Настройка двухфакторной аутентификации outlook
Многофакторная проверка подлинности означает, что вы и ваши сотрудники должны предоставить несколько способов входа в Microsoft 365, что является одним из самых простых способов защиты организации. С учетом знакомства с многофакторной проверкой подлинности (MFA) и ее поддержкой в Microsoft 365 пришло время развернуть и настроить ее для вашей организации.
Если вы приобрели подписку или получили пробную версию после 21 октября 2019 г. и при выполнении входа вам предлагается пройти многофакторную проверку подлинности (MFA), это значит, что к вашей подписке были автоматически применены параметры безопасности по умолчанию.
Если вам нужна помощь с действиями в этом разделе, рассмотрите возможность взаимодействия со специалистом Майкрософт по малому бизнесу. С помощью бизнес-помощника вы и ваши сотрудники получаете круглосуточный доступ к знаниям специалистов по малому бизнесу по мере развития вашего предприятия: от начальных этапов до повседневной работы.
Просмотр: включение многофакторной проверки подлинности
Прежде чем начать
- Управлять многофакторной проверкой подлинности (MFA) может только глобальный администратор. Дополнительные сведения см. в статье О ролях администраторов.
- Если у вас включена устаревшая MFA для конкретных пользователей, отключите устаревшую MFA для конкретных пользователей.
- Если у вас есть клиенты Office 2013 на устройствах с Windows, включите современную проверку подлинности для клиентов Office 2013.
- Дополнительно: если вы используете сторонние службы каталогов со службами федерации Active Directory (AD FS), настройте сервер Azure MFA. Дополнительные сведения см. в статье Расширенные сценарии с использованием многофакторной проверки подлинности Azure AD и сторонних решений VPN.
Выключение устаревшей MFA для конкретных пользователей
Если у вас включена MFA для конкретных пользователей, перед включением параметров безопасности по умолчанию ее необходимо отключить.
- В Центре администрирования Microsoft 365 на левой панели навигации выберите Пользователи >Активные пользователи.
- На странице Активные пользователи нажмите Многофакторная проверка подлинности.
- На странице многофакторной проверки подлинности выберите каждого пользователя по отдельности и установите для них многофакторную проверку подлинности в состояние Отключено.
Включение и отключение параметров безопасности по умолчанию
Параметры безопасности по умолчанию обеспечивают подходящий для большинства организаций уровень безопасности при входе в систему. Дополнительные сведения см. в статье Что такое параметры безопасности по умолчанию?
Включить или отключить параметры безопасности по умолчанию можно на портале Azure в области Свойства для Azure Active Directory (Azure AD).
- Войдите в Центр администрирования Microsoft 365 с учетными данными глобального администратора.
- На левой панели навигации нажмите Показать все и в разделе Центры администрирования выберите Azure Active Directory.
- В Центре администрирования Azure Active Directory выберите Azure Active Directory >Свойства.
- В нижней части страницы щелкните Управление параметрами безопасности по умолчанию.
- Выберите Да, чтобы включить параметры безопасности по умолчанию, или Нет, чтобы их отключить, а затем нажмите Сохранить.
Если у вас включены базовые политики условного доступа, вам будет предложено отключить их до перехода к использованию параметров безопасности по умолчанию.
- Выберите Условный доступ — страница "Политики".
- Выберите все базовые политики в состоянии Вкл. и установите для параметра Включить политику состояние Выкл.
- Выберите Azure Active Directory — страница "Свойства".
- В нижней части страницы щелкните Управление параметрами безопасности по умолчанию.
- Выберите Да, чтобы включить параметры безопасности по умолчанию, или Нет, чтобы их отключить, а затем нажмите Сохранить.
Использование политик условного доступа
Если вашей организации нужно значительное количество различных установок безопасности при входе в систему, то политики условного доступа могут предоставить вам дополнительные возможности управления. Условный доступ позволяет создавать и определять политики, которые реагируют на события при входе и запрашивают дополнительные действия, прежде чем пользователю будет предоставлен доступ к приложению или службе.
Прежде чем включать политики условного доступа, отключите MFA для конкретных пользователей и параметры безопасности по умолчанию.
Условный доступ могут использовать клиенты, которые приобрели Azure AD Premium P1 или лицензии, в которые входит эта служба, например Microsoft 365 бизнес премиум или Microsoft 365 E3. Для получения дополнительной информации см. статью Создание политики условного доступа.
Условный доступ на основе риска доступен в рамках лицензии Azure AD Premium P2 или в рамках лицензий, в которую входит эта служба, например Microsoft 365 E5. Дополнительные сведения см. в статье Условный доступ на основе рисков.
Дополнительные сведения об Azure AD P1 и P2 см. в статье Цены для Azure Active Directory.
Включение современной проверки подлинности для организации
В большинстве подписок современная проверка подлинности включена автоматически, но если вы приобрели подписку до августа 2017 г., скорее всего, вам потребуется включить современную проверку подлинности, чтобы такие функции, как многофакторная проверка подлинности, работали в клиентах Windows, например в Outlook.
Multifactor Logon — программный компонент, экран входа в операционную систему Windows. Работает как при локальном входе в операционную систему, так и при подключении через удалённый рабочий стол.
Компонент в виде установочного файла распространяется бесплатно.
Данная статья описывает настройку входа на рабочую станцию или сервер на основе операционной системы Windows с логином и паролем и вторым фактором с использованием облачного Radius сервера Multifactor.
Как правило, локальный и удалённый вход на рабочую станцию защищён только логином и паролем. В современных операционных системах добавляются новые методы аутентификации, такие как сочетание логина с PIN кодом, графическим ключом, хранилищем сертификата или биометрическим датчиком. Такая конфигурация реализует только один фактор проверки подлинности и уязвима настолько, насколько надежно защищён первый фактор на клиентском устройстве. Перехват аутентификационных данных можно осуществить, например, при их передаче по незащищённым каналам связи или путём наблюдения за оператором в момент их ввода.
Использование второго фактора не усложняет процесс подключения для пользователя, значительно сокращая риск неправомерного доступа.
Возможные способы аутентификации:
- Мобильное приложение MultiFactor
- Telegram
- Аппаратные OTP токены
- Приложения OTP: Google Authenticator или Яндекс.Ключ
- СМС
Требования для установки компонента
Поддерживаемые типы учётных записей
- Локальные
- Active Directory
- Учётные записи Microsoft
Особенности и ограничения
Не завершайте сессию текущего пользователя до тех пор, пока не убедитесь, что всё корректно настроено и работает.
- Зайдите в Административную панель Мультифактора, далее в раздел "Ресурсы" и создайте новый ресурс типа "ОС / Сервер" - "Windows".
- Заполните "Название", "Адрес" и "Язык" по вашему усмотрению, установите переключатель в "Запретить доступ" в разделе "При подключении без настроенного второго фактора"
- После создания вам будут доступны два параметра: NAS Identifier и Shared Secret, они потребуются для следующего шага.
- Установите и настройте Radius адаптер, в файле конфигурации MultiFactor.Radius.Adapter.exe.config укажите следующие значения (value) параметров:
- На рабочей станции установите приложение MultifactorLogonSetup.exe, на втором шаге укажите следующие данные:
- адрес: ip или имена хостов с настроенными адаптерами через запятую без пробелов;
- порт: порт настроенного адаптера, должен быть одинаковых для всех хостов;
- NAS Identifier: не указывайте ничего, если работаете через Radius adapter, NAS Identifier, если работаете через radius.multifactor.ru;
- Shared Secret: значение из настройки radius-shared-secret Radius adapter, либо Shared Secret для radius.multifactor.ru;
- таймаут запроса: 30;
- Режим "Bypass": установите галочку, если хотите пропускать проверку второго фактора при недоступности всех RADIUS серверов;
- Только Multifactor: включает режим фильтра методов аутентификации, позволяет входить только с использованием второго фактора и подключаться через RDP без дублирования ввода учётных данных.
- Методы для локального входа/RDP - выбор методов, доступных пользователю при включённом фильтре "Только Multifactor". Значение по умолчанию разрешает вход только с Multifactor Logon.
- В Административной панели Мультифактора создайте пользователя, с которым будете использовать второй фактор, и вышлите ему ссылку на настройку второго фактора на почту.
- Настройте второй фактор для пользователя.
- Система готова к использованию.
Не блокируя и не выходя из текущей сессии пользователя, подключитесь под пользователем, которому настроили второй фактор.
Если выбран способ подтверждения с одноразовым кодом, пользователь введет его в отдельном поле.
Если выбран способ подтверждения с пушем, Мультифактор пришлёт пуш выбранным методом, а компонент будет ожидать подтверждения или отказа от пользователя.
Если что-то не работает
Последовательно проверьте, что вы ничего не упустили:
- Установлена свежая версия Microsoft Visual C++ Redistributable
- С рабочей станции открыт доступ по UDP порту 1812 на адреса вашего Radius адаптера или radius.multifactor.ru.
- Операционная система имеет 64 битную разрядность
- Параметры NAS Identifier и Shared Secret указаны корректно
- Пользователю настроен хотя бы один второй фактор
- Проверьте журнал "Запросы доступа" в Личном кабинете Мультифактора.
- Доступ без второго фактора доступен при загрузке в безопасном режиме.
Удалите "Multifactor Logon" из списка установленного в операционной системе ПО. Установите компонент заново.
Удалите "Multifactor Logon" из списка установленного в операционной системе ПО.
В статье описывается настройка Outlook Web Access (OWA) для удаленного доступа к почте на сервере Exchange c двухфакторной аутентификацией.
Возможные способы аутентификации:
- Мобильное приложение MultiFactor
- СМС
- Биометрия
- Аппаратные OTP токены
- Приложения OTP: Google Authenticator или Яндекс.Ключ
- Telegram
Если вы используете ADFS для доступа к OWA, переходите к инструкции по настройке ADFS.
- Защита доступа вторым фактором проверки подлинности при каждом входе и через настраиваемый промежуток времени.
- Самостоятельная настройка второго фактора пользователем при первом входе.
- Избирательное включение второго фактора на основе принадлежности к группе в Active Directory.
- Журнал доступа.
- Пользователь открывает сайт Outlook Web Access;
- OWA запрашивает первый фактор аутентификации: логин и пароль, проверяет корректность указанных данных и создает пользовательскую сессию;
- Компонент MultiFactor.IIS.Adapter проверяет, что сессия авторизована и переадресовывает пользователя на второй фактор аутентификации;
- После успешного прохождения второго фактора, пользователь возвращается на сайт OWA и продолжает работу.
Для настройки второго фактора аутентификации вам потребуется установить и настроить на сервере Exchange компонент MultiFactor.IIS.Adapter. Компонент разработан и поддерживается компанией Мультифактор, распространяется бесплатно вместе с исходным кодом. Актуальная версия находится на GitHub: код и сборка.
Обратите внимание на лицензию. Она не дает вам право вносить изменения в исходный код Компонента и создавать производные продукты на его основе. Исходный код предоставляется в ознакомительных целях.
Требования для установки
- Зайдите в систему управления Мультифактором, далее в раздел "Ресурсы" и создайте новый сайт Outlook Web Access;
Скопируйте файл Bin\MultiFactor.IIS.Adapter.dll в директорию
C:\Program Files\Microsoft\Exchange Server\V15\ClientAccess\Owa\Bin ;
Скопируйте файл mfa.aspx в директорию
C:\Program Files\Microsoft\Exchange Server\V15\ClientAccess\Owa ;
Отредактируйте файл
C:\Program Files\Microsoft\Exchange Server\V15\ClientAccess\Owa\web.config :
- сперва сделайте резервную копию
- в раздел первой строкой добавьте компонент
- в раздел добавьте параметры компонента
- сохраните и закройте.
Для избирательного включения доступа на основне принадлежности к группе Active Directory, добавьте в конфигурацию параметры
- первый параметр — название группы в AD. Группа может быть вложенной, то есть содержать в себе другие группы.
- второй параметр — промежуток времени (в минутах) через который обновляется информация о вхождении пользователя в группу. Для оптимизации производительности, значение по-умолчанию составляет 15 минут (но можно поставить 0).
Если не работает
Если вы проверяете работу второго фактора OWA на тестовом сервере, ящик пользователя должен быть в базе, смонтированной на том же сервере, где применяются настройки MFA.
В статье описывается настройка Active Directory Federation Services (ADFS) для доступа к корпоративным приложениям.
Возможные способы аутентификации:
- Мобильное приложение MultiFactor
- Telegram
- СМС
- Биометрия
- Аппаратные OTP токены
- Приложения OTP: Google Authenticator или Яндекс.Ключ
- Пользователь открывает корпоративное приложение;
- ADFS запрашивает логин первый фактор аутентификации: логин и пароль, проверяет корректность указанных данных и, если данные верны, переходит ко второму этапу аутентификации;
- На втором этапе открывается окно проверки второго фактора Мультифактор, в котором пользователю предлагается подтвердить доступ;
- Пользователь подтверждает второй фактор доступа и переходит к работе с приложением.
Для настройки второго фактора аутентификации вам потребуется установить и настроить на сервере ADFS компонент MultiFactor.ADFS.Adapter. Компонент разработан и поддерживается компанией Мультифактор, распространяется бесплатно вместе с исходным кодом. Актуальная версия находится на GitHub: код и сборка.
Обратите внимание на лицензию. Она не дает вам право вносить изменения в исходный код Компонента и создавать производные продукты на его основе. Исходный код предоставляется в ознакомительных целях.
Требования для установки
- Зайдите в систему управления Мультифактором, далее в раздел "Ресурсы" и создайте новый сайт с настройками по умолчанию;
- Загрузите и распакуйте архив на сервер с ADFS.
- Отредактируйте файл конфигурации MultiFactor.ADFS.Adapter.dll.config: пропишите ключи доступа из личного кабинета Мультифактора
- Запустите PowerShell скрипт install.ps1 с правами администратора.
- Зайдите в консоль управления ADFS, в разделе "Authentication methods" -> "Multi-factor Authentication Methods" включите метод MultiFactor.
- В разделе Relying Party Trusts отредактируйте Access Policy для приложений, где необходимо включить 2FA.
Если что-то не работает
- Если возникают ошибки при установке плагина, проверьте, что установочный скрипт вы выполняете от имени администратора;
- Для работы в кластерной конфигурации компонент необходимо установить на все серверы кластера;
- Ошибки, связанные с работой компонента, можно посмотреть на сервере ADFS в журнале Windows: в разделе Applications с источником MultiFactor, а также в разделе ADFS;
- Если не прогружается iframe с окном второго фактора, а в консоли браузера вы видите ошибку:
Знаете ли вы, что можно повысить безопасность учетной записи, удалив пароль и выполняя вход без пароля? Как отказаться от паролей с помощью учетной записи Майкрософт.
Сведения о двухфакторной проверке подлинности
Что такое двухфакторная проверка подлинности?
Двухфакторная проверка подлинности помогает обеспечить защиту, усложняя вход в вашу учетную запись Майкрософт для другого пользователя. Она использует две различные формы идентификации: пароль и способ связи (также известный как сведения безопасности). Даже если кто-то другой узнает ваш пароль, он не сможет войти, если не имеет доступа к сведениям безопасности. Вот почему также важно использовать различные пароли для всех своих учетных записей.
Важно: Если двухфакторная проверка подлинности включена, вам всегда будут нужны две формы идентификации. Это означает, что если вы забыли свой пароль, вам потребуется два способа связи. Если вы потеряли свой способ связи, вы не сможете получить доступ к своей учетной записи только с помощью пароля. Для восстановления доступа может потребоваться до 30 дней. Вы даже можете потерять доступ к учетной записи. Поэтому мы настоятельно рекомендуем хранить три элемента сведений безопасности для вашей учетной записи на всякий случай.
Что происходит, когда вы включаете двухфакторную проверку подлинности
Если включить двухфакторную проверку, вы будете получать код безопасности по электронной почте, телефону или в приложении для проверки подлинности каждый раз при входе с недоверенного устройства. Если двухфакторная проверка подлинности отключена, вам придется лишь периодически подтверждать свою личность с помощью кодов безопасности в случаях, если безопасность вашей учетной записи находится под угрозой.
Необходимые настройки
Двухфакторная проверка подлинности начинается с ввода адреса электронной почты (мы рекомендуем применять два адреса электронной почты: стандартный и резервный), номера телефона или запуска приложения проверки подлинности. Если вы начнете входить в систему с нового устройства или из нового местоположения, мы отправим вам защитный код, который необходимо ввести на странице входа. Дополнительные сведения о приложении проверки подлинности см. в разделе Использование приложения Microsoft Authenticator.
Включение и выключение двухфакторной проверки подлинности
Откройте страницу Основные сведения о безопасности и выполните вход с помощью учетной записи Майкрософт.
Выберите Расширенные параметры безопасности.
В разделе Двухшаговая проверка выберите Настройка двухшаговой проверки, чтобы включить ее, или Выключение двухшаговой проверки, чтобы выключить ее.
Примечание: В ходе настройки этой учетной записи вам будет предоставлен QR-код для его сканирования с помощью вашего устройства. Это один из способов убедиться в том, что вы физически владеете устройством, на которое вы устанавливаете приложение Authenticator.
Сброс пароля при включенной двухфакторной проверке подлинности
Если вы забыли пароль, когда двухфакторная проверка подлинности включена для вашей учетной записи, вы можете сбросить его при наличии у вас двух способов связи с вами. Например, это могут быть запасной контактный адрес электронной почты или номера телефонов, которые вы использовали при включении двухфакторной проверки подлинности.
В зависимости от того, какие сведения безопасности добавлены в учетную запись, может потребоваться ввести код безопасности из приложения проверки подлинности и ввести код, отправленный на резервный электронный адрес.
Чтобы сбросить пароль, выполните действия, приведенные в разделе Как сбросить пароль учетной записи Майкрософт. Вместо одного кода безопасности для подтверждения вашей личности вы получите два.
Если вы ищете сведения об изменении, удалении или обновлении дополнительного электронного адреса или номера телефона, на которые вы получаете коды безопасности, выполните шаги, описанные либо в разделе Сведения о безопасности и коды проверки, либо в разделе Замена сведений о безопасности в своей учетной записи Майкрософт.
Если невозможно использовать коды безопасности, используйте пароли приложений
Пароли приложений доступны, только если вы используете двухфакторную проверку подлинности. Если двухфакторная проверка подлинности не включена, вы не увидите раздел Пароли приложений на странице Дополнительные параметры безопасности.
Узнайте, как создавать и использовать пароли приложений в разделе Пароли приложений и двухфакторная проверка подлинности.
Читайте также: