Перенос параметров политики MFA и SSPR в политику методов проверки подлинности для Microsoft Entra ID
Вы можете перенести устаревшие параметры политики идентификатора Microsoft Entra, которые отдельно управляют многофакторной проверкой подлинности и самостоятельным сбросом пароля (SSPR) в унифицированное управление с помощью политики методов проверки подлинности.
Параметры политики переносятся по собственному расписанию, и процесс полностью обратим. Вы можете продолжать использовать политики MFA и SSPR на уровне клиента при настройке методов проверки подлинности для пользователей и групп в политике методов проверки подлинности. Миграция выполняется всякий раз, когда вы будете готовы управлять всеми методами проверки подлинности вместе в политике методов проверки подлинности.
Дополнительные сведения о том, как эти политики работают вместе во время миграции, см. в разделе "Управление методами проверки подлинности для идентификатора Microsoft Entra".
Подготовка к работе
Начните с аудита существующих параметров политики для каждого метода проверки подлинности, доступного для пользователей. При откате во время миграции может потребоваться запись параметров метода проверки подлинности из каждой из этих политик:
- Политика MFA
- Политика SSPR (при использовании)
- Политика методов проверки подлинности (при использовании)
Если вы еще не используете SSPR и еще не используете политику методов проверки подлинности, необходимо получить параметры только из политики MFA.
Просмотр устаревшей политики MFA
Сначала задокументируйте методы, доступные в устаревшей политике MFA. Войдите в Центр администрирования Microsoft Entra в качестве глобального администратора. Перейдите к параметрам службы MFA>для пользователей удостоверений>>всех пользователей>, чтобы просмотреть параметры. Эти параметры являются клиентом на уровне клиента, поэтому нет необходимости в использовании сведений о пользователях или группах.
Для каждого метода обратите внимание, включена ли она для клиента. В следующей таблице перечислены методы, доступные в устаревшей политике MFA и соответствующих методах в политике методов проверки подлинности.
| Политика многофакторной проверки подлинности | Политика для метода проверки подлинности |
|---|---|
| Звонок на телефон | голосовые звонки; |
| Текстовое сообщение на телефон | SMS |
| Уведомление в мобильном приложении | Microsoft Authenticator |
| Код проверки из мобильного приложения или токен оборудования | Сторонние токены OATH программного обеспечения Аппаратные токены OATH Microsoft Authenticator |
Просмотрите устаревшую политику SSPR
Чтобы получить методы проверки подлинности, доступные в устаревшей политике SSPR, перейдите к методам проверки подлинности для пользователей>>удостоверений.> В следующей таблице перечислены доступные методы в устаревшей политике SSPR и соответствующих методах в политике методов проверки подлинности.
Запишите, какие пользователи находятся в области SSPR (все пользователи, одна определенная группа или нет пользователей) и методы проверки подлинности, которые они могут использовать. Хотя вопросы безопасности еще не доступны для управления в политике методов проверки подлинности, убедитесь, что они записываются позже, когда они находятся.
| Методы проверки подлинности SSPR | Политика для метода проверки подлинности |
|---|---|
| Уведомление мобильного приложения | Microsoft Authenticator |
| Код мобильного приложения | Microsoft Authenticator Токены OATH программного обеспечения |
| Эл. почта | Отправка OTP по электронной почте |
| Мобильный телефон | голосовые звонки; SMS |
| Рабочий телефон | голосовые звонки; |
| Контрольные вопросы: | Пока недоступно; скопировать вопросы для последующего использования |
Политика для методов проверки подлинности
Чтобы проверить параметры в политике методов проверки подлинности, войдите в Центр администрирования Microsoft Entra как минимум администратор политики проверки подлинности и перейдите к политикам методов>проверки подлинности защиты.> Новый клиент имеет все методы off по умолчанию, что упрощает миграцию, так как устаревшие параметры политики не нужно объединять с существующими параметрами.
- Войдите в Центр администрирования Microsoft Entra как минимум администратор политики проверки подлинности.
- Переход к методам проверки подлинности защиты>>
Политика методов проверки подлинности имеет другие методы, недоступные в устаревших политиках, таких как ключ безопасности FIDO2, временный проход доступа и проверка подлинности на основе сертификата Microsoft Entra. Эти методы не относятся к области миграции, и вам не нужно вносить изменения в них, если вы уже настроили их.
Если вы включили другие методы в политике методов проверки подлинности, запишите пользователей и группы, которые могут или не могут использовать эти методы. Запишите параметры конфигурации, которые управляют способом использования метода. Например, можно настроить Microsoft Authenticator для предоставления расположения в push-уведомлениях. Запишите, какие пользователи и группы включены для аналогичных параметров конфигурации, связанных с каждым методом.
Начало миграции
После записи доступных методов проверки подлинности из политик, которые вы сейчас используете, можно запустить миграцию. Откройте политику методов проверки подлинности, выберите "Управление миграцией" и выберите "Миграция".
Этот параметр необходимо задать перед внесением изменений, так как он будет применять новую политику к сценариям сброса пароля и входа.
Следующим шагом является обновление политики методов проверки подлинности для сопоставления аудита. Вы хотите просмотреть каждый метод по одному. Если клиент использует только устаревшую политику MFA и не использует SSPR, обновление просто . Вы можете включить каждый метод для всех пользователей и точно соответствовать существующей политике.
Если клиент использует MFA и SSPR, необходимо рассмотреть каждый метод:
- Если метод включен в обеих устаревших политиках, включите его для всех пользователей в политике методов проверки подлинности.
- Если метод отключен в обеих устаревших политиках, оставьте его для всех пользователей в политике методов проверки подлинности.
- Если метод включен только в одной политике, необходимо решить, должна ли она быть доступна во всех ситуациях.
Где политики соответствуют, вы можете легко соответствовать текущему состоянию. Где есть несоответствие, вам потребуется решить, следует ли включить или отключить метод полностью. Например, предположим, что уведомление через мобильное приложение включено, чтобы разрешить push-уведомления для MFA. В устаревшей политике SSPR метод уведомления мобильного приложения не включен. В этом случае устаревшие политики разрешают push-уведомления для MFA, но не SSPR.
В политике методов проверки подлинности вам потребуется выбрать, следует ли включить Microsoft Authenticator для SSPR и MFA или отключить его (рекомендуется включить Microsoft Authenticator ).
Обратите внимание, что в политике методов проверки подлинности есть возможность включить методы для групп пользователей в дополнение ко всем пользователям, а также исключить группы пользователей из возможности использовать заданный метод. Это означает, что у вас есть много гибкости для управления тем, какие методы могут использовать пользователи. Например, вы можете включить Microsoft Authenticator для всех пользователей и ограничить sms и голосовой вызов 1 группой пользователей из 20 пользователей, которым требуются эти методы.
При обновлении каждого метода в политике методов проверки подлинности некоторые методы имеют настраиваемые параметры, позволяющие управлять способом использования этого метода. Например, если включить голосовые звонки в качестве метода проверки подлинности, можно разрешить только office phone и мобильные телефоны или мобильные телефоны. Пошаговое руководство по настройке каждого метода проверки подлинности из аудита.
От вас не требуется обеспечивать соответствие существующей политике! Это хороший способ просмотреть включенные методы и выбрать новую политику, обеспечивающую максимальную безопасность и удобство использования для вашего арендатора. Обратите внимание, что отключение методов для пользователей, которые уже используют их, может потребовать регистрации новых методов проверки подлинности, до выполнения которой они не смогут использовать ранее зарегистрированные методы.
В следующих разделах рассматриваются конкретные рекомендации по миграции для каждого метода.
Отправка одноразового секретного кода по электронной почте
Существует два элемента управления для однократного секретного кода электронной почты:
Назначение с помощью включения и исключения в разделе "Включение и назначение" конфигурации используется для включения OTP электронной почты для участников клиента для использования в сбросе пароля.
Существует отдельный элемент управления OTP электронной почты для внешних пользователей в разделе "Настройка ", который управляет использованием OTP электронной почты для входа пользователей B2B. Если этот элемент управления включен, метод проверки подлинности не может быть отключен.
Microsoft Authenticator
Если уведомление через мобильное приложение включено в устаревшей политике MFA, включите Microsoft Authenticator для всех пользователей в политике методов проверки подлинности. Задайте для режима проверки подлинности значение Any , чтобы разрешить push-уведомления или проверку подлинности без пароля.
Если код проверки из мобильного приложения или аппаратного маркера включен в устаревшей политике MFA, установите для параметра Allow use of Microsoft Authenticator OTP значение "Да".
Примечание.
Если пользователи регистрируют приложение Microsoft Authenticator только для кода OTP с помощью мастера "Я хочу использовать другое приложение проверки подлинности", потребуется включить политику токенов OATH стороннего программного обеспечения.
SMS и голосовые звонки
Устаревшая политика MFA имеет отдельные элементы управления для SMS и телефонных звонков. Но есть также элемент управления мобильным телефоном, который включает мобильные телефоны как для SMS, так и для голосовых звонков. А другой элемент управления для телефона Office включает телефон в офисе только для голосового звонка.
Политика методов проверки подлинности содержит элементы управления sms и голосовых вызовов, соответствующие устаревшей политике MFA. Если клиент использует SSPR и мобильный телефон, вы хотите включить sms и голосовые звонки в политике методов проверки подлинности. Если клиент использует SSPR и телефон Office, вы хотите включить голосовые звонки в политике методов проверки подлинности и убедиться, что параметр телефона Office включен.
Примечание.
Параметр "Использовать для входа" по умолчанию включен в параметрах SMS . Этот параметр включает вход SMS. Если для пользователей включен вход SMS, они будут пропущены из межтенантной синхронизации. Если вы используете синхронизацию между клиентами или не хотите включить вход SMS, отключите вход SMS для целевых пользователей.
Токены OATH
Элементы управления токеном OATH в устаревших политиках MFA и SSPR были одними элементами управления, которые включили использование трех различных типов токенов OATH: приложения Microsoft Authenticator, приложений генератора кода OATH TOTP стороннего программного обеспечения и аппаратных токенов OATH.
Политика методов проверки подлинности имеет детализированный элемент управления с отдельными элементами управления для каждого типа токена OATH. Использование OTP из Microsoft Authenticator контролируется с помощью элемента управления MICROSOFT Authenticator OTP в разделе Microsoft Authenticator политики. Сторонние приложения управляются разделом токенов OATH стороннего программного обеспечения. Аппаратные токены OATH контролируются разделом аппаратных токенов OATH политики.
Контрольные вопросы:
В ближайшее время появится контроль за вопросами безопасности. Если вы используете вопросы безопасности и не хотите отключать их, убедитесь, что они включены в устаревшей политике SSPR до тех пор, пока новый элемент управления не будет доступен. Вы можете завершить миграцию, как описано в следующем разделе с включенными вопросами безопасности.
Завершение миграции
После обновления политики методов проверки подлинности перейдите к устаревшим политикам MFA и SSPR и удалите каждый метод проверки подлинности по одному. Проверьте и проверьте изменения для каждого метода.
Если определить, что MFA и SSPR работают должным образом, и вам больше не нужны устаревшие политики MFA и SSPR, можно изменить процесс миграции на "Завершение миграции". В этом режиме Microsoft Entra использует политику методов проверки подлинности. Изменения в устаревших политиках не могут быть внесены, если задано завершение миграции, за исключением вопросов безопасности в политике SSPR. Если вам нужно вернуться к устаревшим политикам по какой-либо причине, вы можете переместить состояние миграции обратно в процесс миграции в любое время.
