Настройка mfa в outlook

Обновлено: 06.07.2024

Теперь везде, где только возможно, я защищаю свои данные с помощью средств многофакторной аутентификации Multi-Factor Authentication (MFA). И не могу понять, почему пользователи платформы Office 365 до сих пор удовлетворяются средствами парольной защиты. Должен признаться: у меня нет точных сведений относительно того, какой процент пользователей Office 365 применяет средства MFA. Но неофициальное исследование, проведенное мною среди знакомых, показывает, что использование средств MFA не является нормой. Возможно, все дело в опасениях, что необходимость выполнения дополнительных аутентификационных процедур будет раздражать пользователей и сбивать их с толку. Мой опыт показывает, что на практике дела обстоят иначе, однако я вполне понимаю тех, кто придерживается такой точки зрения. Но как бы то ни было, теперь, когда средства аутентификации на базе OAuth (иногда именуемые средствами современной аутентификации) реализованы как в последней версии Office 2013, так и в Office 2016, надо полагать, что для администраторов наступило самое время рассмотреть вопрос о том, смогут ли средства MFA обеспечить защиту пользовательских данных.

Знакомство со средствами MFA платформы Office 365

Давайте для начала определим, что такое MFA. Это метод проверки подлинности, предполагающий, что пользователь, который пытается получить доступ к данным, сможет подтвердить свою идентичность по меньшей мере двумя способами. В большинстве случаев речь идет о двух из трех перечисленных ниже методов.

  • Вы сообщаете нечто, известное вам, то есть пароль.
  • Вы используете нечто, обычно находящееся при вас, например мобильный телефон.
  • Вы предъявляете нечто, присущее только вам: такие биометрические характеристики, как рисунок радужной оболочки, отпечаток пальца или черты лица.

Идея состоит в том, чтобы поставить злоумышленников, пытающихся получить доступ к учетной записи, перед необходимостью преодоления нескольких линий обороны. Если раньше для проникновения в систему было достаточно угадать пароль, то теперь взломщик должен располагать устройством, используемым для подтверждения подлинности (таким, как телефон) или изыскать способ представления необходимых биометрические данных, а это невероятно сложная задача.

Azure Active Directory — это служба подтверждения полномочий Office 365. Чтобы подтвердить свои права доступа к службам с помощью пакета OAuth 2.0, приложения, разработанные для взаимодействия с MFA, используют библиотеку Active Directory Authentication Library (ADAL). OAuth — это открытый стандарт предоставления прав доступа, поддерживаемый многими другими поставщиками. Используя библиотеку ADAL, клиентские приложения, такие как Outlook или Outlook Web App, получают доступ к данным пользователей с помощью маркеров доступа, выдаваемых в процессе аутентификации. Применение маркеров доступа обеспечивает приложениям возможность продолжать обращаться к данным, не расходуя ресурсы на хранение или предоставление учетной информации пользователей.

Применяется два типа маркеров. Маркер refresh token выдается после успешного подтверждения аутентичности пользователя. Это главный маркер, служащий для получения маркеров, которые необходимы для обращения к данным пользователя. Так, при первом подключении клиента Outlook к системе Office 365 и подтверждении прав доступа к ней маркер refresh token предоставляется службой Azure Active Directory. После этого Outlook может использовать данный маркер для получения маркеров доступа, действительных для системы Exchange. Тот же refresh token действителен на всем пространстве Office 365, так что, если у программ Word или Excel возникает необходимость обращения к данным SharePoint или OneDrive for Business, клиентские приложения могут запросить маркер доступа, действительный для упомянутых серверных приложений. На данную ситуацию можно взглянуть и под другим углом: маркер доступа всегда задается ресурсом — будь то Exchange, SharePoint или какая-либо другая программа.

Если маркер refresh token не используется, срок его действия составляет две недели. Однако, если этот маркер применяется для генерирования маркеров доступа, он обновляется средствами Azure Active Directory. Разумеется, если вы выйдете из системы на срок свыше двух недель и не будете обращаться к Office 365 на протяжении этого времени, срок действия refresh token истечет, и вам придется вновь создавать его в процессе аутентификации.

Активация MFA для учетных записей Office 365

Активация MFA для учетных записей Office 365 осуществляется без каких-либо затруднений. Зарегистрируйтесь в центре администрирования Office 365 Admin Center, перейдите на вкладку Users и щелкните ссылку Setup рядом со строкой Set multi-factor authentication requirements. Теперь вы сможете активировать средства MFA для целой группы учетных записей или для отдельных учетных записей по своему выбору. Запустите процесс, щелкнув на пункте Enable, а затем укажите учетные записи, для которых должны быть активированы средства MFA.

Выбор методов верификации для средств MFA
Экран 1. Выбор методов верификации для средств MFA

Альтернативные методы аутентификации

Разработчики службы Azure Active Directory предусмотрели возможность применения методов многофакторной аутентификации в таких, например, случаях, когда пользователи перепутали свои смартфоны. Разумеется, никто из пользователей не предполагает, что ему придется прибегнуть к альтернативному методу, пока не возникнет критическая ситуация, но здесь у администраторов есть прекрасный повод принять решение о том, следует ли реализовать подобные методы в организации.

Прежде чем воспользоваться средством аутентификации, вам придется из своей учетной записи Office 365 активировать его в качестве механизма верификации. Делается это так. Перейдите в раздел Office 365 Settings, выберите вкладку Additional security verification и щелкните на пункте Update your phone numbers used for account security. После этого вы сможете добавить приложение Azure Authenticator к списку программ, поддерживаемых вашей учетной записью, и завершить процесс настройки (см. экран 2).

Настройка приложения authenticator
Экран 2. Настройка приложения authenticator

Пароли приложений

Перечисленные выше методы верификации реализованы не во всех приложениях, и именно по этой причине существует такой механизм, как «пароль приложения». Пароль приложения, создаваемый на финальной стадии активации средств MFA (см. экран 3), представляет собой сложную текстовую строку, которую можно ввести для завершения процесса аутентификации. Пароли приложений были созданы для того, чтобы обеспечить приложениям, не оснащенным средствами аутентификации на основе стандарта OAuth, возможность создания действительных маркеров доступа, открывающих путь к данным Office 365.

Просмотр пароля приложения
Экран 3. Просмотр пароля приложения

Получив пароль приложения, пользователь должен обеспечить его неприкосновенность, поскольку этот пароль потребуется для проверки прав доступа средствами некоторых приложений, включая мобильные телефоны, оснащенные технологией ActiveSync. Освоить эту часть процесса труднее всего, поскольку, хотя у вас может быть несколько паролей приложений (скажем, по одному на каждое приложение или по одному на устройство), все эти пароли генерируются автоматически и, похоже, выдаются нам с гарантией: их ни за что не вспомнишь в тот момент, когда это потребуется. Средства MFA никак не проявляют себя сразу после активации: на данный момент у пользователей могут быть задействованы существующие соединения, срок действия которых должен истечь или которые должны быть разорваны перед тем, как новый режим аутентификации вступит в силу. Обычно первыми требуют использования средств MFA браузерные соединения (включая соединения с SharePoint и с OneDrive при открытии файлов, хранящихся в этих репозиториях). За ними следуют другие приложения, такие как Outlook 2016. После завершения проверки подлинности ее результаты остаются действительными в течение 14 дней.

Использование средств MFA

Введение одноразового кода, полученного через SMS
Экран 4. Введение одноразового кода, полученного через SMS

MFA и пакет PowerShell

Самая серьезная проблема, с которой мне довелось столкнуться, заключалась в отсутствии средств работы с многофакторной аутентификацией в среде PowerShell. Когда пользователь начинает сеанс удаленной работы с PowerShell с помощью подключения через Office 365, он может идентифицировать себя, только предоставив свое имя пользователя и пароль, так как механизм для передачи второго фактора аутентификации, включая пароли приложений, в этом случае не предусмотрен. Единственное решение — создать отдельную учетную запись для работы с PowerShell. Само по себе это несложно, к тому же отделение административных действий (которые вы будете выполнять с использованием PowerShell) от рутинных процедур взаимодействия с Office 365 отвечает требованиям безопасности. Кстати, специалисты Microsoft сейчас работают над оснащением PowerShell средствами MFA, так что в будущем вы сможете использовать различные методы верификации. Учтите, что, возможно, на первых порах модули PowerShell для различных приложений, включая Exchange, не будут поддерживать работу средств MFA. Но даже если такая поддержка и будет реализована, я все равно рекомендовал бы рассмотреть возможность использования отдельной учетной записи для работы с PowerShell.

Среда PowerShell может использоваться для просмотра учетных записей, настроенных для применения средств MFA. Как разъясняется в статье, подготовленной обладателем статуса Microsoft MVP Мишелем де Руиж, публикуемый в приведенном листинге код вы можете использовать для определения учетных записей Office 365, применяющих средства многофакторной аутентификации, а также для выявления методов, используемых для дополнительной проверки подлинности. Приведенные ниже данные показывают, что обе учетные записи настроены для использования аутентификации с помощью SMS (OneWaySMS), а также звонков по мобильному телефону (TwoWayVoiceMobile). Помимо прочего, вы можете использовать PowerShell для управления настройками MFA для учетных записей, хотя большинство пользователей устроит обращение в центр администрирования Office 365 Admin Center.

Казус с привередливым браузером

Более занятная проблема возникла в связи с тем, что Internet Explorer внезапно стал отказывать мне в соединении с использованием средств MFA (см. экран 5). Я работал под управлением новейшей версии Windows 10 (10586, или редакция Threshold 2); при этом, в отличие от IE, как Edge, так и Chrome работали с MFA без каких-либо нареканий. Я сделал все, что полагается в таких случаях: очистил кэш браузера и навел в Интернете справки по коду ошибки 50012, но оптимального решения так и не нашел. Проблема сохранялась в течение недели или чуть больше. В конце концов я решил деактивировать средства MFA для своей учетной записи и посмотреть, как на это отреагирует IE. Браузер работал после деактивации средств MFA и продолжал исправно функционировать и после ее повторного включения. Таким образом я получил еще одно подтверждение тому, что отключение функции с ее последующей активацией часто позволяет решить проблему.

Ошибка в работе IE
Экран 5. Ошибка в работе IE

Не забывайте о том, что, если вы деактивируете средства MFA и затем вновь активируете их для той или иной учетной записи, пользователь будет вынужден вновь пройти через процесс настройки методов верификации.

Вопрос планирования

Ну и, разумеется, если вы не работаете с Office 365, но хотите защитить системы Exchange с помощью средств MFA, к вашим услугам множество решений, предлагаемых независимыми поставщиками; в этом вы сможете убедиться сами, выполнив простую процедуру поиска в Интернете.

Кстати, о решениях от независимых поставщиков. Если вы используете учетные записи служб с целью предоставления доступа к ресурсам вашей организации для осуществления мониторинга или другое решение, от реализации средств MFA в этих учетных записях лучше воздерживаться, если вы не знаете наверняка, что применяемое вами решение от независимого поставщика позволяет работать с такой конфигурацией. Дело в том, что одни решения уже позволяют работать со средствами MFA, другие обеспечивают возможность использования паролей приложений (часто потому, что соответствующий поставщик программного продукта не хочет брать на себя ответственность за хранение паролей от имени пользователя), а есть и такие продукты, которые вообще не обеспечивают взаимодействие с механизмами MFA.

В целом корпорация Microsoft осуществила простую в обращении реализацию механизма MFA внутри Office 365 и выпускает приложения, использующие этот механизм. Предлагаемое решение характеризуется определенным уровнем гибкости: клиенты не обязаны применять средства MFA, а если эти средства активированы, число их пользователей может быть ограничено заданными учетными записями. Так что, если вы сегодня не пользуетесь средствами MFA, может быть, стоит испытать их на небольшом числе учетных записей. В конце концов, что вы потеряете, повысив свой уровень защищенности?

Многофакторная проверка подлинности означает, что вы и ваши сотрудники должны предоставить несколько способов входа в Microsoft 365, что является одним из самых простых способов защиты организации. С учетом знакомства с многофакторной проверкой подлинности (MFA) и ее поддержкой в Microsoft 365 пришло время развернуть и настроить ее для вашей организации.

Если вы приобрели подписку или получили пробную версию после 21 октября 2019 г. и при выполнении входа вам предлагается пройти многофакторную проверку подлинности (MFA), это значит, что к вашей подписке были автоматически применены параметры безопасности по умолчанию.

Просмотр: включение многофакторной проверки подлинности

Прежде чем начать

  • Управлять многофакторной проверкой подлинности (MFA) может только глобальный администратор. Дополнительные сведения см. в статье О ролях администраторов.
  • Если у вас включена устаревшая MFA для конкретных пользователей, отключите устаревшую MFA для конкретных пользователей.
  • Если у вас есть клиенты Office 2013 на устройствах с Windows, включите современную проверку подлинности для клиентов Office 2013.
  • Дополнительно: если вы используете сторонние службы каталогов со службами федерации Active Directory (AD FS), настройте сервер Azure MFA. Дополнительные сведения см. в статье Расширенные сценарии с использованием многофакторной проверки подлинности Azure AD и сторонних решений VPN.

Выключение устаревшей MFA для конкретных пользователей

Если у вас включена MFA для конкретных пользователей, перед включением параметров безопасности по умолчанию ее необходимо отключить.

  1. В Центре администрирования Microsoft 365 на левой панели навигации выберите Пользователи > Активные пользователи.
  2. На странице Активные пользователи нажмите Многофакторная проверка подлинности.
  3. На странице многофакторной проверки подлинности выберите каждого пользователя по отдельности и установите для них многофакторную проверку подлинности в состояние Отключено.

Включение и отключение параметров безопасности по умолчанию

Параметры безопасности по умолчанию обеспечивают подходящий для большинства организаций уровень безопасности при входе в систему. Дополнительные сведения см. в статье Что такое параметры безопасности по умолчанию?

Включить или отключить параметры безопасности по умолчанию можно на портале Azure в области Свойства для Azure Active Directory (Azure AD).

  1. Войдите в Центр администрирования Microsoft 365 с учетными данными глобального администратора.
  2. На левой панели навигации нажмите Показать все и в разделе Центры администрирования выберите Azure Active Directory.
  3. В Центре администрирования Azure Active Directory выберите Azure Active Directory > Свойства.
  4. В нижней части страницы щелкните Управление параметрами безопасности по умолчанию.
  5. Выберите Да, чтобы включить параметры безопасности по умолчанию, или Нет, чтобы их отключить, а затем нажмите Сохранить.

Если у вас включены базовые политики условного доступа, вам будет предложено отключить их до перехода к использованию параметров безопасности по умолчанию.

  1. Выберите Условный доступ — страница "Политики".
  2. Выберите все базовые политики в состоянии Вкл. и установите для параметра Включить политику состояние Выкл.
  3. Выберите Azure Active Directory — страница "Свойства".
  4. В нижней части страницы щелкните Управление параметрами безопасности по умолчанию.
  5. Выберите Да, чтобы включить параметры безопасности по умолчанию, или Нет, чтобы их отключить, а затем нажмите Сохранить.

Использование политик условного доступа

Если вашей организации нужно значительное количество различных установок безопасности при входе в систему, то политики условного доступа могут предоставить вам дополнительные возможности управления. Условный доступ позволяет создавать и определять политики, которые реагируют на события при входе и запрашивают дополнительные действия, прежде чем пользователю будет предоставлен доступ к приложению или службе.

Прежде чем включать политики условного доступа, отключите MFA для конкретных пользователей и параметры безопасности по умолчанию.

Условный доступ могут использовать клиенты, которые приобрели Azure AD Premium P1 или лицензии, в которые входит эта служба, например Microsoft 365 бизнес премиум или Microsoft 365 E3. Для получения дополнительной информации см. статью Создание политики условного доступа.

Условный доступ на основе риска доступен в рамках лицензии Azure AD Premium P2 или в рамках лицензий, в которую входит эта служба, например Microsoft 365 E5. Дополнительные сведения см. в статье Условный доступ на основе рисков.

Дополнительные сведения об Azure AD P1 и P2 см. в статье Цены для Azure Active Directory.

Включение современной проверки подлинности для организации

В большинстве подписок современная проверка подлинности включена автоматически, но если вы приобрели подписку до августа 2017 г., скорее всего, вам потребуется включить современную проверку подлинности, чтобы такие функции, как многофакторная проверка подлинности, работали в клиентах Windows, например в Outlook.

Эта статья предназначена для того, чтобы получить типичный опыт работы со входом. Справку по входу или устранению неполадок см. в этой ссылке.

Каким будет ваш опыт работы со входом?

Ваш опыт работы со входом зависит от того, что вы выбрали в качестве второго фактора: телефонный звонок, приложение для проверки подлинности или sms.

Ниже описан процесс двухшаговой проверки при вызове на мобильный или office-телефон.

Войте в приложение или службу, например Microsoft 365 свое имя пользователя и пароль.

Корпорация Майкрософт звонит вам.

Войте в приложение или службу, например Microsoft 365 свое имя пользователя и пароль.

Введите код в поле, предоставленное на странице входа.

Ниже описаны процесс использования приложения Microsoft Authenticator для двухшаговой проверки. Существует два разных способа использования приложения. Вы можете получать push-уведомления на своем устройстве или открыть приложение, чтобы получить проверочные коды.

Войте в приложение или службу, например Microsoft 365 свое имя пользователя и пароль.

Корпорация Майкрософт отправляет уведомление приложению Microsoft Authenticator на вашем устройстве.

Microsoft отправляет уведомление

Откройте уведомление на телефоне и выберите ключ Проверка. Если вашей организации требуется ПИН-код, введите его здесь. Теперь вы должны быть вписались в нее.

Если вы используете Microsoft Authenticator для получения проверочных кодов, то при его использовании под именем учетной записи вы увидите номер. Это число изменяется каждые 30 секунд, поэтому вы не используете одно и то же число дважды. Когда вам будет предложено в качестве кодов проверки, откройте приложение и используйте любой номер, который отображается в данный момент.

Войте в приложение или службу, например Microsoft 365 свое имя пользователя и пароль.

Корпорация Майкрософт запросит код проверки.

Откройте приложение Microsoft Authenticator на телефоне и введите код в поле, в которое вы входите.

Иногда у вас нет телефона или устройства, которые вы настроили как предпочтительный способ проверки. Поэтому мы рекомендуем настроить методы резервного копирования для своей учетной записи. В следующем разделе показано, как войти с помощью альтернативного метода, если основной метод может быть не доступен.

Войте в приложение или службу, например Microsoft 365 свое имя пользователя и пароль.

Выберите Использовать другой параметр проверки. Вы увидите различные варианты проверки в зависимости от того, сколько вы настроили.

Выберите альтернативный способ и войди в нее.

Использование альтернативного метода

Дальнейшие действия

Если у вас возникают проблемы со входом с двухшаговой проверкой подлинности, дополнительные сведения можно получить в этой области.

Узнайте, как начать работу с приложением Microsoft Authenticator, чтобы использовать уведомления для входов, а не SMS и телефонные звонки.

date

15.11.2021

directory

Azure, Microsoft 365

comments

комментария 2 В этой статье мы подразумеваем, что вы управляете MFA для каждого пользователя отдельно (per-user), а не на основе Azure Conditional Access.

Вы можете открыть веб-страницу со статусом MFA для всех пользователей, двумя способами:

  • Microsoft 365 Admin Center -> Active Users -> Multi-factor authentication.
  • Portal Azure -> Azure AD-> Users -> Per-user MFA

microsoft 365 admin center настройка мультифкаторной аутентфикации

Перед вами появится список всех пользователей вашего тенанта и статус MFA для каждого из них. Для каждого пользователя статус MFA может быть:

  • Disabled – мульти факторная аутентификация отключена (по-умолчанию для новых пользователей);
  • Enabled – MFA включена, но пользователь все еще использует обычную аутентификацию, пока сам не настроит метод MFA;
  • Enforced – при следующем входе пользователю будет принудительно предложено зарегистрировать второй фактор MFA.

включить / отключить MFA пользователям Azure

Включить, отключить, сбросить, или настроить MFA для каждого пользователя можно с помощью кнопок в правой панели Quick Steps.

В этом отчете не получится определить, завершил ли пользователь настройку MFA и какой второй фактор используется пользователь. Также нельзя выгрузить содержимое страницы в txt/csv файл. Гораздо удобнее использовать PowerShell для управления MFA пользователей в Micorosft 365 и простого построения отчетов.

На данный момент вы можете включить/отключить или настроить MFA для пользователей Azure (Microsoft 365) из PowerShell с помощью модуля MSOnline или с помощь Microsoft Graph API.

На данный момент нельзя управлять MFA через более новый модуль AzureAD.

Установите модуль MSOnline (если нужно) и подключитесь к своему тенанту:

Информация о статусе MFA для пользователя можно получить из атрибута StrongAuthenticationMethods:

Если атрибут StrongAuthenticationMethods не пустой, значит для пользователя включен MFA. Можно узнать какой тип MFA настроен для пользователя:

powershell проверить какой тип MFA настроен у пользователя

В качестве второго MFA фактора в современной проверке подлинности Microsoft для пользователей может использоваться один из четырёх вариантов проверки:

Чтобы включить MFA для определённого пользователя:

Чтобы заставить пользователя принудительно перерегистрировать текущий метод MFA:

Отключить MFA для одного пользователя:

Читайте также: