MFA в Azure обеспечивает превосходный уровень безопасности.
- К исключите пользователя из MFA в Azure, перейдите в раздел Active Directory > Пользователи > Метод аутентификации и отключите MFA для определенного выбранного пользователя.
- Вы также можете создать группу исключений и настроить политику ее удаления из MFA.
- Ниже приведены подробные инструкции, предоставленные нашей командой экспертов по программному обеспечению WR.
Иногда вам необходимо исключить одного или нескольких пользователей из MFA в Azure, поскольку по какой-то причине они не могут использовать многофакторную проверку подлинности.
Наши эксперты по программному обеспечению WR протестировали несколько методов исключения пользователей из политик условного доступа и изложили их ниже.
- Как отключить MFA для конкретного пользователя в Azure?
- 1. Отключить MFA из Azure Active Directory
- 2. Создайте группу исключений и политику.
- 3. Использование условного инструмента «Что, если» в Azure
- 4. Отключить MFA для каждого пользователя в PowerShell
- Как узнать, зарегистрирован ли пользователь в MFA?
Как отключить MFA для конкретного пользователя в Azure?
1. Отключить MFA из Azure Active Directory
- Откройте портал Azure и войдите в систему с учетными данными администратора.
- Выбирать Azure Active Directory из главного меню.
- В новом меню выберите Пользователи.
- Выберите пользователя, которого нужно исключить из MFA, выполнив поиск в списке пользователей, затем нажмите Метод аутентификации с левой панели.
- Теперь сдвиньте поле Многофакторная аутентификация в Выключенный и подтвердите решение.
Чтобы убедиться, что вы удалили многофакторную аутентификацию для этого пользователя, попробуйте войти в Azure с учетными данными пользователя и проверьте, есть ли запрос на вход MFA.
2. Создайте группу исключений и политику.
2.1 Создайте группу исключений в Azure
Как мы тестируем, проверяем и оцениваем?
Последние 6 месяцев мы работали над созданием новой системы проверки того, как мы создаем контент. Используя его, мы впоследствии переработали большинство наших статей, чтобы предоставить практический опыт работы с созданными нами руководствами.
Более подробную информацию вы можете прочитать как мы тестируем, проверяем и оцениваем в WindowsReport.
- Войдите в Центр администрирования Microsoft Entra в качестве администратора.
- Перейти к Личность > Группы > Все группы.
- Выбирать Новая группа и выберите Безопасность в Тип группы список, затем укажите имя и описание.
- Оставьте или установите Тип членства к Назначенный, затем выберите владельца группы и пользователей, которые должны входить в эту группу исключений. Наконец, выберите Создавать.
2.2 Создайте политику исключения MFA для группы.
- Перейти к Защита и выберите Условный доступ.
- Выбирать Создать новую политику и заполните название и описание политики.
- Выбирать Пользователи и группы под Задания
- На Включать вкладка, выберите Все пользователи.
- Идти к Исключать, выбирать Пользователи и группы, и выберите группу исключений, которую вы создали в решение 2.1 выше.
- Продолжите процесс настройки политики условного доступа.
Теперь пользователи из выбранной вами группы должны были быть исключены из многофакторной аутентификации при входе в систему.
- Войдите в Azure с правами администратора, нажмите Безопасностьи выберите Условный доступ.
- Далее нажмите Что, если.
- Теперь нажмите Пользователь на левой панели найдите пользователя, которого хотите проверить, и нажмите кнопку Выбирать кнопка справа внизу.
- Теперь вы сможете увидеть, каким политикам подчиняется пользователь.
Инструмент «Что если» позволяет вам проверить, какие политики применяются к каждому пользователю, чтобы увидеть, есть ли какие-либо проблемы или конфликты. Это поможет вам увидеть, применяется ли многофакторная политика или другие политики безопасности.
4. Отключить MFA для каждого пользователя в PowerShell
- Подключитесь к Azure AD (Entra) PowerShell, выполнив следующие команды:
Import-Module MSOnline
Connect-MsolService
- Войдите в свою учетную запись администратора Azure AD (теперь она называется Entra).
- Введите или вставьте следующую команду и замените UPN основным именем пользователя:
Set-MsolUser -UserPrincipalName "UPN" -StrongAuthenticationRequirements @()
Как узнать, зарегистрирован ли пользователь в MFA?
Вы можете проверить политику Azure MFA в меню «Безопасность», но с помощью инструмента «Что если» из Решение 3 выше намного проще.
Обратите внимание: для доступа к пользователям и настройкам безопасности по умолчанию вам понадобится учетная запись администратора.
Итак, теперь вы знаете, как исключить пользователя из многофакторной аутентификации Azure (MFA) и восстановить доступ пользователя классическим методом имени пользователя и пароля.
Возможно, вам также будет интересно узнать, как применить MFA в Windows 11, или как настроить многофакторную аутентификацию по RDP.
Если у вас есть какие-либо другие вопросы или проверенные решения, не стесняйтесь использовать раздел комментариев ниже и дайте нам знать о них.
