Настройка многофакторной проверки подлинности Set up multi-factor authentication

С учетом знакомства с многофакторной проверкой подлинности (MFA) и ее поддержкой в Microsoft 365 пришло время развернуть и настроить ее для вашей организации. Based on your understanding of multi-factor authentication (MFA) and its support in Microsoft 365, it’s time to set it up and roll it out to your organization.

Если вы приобрели подписку или получили пробную версию после 21 октября 2019 г. и при выполнении входа вам предлагается пройти многофакторную проверку подлинности (MFA), это значит, что к вашей подписке были автоматически применены параметры безопасности по умолчанию. If you purchased your subscription or trial after October 21, 2019, and you’re prompted for MFA when you sign in, security defaults have been automatically enabled for your subscription.

Прежде чем начать Before you begin

• Управлять многофакторной проверкой подлинности (MFA) может только глобальный администратор. You must be a Global admin to manage MFA. Дополнительные сведения см. в статье О ролях администраторов. For more information, see About admin roles.
• Если у вас включена устаревшая MFA для конкретных пользователей, отключите устаревшую MFA для конкретных пользователей. If you have legacy per-user MFA turned on, Turn off legacy per-user MFA.
• Если у вас есть клиенты Office 2013 на устройствах с Windows, включите современную проверку подлинности для клиентов Office 2013. If you have Office 2013 clients on Windows devices, turn on Modern Authentication for Office 2013 clients.
• Дополнительно: если вы используете сторонние службы каталогов со службами федерации Active Directory (AD FS), настройте сервер Azure MFA. Advanced: If you have third-party directory services with Active Directory Federation Services (AD FS), set up the Azure MFA Server. Дополнительные сведения см. в статье Расширенные сценарии с использованием многофакторной проверки подлинности Azure AD и сторонних решений VPN. See advanced scenarios with Azure AD Multi-Factor Authentication and third-party VPN solutions for more information.

Включение и отключение параметров безопасности по умолчанию Turn Security defaults on or off

Параметры безопасности по умолчанию обеспечивают подходящий для большинства организаций уровень безопасности при входе в систему. For most organizations, Security defaults offer a good level of additional sign-in security. Дополнительные сведения см. в статье Что такое параметры безопасности по умолчанию? For more information, see What are security defaults?

Если у вас новая подписка, то параметры безопасности по умолчанию могли быть включены автоматически. If your subscription is new, Security defaults might already be turned on for you automatically.

Включить или отключить параметры безопасности по умолчанию можно на портале Azure в области Свойства для Azure Active Directory (Azure AD). You enable or disable security defaults from the Properties pane for Azure Active Directory (Azure AD) in the Azure portal.

1. Войдите в Центр администрирования Microsoft 365 с учетными данными глобального администратора. Sign in to the Microsoft 365 admin center with global admin credentials.
2. На левой панели навигации нажмите Показать все и в разделе Центры администрирования выберите Azure Active Directory. In the left nav choose Show All and under Admin centers, choose Azure Active Directory.
3. В Центре администрирования Azure Active Directory выберите Azure Active Directory >Свойства. In the Azure Active Directory admin center choose Azure Active Directory >Properties.
4. В нижней части страницы щелкните Управление параметрами безопасности по умолчанию. At the bottom of the page, choose Manage Security defaults.
5. Выберите Да, чтобы включить параметры безопасности по умолчанию, или Нет, чтобы их отключить, а затем нажмите Сохранить. Choose Yes to enable security defaults or No to disable security defaults, and then choose Save.

Если у вас включены базовые политики условного доступа, вам будет предложено отключить их до перехода к использованию параметров безопасности по умолчанию. If you have been using baseline Conditional Access policies, you will be prompted to turn them off before you move to using security defaults.

1. Выберите Условный доступ — страница «Политики». Go to the Conditional Access — Policies page.
2. Выберите все базовые политики в состоянии Вкл. и установите для параметра Включить политику состояние Выкл. Choose each baseline policy that is On and set Enable policy to Off.
3. Выберите Azure Active Directory — страница «Свойства». Go to the Azure Active Directory — Properties page.
4. В нижней части страницы щелкните Управление параметрами безопасности по умолчанию. At the bottom of the page, choose Manage Security defaults.
5. Выберите Да, чтобы включить параметры безопасности по умолчанию, или Нет, чтобы их отключить, а затем нажмите Сохранить. Choose Yes to enable security defaults and No to disable security defaults, and then choose Save.

Использование политик условного доступа Use Conditional Access policies

Если вашей организации нужно значительное количество различных установок безопасности при входе в систему, то политики условного доступа могут предоставить вам дополнительные возможности управления. If your organization has more granular sign-in security needs, Conditional Access policies can offer you more control. Условный доступ позволяет создавать и определять политики, которые реагируют на события при входе и запрашивают дополнительные действия, прежде чем пользователю будет предоставлен доступ к приложению или службе. Conditional Access lets you create and define policies that react to sign in events and request additional actions before a user is granted access to an application or service.

Прежде чем включать политики условного доступа, отключите MFA для конкретных пользователей и параметры безопасности по умолчанию. Turn off both per-user MFA and Security defaults before you enable Conditional Access policies.

Условный доступ могут использовать клиенты, которые приобрели Azure AD Premium P1 или лицензии, в которые входит эта служба, например Microsoft 365 бизнес премиум или Microsoft 365 E3. Conditional Access is available for customers who have purchased Azure AD Premium P1, or licenses that include this, such as Microsoft 365 Business Premium, and Microsoft 365 E3. Для получения дополнительной информации см. статью Создание политик условного доступа. For more information, see create a Conditional Access policy.

Условный доступ на основе риска доступен в рамках лицензии Azure AD Premium P2 или в рамках лицензий, в которую входит эта служба, например Microsoft 365 E5. Risk-based conditional access is available through Azure AD Premium P2 license, or licenses that include this, such as Microsoft 365 E5. Дополнительные сведения см. в статье Условный доступ на основе рисков. For more information, see risk-based Conditional Access.

Дополнительные сведения об Azure AD P1 и P2 см. в статье Цены для Azure Active Directory. For more information about the Azure AD P1 and P2, see Azure Active Directory pricing.

Включение современной проверки подлинности для организации Turn on Modern authentication for your organization

В большинстве подписок современная проверка подлинности включена автоматически, но если вы приобрели подписку до августа 2017 г., скорее всего, вам потребуется включить современную проверку подлинности, чтобы такие функции, как многофакторная проверка подлинности, работали в клиентах Windows, например в Outlook. For most subscriptions modern authentication is automatically turned on, but if you purchased your subscription before August 2017, it is likely that you will need to turn on Modern Authentication in order to get features like Multi-Factor Authentication to work in Windows clients like Outlook.

1. В Центре администрирования Microsoft 365 на левой панели навигации выберите Параметры >Параметры организации. In the Microsoft 365 admin center, in the left nav choose Settings >Org settings.
2. На вкладке Службы выберите Современная проверка подлинности, а затем в области Современная проверка подлинности установите флажок Включить современную проверку подлинности. Under the Services tab, choose Modern authentication, and in the Modern authentication pane, make sure Enable Modern authentication is selected. Выберите Сохранить изменения. Choose Save changes.

Выключение устаревшей MFA для конкретных пользователей Turn off legacy per-user MFA

Если у вас включена MFA для конкретных пользователей, перед включением параметров безопасности по умолчанию ее необходимо отключить. If you have previously turned on per-user MFA, you must turn it off before enabling Security defaults.

1. В Центре администрирования Microsoft 365 на левой панели навигации выберите Пользователи >Активные пользователи. In the Microsoft 365 admin center, in the left nav choose Users >Active users.
2. На странице Активные пользователи нажмите Многофакторная проверка подлинности. On the Active users page, choose Multi-factor authentication.
3. На странице многофакторной проверки подлинности выберите каждого пользователя по отдельности и установите для них многофакторную проверку подлинности в состояние Отключено. On the multi-factor authentication page, select each user and set their Multi-Factor auth status to Disabled.

Set up multi-factor authentication

Based on your understanding of multi-factor authentication (MFA) and its support in Microsoft 365, it’s time to set it up and roll it out to your organization.

If you purchased your subscription or trial after October 21, 2019, and you’re prompted for MFA when you sign in, security defaults have been automatically enabled for your subscription.

Before you begin

• You must be a Global admin to manage MFA. For more information, see About admin roles.
• If you have legacy per-user MFA turned on, Turn off legacy per-user MFA.
• If you have Office 2013 clients on Windows devices, turn on Modern Authentication for Office 2013 clients.
• Advanced: If you have third-party directory services with Active Directory Federation Services (AD FS), set up the Azure MFA Server. See advanced scenarios with Azure AD Multi-Factor Authentication and third-party VPN solutions for more information.

Turn Security defaults on or off

For most organizations, Security defaults offer a good level of additional sign-in security. For more information, see What are security defaults?

If your subscription is new, Security defaults might already be turned on for you automatically.

You enable or disable security defaults from the Properties pane for Azure Active Directory (Azure AD) in the Azure portal.

1. Sign in to the Microsoft 365 admin center with global admin credentials.
2. In the left nav choose Show All and under Admin centers, choose Azure Active Directory.
3. In the Azure Active Directory admin center choose Azure Active Directory >Properties.
4. At the bottom of the page, choose Manage Security defaults.
5. Choose Yes to enable security defaults or No to disable security defaults, and then choose Save.

If you have been using baseline Conditional Access policies, you will be prompted to turn them off before you move to using security defaults.

1. Go to the Conditional Access — Policies page.
2. Choose each baseline policy that is On and set Enable policy to Off.
3. Go to the Azure Active Directory — Properties page.
4. At the bottom of the page, choose Manage Security defaults.
5. Choose Yes to enable security defaults and No to disable security defaults, and then choose Save.

Use Conditional Access policies

If your organization has more granular sign-in security needs, Conditional Access policies can offer you more control. Conditional Access lets you create and define policies that react to sign in events and request additional actions before a user is granted access to an application or service.

Turn off both per-user MFA and Security defaults before you enable Conditional Access policies.

Conditional Access is available for customers who have purchased Azure AD Premium P1, or licenses that include this, such as Microsoft 365 Business Premium, and Microsoft 365 E3. For more information, see create a Conditional Access policy.

Risk-based conditional access is available through Azure AD Premium P2 license, or licenses that include this, such as Microsoft 365 E5. For more information, see risk-based Conditional Access.

For more information about the Azure AD P1 and P2, see Azure Active Directory pricing.

Turn on Modern authentication for your organization

For most subscriptions modern authentication is automatically turned on, but if you purchased your subscription before August 2017, it is likely that you will need to turn on Modern Authentication in order to get features like Multi-Factor Authentication to work in Windows clients like Outlook.

1. In the Microsoft 365 admin center, in the left nav choose Settings >Org settings.
2. Under the Services tab, choose Modern authentication, and in the Modern authentication pane, make sure Enable Modern authentication is selected. Choose Save changes.

Turn off legacy per-user MFA

If you have previously turned on per-user MFA, you must turn it off before enabling Security defaults.

1. In the Microsoft 365 admin center, in the left nav choose Users >Active users.
2. On the Active users page, choose Multi-factor authentication.
3. On the multi-factor authentication page, select each user and set their Multi-Factor auth status to Disabled.