Инструкции. планирование реализации присоединения к azure ad

Могут ли пользователи присоединяться к группам без назначения?

Владелец группы может разрешить пользователям самим находить группы для присоединения, а не назначать их. Также владелец может настроить для группы автоматически включать всех пользователей, которые присоединяются или запрашивают утверждение.

Когда пользователь захочет присоединиться к группе, запрос будет перенаправлен владельцу группы. Если это необходимо, владелец может утвердить запрос, и пользователь будет уведомлен о членстве в группе. Но если при наличии нескольких владельцев один из них отклонит запрос, пользователь будет уведомлен, но не добавлен в группу. См. дополнительные сведения в руководстве по настройке Azure AD для самостоятельного изменения членства в группах пользователями.

Сведения об именах участников-пользователей и их изменениях

На страницах входа у пользователей часто запрашивается ввод адреса электронной почты, когда требуемое значение фактически является их именем участника-пользователя. Поэтому при изменении основного адреса электронной почты следует обязательно изменить UPN пользователей.

Изменение основных адресов электронной почты пользователей возможно по многим причинам:

  • ребрендинг компании;

  • переход сотрудников в разные подразделения компании;

  • слияния и приобретения;

  • изменение имени сотрудника.

Типы изменений имен участников-пользователей

Имя участника-пользователя можно изменить, изменив префикс, суффикс или и то, и другое.

  • Изменение префикса.

    • Например, если имя пользователя изменилось, можно изменить имя его учетной записи:
      ‎BSimon@contoso.com на BJohnson@contoso.com

    • Также можно изменить корпоративный стандарт для префиксов:
      ‎Bsimon@contoso.com на Britta.Simon@contoso.com

  • Изменение суффикса.

    Например, если пользователь сменил подразделение, может потребоваться изменить его домен:

    • Britta.Simon@contoso.com — Britta.Simon@contosolabs.com
      либо

Рекомендуется изменять UPN пользователя при каждом обновлении его основного адреса электронной почты.

Во время начальной синхронизации из Active Directory в Azure Active Directory убедитесь, что адреса электронной почты пользователей идентичны их именам участников-пользователей.

В Active Directory суффиксом имени участника-пользователя по умолчанию служит DNS-имя домена, в котором создана учетная запись пользователя. В большинстве случаев это доменное имя, зарегистрированное в Интернете как домен предприятия. При создании учетной записи пользователя в домене contoso.com имя участника-пользователя по умолчанию имеет вид

username@contoso.com

Тем не менее с помощью оснастки «Active Directory — домены и доверие» можно добавить дополнительные суффиксы имен участников-пользователей.

Например, может потребоваться добавить labs.contoso.com и учесть такое изменение в именах участников-пользователей и сообщениях электронной почты пользователей. Затем они приобретут следующий вид

username@labs.contoso.com.

Важно!

При изменении суффикса в Active Directory необходимо убедиться, что соответствующее имя личного домена добавлено и проверено в Azure Active Directory.

Имена участников-пользователей в Azure Active Directory

Пользователи входят в Azure Active Directory с данным значением в их атрибуте userPrincipalName.

При использовании Azure Active Directory совместно с локальной службой Active Directory учетные записи пользователей синхронизируются с помощью службы Azure AD Connect. По умолчанию мастер Azure AD Connect использует атрибут userPrincipalName из локальной службы Active Directory в качестве имени участника-пользователя в Azure Active Directory. Его можно сменить на другой атрибут в пользовательской установке.

При обновлении имени участника-пользователя (UPN) одного пользователя или всей организации важно иметь определенный процесс. Ознакомьтесь с известными проблемами и обходными решениями в этом документе

Ознакомьтесь с известными проблемами и обходными решениями в этом документе.

При синхронизации учетных записей пользователей из Active Directory в Azure Active Directory убедитесь, что имена участников-пользователей в Active Directory сопоставляются с проверенными доменами в Azure Active Directory.

Если значение атрибута userPrincipalName не соответствует проверенному домену в Azure Active Directory, то в процессе синхронизации суффикс заменяется значением по умолчанию .onmicrosoft.com.

Развертывание массовых изменений имен участников-пользователей

Следуйте рекомендациям по пилотным проектам для массового изменения имен участников-пользователей. Также имеется проверенный план отката для восстановления имен участников-пользователей при обнаружении проблем, которые невозможно быстро устранить. После запуска пилотного проекта можно начать целевую настройку небольших наборов пользователей с различными ролями в организации и их конкретных наборов приложений или устройств.

Прохождение этого первого подмножества пользователей даст хорошее представление о том, что пользователям следует ожидать в рамках изменения. Используйте эти сведения для взаимодействия с пользователями.

Создайте определенную процедуру изменения имен участников-пользователей в рамках обычных операций. Рекомендуется использовать проверенную процедуру, включающую документацию по известным проблемам и обходным решениям.

В последующих разделах описаны потенциальные известные проблемы и способы их обходного решения при изменении имен участников-пользователей.

Просмотр планов лицензирования и сведений о них

Вы можете просмотреть доступные планы обслуживания, включая индивидуальные лицензии, проверить сроки действия и количество доступных назначений.

Поиск плана обслуживания и сведений о нем

  1. Войдите на портал Azure с помощью учетной записи администратора лицензий в вашей организации Azure AD.

  2. Выберите Azure Active Directory, а затем щелкните Лицензии.

  3. Выберите Все продукты, чтобы открыть страницу со всеми продуктами, где можно увидеть значения Всего, Назначено, Доступно и Срок действия скоро истекает, связанные с вашими планами лицензирования.

    Примечание

    Определения значений:

    • Всего: общее количество приобретенных лицензий
    • Назначено: количество лицензий, назначенных пользователям
    • Доступно: количество лицензий, доступных для назначения, включая те лицензии, срок действия которых скоро истекает
    • Срок действия скоро истекает: количество лицензий, срок действия которых скоро истекает
  4. Выберите имя плана, чтобы просмотреть его лицензированных пользователей и группы.

Ограничение стандартных разрешений для пользователей-гостей

Разрешения по умолчанию для пользователей-гостей можно ограничить одним из следующих способов.

Примечание

Настройка ограничений доступа пользователей-гостей используется вместо параметра Разрешения для гостей ограничены. Рекомендации по использованию этой функции см. в статье Ограниченные разрешения на доступ гостевого пользователя в Azure Active Directory.

Разрешение Описание параметра
Ограниченные разрешения на доступ гостевого пользователя Если установить для этого параметра значение Гостевые пользователи имеют тот же уровень доступа, что и члены, пользователи-гости будут по умолчанию получать все разрешения пользователей-участников.

Если установить для этого параметра значение У гостевых пользователей есть доступ только к свойствам и членствам их собственных объектов каталога, по умолчанию гостевой доступ ограничивается только собственными профилями пользователей. Доступ к другим пользователям больше не разрешен даже при поиске по имени субъекта-пользователя, ObjectId или отображаемому имени. Доступ к сведениям о группах, включая членство в группах, также больше не разрешен.

Примечание. Этот параметр не запрещает доступ к присоединенным группам в некоторых службах Microsoft 365, например Microsoft Teams. Дополнительные сведения см. в статье Гостевой доступ в Microsoft Teams.

Гостевые пользователи по-прежнему могут добавляться к ролям администратора, независимо от этих параметров разрешений.

Гости могут приглашать других пользователей Установка для этого параметра значения «Да» позволяет гостям приглашать других гостей. Дополнительные сведения см. в статье .
Участники могут приглашать других пользователей Если задать для этого параметра значение «Да», участники каталога, не являющиеся администраторами, смогут приглашать гостей. Дополнительные сведения см. в статье .
Администраторы и пользователи с ролью приглашающего гостей могут приглашать других пользователей Установка для этого параметра значения «Да» позволяет администраторам и пользователям в роли «Приглашающий гостей» приглашать гостей. Если задано значение «Да», пользователи в роли «Приглашающий гостей» смогут приглашать гостей, независимо от значения параметра «Участники могут приглашать других пользователей». Дополнительные сведения см. в статье .

Контролируемая проверка гибридного присоединения к Azure AD

Если все предварительные требования установлены, устройства Windows будут автоматически регистрироваться в качестве устройств в клиенте Azure AD. Состояние этих удостоверений устройств в Azure AD называется гибридным присоединением к Azure AD. Дополнительные сведения о концепциях, описанных в этой статье, можно найти в статье Введение в Управление удостоверениями устройств в Azure Active Directory.

Организациям может потребоваться выполнить управляемую проверку гибридного присоединение к Azure AD, прежде чем включать его в всей организации одновременно. Ознакомьтесь со статьей Управление проверкой гибридного присоединение к Azure AD, чтобы понять, как это сделать.

Этап 1. Создание фундамента безопасности

На этом этапе администраторы могут включить базовые функции безопасности, чтобы подготовить более безопасную и простую основу для работы в Azure AD, прежде чем импортировать или создать обычные учетные записи пользователей. Этот базовый этап гарантирует более безопасную работу с самого начала, а вашим конечным пользователям нужно ознакомиться с новыми понятиями только один раз.

Задача Подробный сведения Требуемая лицензия
Назначение нескольких глобальных администраторов Назначьте по крайней мере две учетные записи с постоянной ролью глобального администратора только для облака, чтобы использовать их при возникновении нештатной ситуации. Эти учетные записи не используются ежедневно, и для них необходимо настроить длинные и сложные пароли. Azure AD уровня «Бесплатный»
По возможности используйте роли, отличные от глобального администратора Предоставьте своим администраторам только необходимый уровень доступа только к нужным областям. Не всем администраторам требуется роль глобального администратора. Azure AD уровня «Бесплатный»
Включение Azure AD Privileged Identity Management для отслеживания того, как используется роль администратора Включите Azure AD Privileged Identity Management, чтобы отслеживать использование роли администратора. Azure AD Premium P2
Как развернуть самостоятельный сброс пароля Уменьшите число обращений в службу поддержки о сбросе паролей, позволив сотрудникам сбрасывать свои пароли с помощью политик, контролируемых вами в качестве администратора.
Руководство по настройке пользовательских списков запрещенных слов для защиты паролей в Azure Active Directory Запретите пользователям создавать пароли, содержащие слова или фразы, часто используемые в вашей организации или сфере.
Включение локальной интеграции с защитой паролей Azure AD Расширьте список заблокированных паролей для своего локального каталога, чтобы обеспечить соответствие установленных локально паролей спискам заблокированных паролей на глобальном уровне и на уровне арендатора. Azure AD Premium P1
Включите руководство по паролям корпорации Майкрософт Прекратите требовать, чтобы пользователи меняли свой пароль по расписанию, а также использовали сложный пароль, и вашим пользователям станет легче запоминать и безопасно хранить пароли. Azure AD уровня «Бесплатный»
Периодический сброс пароля заставляет пользователей увеличивать свои существующие пароли. Воспользуйтесь рекомендациями из руководства по паролям корпорации Майкрософт и примените свою локальную политику для пользователей облачных решений. Azure AD уровня «Бесплатный»
Настройка смарт-блокировки Azure Active Directory Прекратите блокировать репликацию облачных учетных записей в локальные учетные записи Active Directory
Включение смарт-блокировки экстрасети для служб федерации Active Directory Блокировка экстрасети служб федерации Active Directory (AD FS) обеспечивает защиту от атак методом подбора пароля. При этом действительные пользователи AD FS могут продолжать использовать свои учетные записи.
Блокировка устаревших методов аутентификации в Azure AD с помощью условного доступа Заблокируйте устаревшие протоколы проверки подлинности, такие как POP, SMTP, IMAP и MAPI, которые не поддерживают многофакторную проверку подлинности и поэтому становятся предпочтительной точкой входа для злоумышленников. Azure AD Premium P1
Планирование развертывания многофакторной идентификации Azure AD Используя политики условного доступа, потребуйте от пользователей выполнять двухфакторную проверку подлинности при доступе к конфиденциальным приложениям. Azure AD Premium P1
Включение Защиты идентификации Azure Active Directory Включите отслеживание небезопасных входов в систему и скомпрометированных учетных данных для пользователей в своей организации. Azure AD Premium P2
Применение обнаружения рисков в отношении входов пользователей для активации Многофакторной идентификации Azure AD или смены паролей Используйте автоматизацию, позволяющую активировать такие события, как многофакторная проверки подлинности, сброс пароля и блокирование входа в систему в зависимости от степени риска. Azure AD Premium P2
Включение общей регистрации для самостоятельного сброса пароля и многофакторной проверки подлинности Azure Active Directory Разрешите регистрацию пользователей через один общий интерфейс для использования службы «Многофакторная проверка подлинности Microsoft Azure» и самостоятельного сброса пароля. Azure AD Premium P1

Предварительные требования

  • Azure AD Connect (1.1.819.0 или более поздних версий);
  • учетные данные глобального администратора для клиента Azure AD;
  • учетные данные администратора предприятия для каждого леса;

Ознакомьтесь со следующими статьями:

  • Что такое удостоверение устройства?
  • Руководство. Планирование реализации гибридного присоединения к Azure Active Directory.
  • Контролируемая проверка гибридного присоединения к Azure AD.

Примечание

Azure AD не поддерживает смарт-карты и сертификаты в управляемых доменах.

Проверьте, синхронизированы ли в Azure AD Connect объекты-компьютеры гибридных устройств, которые нужно присоединить к Azure AD. Если объекты-компьютеры принадлежат конкретным подразделениям, для этих подразделений нужно настроить синхронизацию в Azure AD Connect. Дополнительные сведения о том, как синхронизировать объекты-компьютеры с помощью Azure AD Connect, см. в разделе .

Примечание

Чтобы синхронизировать регистрацию устройства, при настройке регистрации устройства не исключайте атрибуты устройств по умолчанию из конфигурации синхронизации Azure AD Connect. Дополнительные сведения об атрибутах устройств по умолчанию, синхронизированных с AAD, см. в разделе .

Начиная с версии 1.1.819.0, с Azure AD Connect предоставляется мастер для настройки гибридного присоединения к Azure AD. Этот мастер значительно упрощает настройку. Мастер настраивает точки подключения службы (SCP) для регистрации устройств.

Действия по настройке в этой статье основаны на использовании мастера в Azure AD Connect.

Для гибридного присоединения к Azure AD требуется, чтобы у устройств был доступ к следующим ресурсам Майкрософт из сети организации:

  • (если вы используете или планируете использовать простой единый вход).

Предупреждение

Если ваша организация использует прокси-серверы, которые перехватывают трафик SSL для таких сценариев, как защита от потери данных или ограничения арендатора Azure AD, убедитесь, что трафик к этим URL-адресам исключается из процесса приостановки и изучения TLS-трафика. Если эти URL-адреса не будут исключены, это может вызвать ошибки при аутентификации с помощью сертификата клиента, что приведет к проблемам с регистрацией устройств и условным доступом на основе устройств.

Если вашей организации требуется доступ к Интернету через исходящий прокси-сервер, вы можете реализовать автоматическое обнаружение веб-прокси (WPAD), чтобы обеспечить регистрацию устройств в Azure AD на компьютерах Windows 10. Если возникли проблемы при настройке и управлении WPAD, см. статью об устранении неполадок с автоматическим обнаружением здесь. На устройствах с ОС Windows 10 версии ниже 1709 WPAD является единственным доступным вариантом, позволяющим настроить прокси-сервер для работы с гибридным присоединением к Azure AD.

Если вы не используете WPAD, параметры прокси-сервера WinHTTP можно настроить на компьютере с Windows 10 версии не ниже 1709. Дополнительные сведения см. в статье Развертывание параметров прокси-сервера WinHTTP с помощью объекта групповой политики.

Примечание

Если вы настроите параметры прокси-сервера на компьютере с помощью параметров WinHTTP, любые компьютеры, которым не удается подключиться к настроенному прокси-серверу, не смогут подключиться к Интернету.

Если вашей организации требуется доступ в Интернет через исходящий прокси-сервер с аутентификацией, необходимо убедиться, что ваши компьютеры с Windows 10 могут успешно пройти проверку подлинности на этом прокси-сервере. Так как компьютеры с Windows 10 выполняют регистрацию устройства с использованием контекста компьютера, необходимо настроить проверку подлинности для исходящего прокси-сервера с использованием контекста компьютера. Обратитесь к поставщику исходящего прокси-сервера, чтобы узнать требования к конфигурации.

Проверить, есть ли у устройства доступ к указанным выше ресурсам Майкрософт под системной учетной записью, можно с помощью скрипта проверки подключения при регистрации устройств.

Вопросы управляемости

Существует два аспекта управления Azure AD:

  • Администрирование Azure AD в облаке.
  • Обслуживание серверов синхронизации Azure AD Connect.

Azure AD предоставляет следующие возможности для управления доменами и каталогами в облаке:

  • модуль PowerShell Azure Active Directory. Используйте этот модуль, если нужно создать скрипты для общих задач администрирования Azure AD, таких как управление пользователями, управление доменами и настройка единого входа.
  • Колонка управления Azure AD на портале Azure. Здесь представлено интерактивное представление управления каталога, которое позволяет контролировать и настраивать большинство аспектов Azure AD.

Azure AD Connect устанавливает следующие средства для поддержки служб синхронизации Azure AD Connect из локального компьютера:

  • Консоль Microsoft Azure Active Directory Connect. Это средство позволяет изменить конфигурацию сервера Azure AD Sync, настроить синхронизацию, включить или отключить промежуточный режим и переключить режим входа пользователя. Вы можете включить вход Active Directory FS с помощью локальной инфраструктуры.
  • Synchronization Service Manager. Используйте вкладку Операции в этом средстве для управления процессом синхронизации и обнаружения сбоев любой части процесса. Вы можете активировать синхронизацию вручную с помощью этого средства. Вкладка Соединители позволяет управлять подключениями для доменов, к которым присоединен обработчик синхронизации.
  • Редактор правил синхронизации. Это средство можно использовать для настройки способа преобразования объектов при копировании между локальным каталогом и Azure AD. Оно позволяет указать дополнительные атрибуты и объекты для синхронизации, а затем выполняет фильтры, чтобы определить, какие объекты следует синхронизировать. Дополнительные сведения см. в разделе о редакторе правил синхронизации в документе Службы синхронизации Azure AD Connect: рекомендации по изменению конфигурации по умолчанию.

Дополнительные сведения и советы по управлению Azure AD Connect см. в статье Службы синхронизации Azure AD Connect: рекомендации по изменению конфигурации по умолчанию.

Изучение инфраструктуры удостоверений

Присоединение к Azure AD работает как для управляемых, так и для федеративных сред.

Управляемая среда

Управляемую среду можно развернуть при помощи синхронизации хэша паролей или сквозной аутентификации с удобным единым входом.

В этих сценариях не требуется настраивать сервер федерации для проверки подлинности.

Федеративная среда

У федеративной среды должен быть поставщик удостоверений, поддерживающий протоколы WS-Trust и WS-Fed:

  • WS-Fed. Этот протокол необходим для присоединения устройства к Azure AD.
  • WS-Trust. Этот протокол необходим для входа на присоединенном к Azure AD устройстве.

При использовании AD FS нужно включить следующие конечные точки WS-Trust:

Если ваш поставщик удостоверений не поддерживает эти протоколы, то присоединение Azure AD не работает по умолчанию.

Примечание

Сейчас присоединение к Azure AD не работает со . По умолчанию для присоединения к Azure AD используются проверки паролем в качестве основного метода, что приводит к сбоям проверки подлинности в этом сценарии

Смарт-карты и проверка подлинности на основе сертификатов

Вы можете использовать смарт-карты или проверку подлинности на основе сертификатов, чтобы подключать устройства к Azure AD. Однако смарт-карты можно использовать для входа на устройствах, подключенных к Azure AD, если у вас настроены службы AD FS.

Рекомендация. Реализуйте Windows Hello для бизнеса, чтобы обеспечить надежную проверку подлинности без паролей на устройствах с Windows 10 или более поздней версии.

Конфигурация пользователей

Если вы создаете пользователей в:

  • локальной службе Active Directory, необходимо синхронизировать их в Azure AD при помощи Azure AD Connect;
  • Azure AD, дополнительная настройка не требуется.

Локальные имена участников-пользователей, которые отличаются от имен участников-пользователей Azure AD, не поддерживаются на устройствах, присоединенных к Azure AD. Если пользователи применяют локальное имя участника-пользователя, то следует запланировать переход на использование основного имени участника-пользователя в Azure AD.

Изменения имени субъекта-пользователя поддерживаются только с обновлениями Windows 10 2004. Пользователи на устройствах с этим обновлением не будут иметь проблем с изменением имени субъекта-пользователя (UPN). Пользователи устройств, выпущенных до обновления Windows 10 2004,будут иметь проблемы с единым входом и условным доступом. Сейчас пользователям нужно входить в Windows с помощью плитки «Другой пользователь», используя новое имя UPN для устранения этой проблемы.

Открытие и изменение существующей политики параметров запроса

Чтобы изменить параметры запроса и утверждения для пакета для доступа, необходимо открыть соответствующую политику. Выполните следующие действия, чтобы открыть и изменить параметры запроса для пакета для доступа.

Требуемая роль: Глобальный администратор, Администратор пользователей, Владелец каталога или Диспетчер пакетов для доступа.

  1. На портале Azure щелкните Azure Active Directory и выберите Управление удостоверениями.

  2. В меню слева щелкните Пакеты для доступа и откройте пакет для доступа.

  3. Щелкните Политики, затем выберите политику, которую нужно изменить.

    В нижней части страницы откроется область подробных данных Политики Azure.

  4. Нажмите кнопку Изменить, чтобы изменить политику.

  5. Перейдите на вкладку Запросы, чтобы открыть параметры запроса.

  6. Выполните действия, описанные в предыдущих разделах, чтобы внести необходимые изменения в параметры запроса.

  7. Перейдите в раздел .

Планирование регистрации пользователей

Важным шагом в процессе любого развертывания MFA является получение пользователям регистрации для использования MFA. Такие методы проверки подлинности, как проверка подлинности с помощью голосовой связи или SMS, допускают предварительную регистрацию, а другие, например, через приложение Authenticator, требует взаимодействия напрямую с пользователем. Администраторы должны определить, как пользователи будут регистрировать свои методы.

Объединенная регистрация для SSPR и Azure AD MFA

Мы рекомендуем использовать объединенную службу регистрации для многофакторной проверки подлинности Azure AD и самостоятельного сброса пароля (SSPR). Функция SSPR позволяет пользователям безопасно сбрасывать свой пароль с помощью тех же методов, которые они используют для многофакторной проверки подлинности Azure AD. Объединенная регистрация для конечных пользователей осуществляется в один шаг.

Регистрация с помощью Защиты идентификации

Защита идентификации Azure AD влияет на политику регистрации и политики автоматического обнаружения и устранения рисков в истории многофакторной проверки подлинности Azure AD. Можно создавать политики для принудительного изменения пароля при возникновении угрозы компрометации идентификатора или при необходимости использования MFA, когда вход считается рискованным.
Если используется Защита идентификации Azure Active Directory, настройте политику регистрации MFA Azure AD, чтобы запрашивать у пользователей регистрацию при следующем входе в интерактивном режиме.

Регистрация без Защиты идентификации

Если у вас нет лицензий с поддержкой Защиты идентификации Azure AD, пользователям будет предложено зарегистрироваться в следующий раз, когда потребуется выполнить вход с MFA.
Чтобы обязать пользователей использовать MFA, можно использовать политики условного доступа и целевые часто используемые приложения, такие как системы отдела кадров.
Если пароль пользователя скомпрометирован, его можно использовать при регистрации для проведения MFA и контроля учетной записи. Поэтому рекомендуется защитить процесс регистрации в системе безопасности с помощью политик условного доступа, которым требуются доверенные устройства и расположения.
Кроме того, для дополнительной защиты можно также затребовать временный секретный код. Временный секретный код — это секретный код, действующий ограниченное время, которые выдается администратором, удовлетворяет требованиям строгой проверки подлинности и может использоваться для подключения других методов проверки подлинности, включая беcпарольные.

Дополнительная защита зарегистрированных пользователей

Если у вас есть пользователи, зарегистрированные для MFA посредством SMS или голосовой связи, вам, возможно, потребуется выбрать для них более безопасные методы, такие как приложение Microsoft Authenticator. Теперь корпорация Microsoft предлагает общедоступную предварительную версию функции, которая позволяют предлагать пользователям настроить приложение Microsoft Authenticator во время входа. Вы можете настроить эти запросы по группам, чтобы указать, кто будет получать запрос. Это позволит перемещать пользователей в более безопасный метод с помощью целевых кампаний.

Планирование сценариев восстановления

Как уже говорилось ранее, необходимо убедиться в том, что пользователи зарегистрированы для использования нескольких методов MFA, чтобы обеспечить наличие резервного метода при недоступности основного.
Если пользователю недоступен резервный метод, можно:

  • предоставить временный секретный код, чтобы пользователи могли управлять собственными методами проверки подлинности. Кроме того, можно также предоставить временный секретный код, чтобы разрешить временный доступ к ресурсам;
  • обновить их методы, используя права администратора. Для этого выберите пользователя на портале Azure, затем выберите методы проверки подлинности и обновите методы пользователей.
    Информирование пользователей

Очень важно информировать пользователей о предстоящих изменениях, требованиях к регистрации Многофакторной проверки подлинности Azure AD и обо всех действиях, которые пользователю необходимо будет предпринять.
Мы предоставляем шаблоны сообщений и документацию для конечных пользователей, чтобы помочь в разработке схемы информирования. Можно отправить пользователям https://myprofile.microsoft.com для непосредственной регистрации, выбрав ссылку https://myprofile.microsoft.com на этой странице

Рейтинг
( Пока оценок нет )
Понравилась статья? Поделиться с друзьями:
Мой редактор ОС
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: