится на 0 выбранных пользователей и групп , и появится текст предупреждения Выбрать хотя бы одного пользователя или группу .
- Чтобы добавить учетные записи аварийного доступа в список исключенных пользователей, выберите 0 выбранных пользователей и групп. Во всплывающем окне Выбор исключенных пользователей и групп найдите и выберите учетные записи аварийного доступа для исключения. Выбранные пользователи отображаются на панели Выбранные . По завершении нажмите кнопку Выбрать.
На странице сведений о политике нажмите кнопку Сохранить.
- Чтобы удалить текущую учетную запись из списка исключенных пользователей, выберите
Повторите предыдущие шаги для оставшихся политик, связанных с MFA.
Совет
Политика блокировки устаревшей проверки подлинности , вероятно, не требует исключений, поэтому вы можете выполнить предыдущие действия, чтобы удалить существующее исключение. Просто снимите флажок Пользователи и группы на шаге 4.
Дополнительные сведения об исключениях пользователей в политиках условного доступа см. в разделе Исключения пользователей.
Шаг 4. Создание политик условного доступа
Теперь вы можете создавать политики условного доступа, соответствующие бизнес-потребностям. Дополнительные сведения см. в статье Планирование развертывания условного доступа.
Возврат к значениям безопасности по умолчанию из политик условного доступа
Параметры безопасности по умолчанию отключены при использовании политик условного доступа. Если одна или несколько политик условного доступа существуют в любом состоянии (выкл., включено или только отчет), вы не сможете включить параметры безопасности по умолчанию. Прежде чем включить параметры безопасности по умолчанию, необходимо удалить все существующие политики условного доступа.
Предостережение
Перед удалением политик условного доступа обязательно запишите их параметры.
Чтобы удалить политики условного доступа, выполните следующие действия.
На условном доступе | На странице Политики выберите политику, которую нужно удалить.
На открывающейся странице сведений выберите
Удалить в верхней части страницы.В открывшемся диалоговом окне Вы уверены? выберите Да.
После удаления всех политик условного доступа можно включить параметры безопасности по умолчанию, как описано в разделе Управление политиками безопасности по умолчанию.
Управление устаревшими MFA для каждого пользователя
Настоятельно рекомендуется использовать параметры безопасности по умолчанию или условный доступ для MFA в Microsoft 365. Если вы не можете, последний вариант — MFA для отдельных Microsoft Entra ID учетных записей через Microsoft Entra ID Бесплатно.
Инструкции см. в статье Включение Microsoft Entra многофакторной проверки подлинности для защиты событий входа в систему.
Дальнейшие действия
Администраторы: Администратор безопасности учетных записей в Microsoft 365 для бизнеса
Пользователи:
Если вам не удается выполнить вход, см. статью Как конечные пользователи могут выполнить восстановление учетной записи в Microsoft Entra ID
Настройка входа в Microsoft 365 для многофакторной проверки подлинности и следующее видео: