Гид по технологиям

Включение многофакторной аутентификации (MFA) для Office 365

8 min read Безопасность Обновлено 22 Dec 2025
Как включить MFA в Office 365 — пошагово
Как включить MFA в Office 365 — пошагово

Логотип Office 365

Для кого эта инструкция

Эта статья рассчитана на администраторов Office 365 в бизнес‑подписках и на конечных пользователей, которым администратор включил MFA. Краткое определение: многофакторная аутентификация (MFA) — это метод защиты аккаунта, который требует два и более способов подтверждения личности (пароль + ещё один фактор).

Важно: у личных и домашних подписок Office 365 доступ к консоли администратора отсутствует; тогда MFA можно включить только для собственной учётной записи.

Что вам понадобится

  • Доступ администратора Office 365 (консоль Администрирование).
  • Смартфон с возможностью установки Microsoft Authenticator (iOS или Android) или телефон для получения SMS/звонка.
  • При использовании приложений (Outlook на ПК, старые почтовые клиенты) — сохранённый «пароль приложения» после настройки MFA.

Важно: если подписка поставляется вместе с доменным хостингом и вы видите плитку «Администрирование» в запуске приложений Office 365, у вас есть доступ к необходимым настройкам.

Плитка «Администрирование» в запуске приложений Office 365

Обзор шага: включение MFA администратором

  1. Откройте консоль администратора Office 365.
  2. Перейдите в «Настройки» → «Службы и надстройки».
  3. Найдите «Azure многофакторная аутентификация» и кликните «Управление многофакторной аутентификацией».
  4. Проверьте «Параметры службы» и при необходимости измените период запоминания устройств.
  5. На вкладке «Пользователи» отметьте учётные записи и нажмите «Включить».
  6. Пользователь завершит настройку при следующем входе или по ссылке https://aka.ms/MFASetup.

Пункт «Службы и надстройки» в меню администратора

Подробная пошаговая инструкция для администратора

1. Откройте раздел «Службы и надстройки» в консоли администратора

В консоле администратора выберите «Настройки», затем — «Службы и надстройки». Здесь находятся централи зубные настройки, применимые ко всему арендатору (tenant).

2. Выберите «Azure многофакторная аутентификация» и «Управление многофакторной аутентификацией»

На странице служб найдите пункт, связанный с Azure MFA, и нажмите — в правой панели появится ссылка «Управление многофакторной аутентификацией». Это перенаправит вас на классическую страницу управления MFA пользователей.

Пункт «Azure многофакторная аутентификация» в списке служб

Ссылка «Управление многофакторной аутентификацией» в панели служб

3. Проверьте «Параметры службы» прежде чем массово включать MFA

На странице MFA откройте вкладку «Параметры службы». Здесь можно:

  • Разрешить или запретить «запоминание» устройства;
  • Установить период, в течение которого устройство считается доверенным (по умолчанию 14 дней, максимум 60 дней);
  • Настроить требования к приложению‑паролям и другие опции.

Вкладка «Параметры службы» на странице MFA

Совет администратора: включение запоминания устройства снижает количество окон подтверждения для пользователей, но увеличивает риск при компрометации устройства. Для семейной среды разумно установить 14–30 дней; для критичных сервисов — лучше оставить 14 или отключить.

Примечание: любые изменения сохраняйте кнопкой «Сохранить» внизу панели.

4. Включение MFA для пользователей

Перейдите на вкладку «Пользователи», отметьте необходимые учётные записи и нажмите «Включить». Подтвердите действие, нажав «Включить многофакторную аутентификацию». После успешного включения для выбранных пользователей появится соответствующее состояние.

Параметры службы и вкладка «Пользователи» на странице MFA

Кнопка «Включить многофакторную аутентификацию» в панели подтверждения

Если пользователи редко входят, отправьте им ссылку https://aka.ms/MFASetup, чтобы они настроили MFA в удобное время. Ссылка универсальна для всех пользователей.

Что увидит пользователь при первой настройке MFA

При входе в Office 365 пользователь увидит сообщение, что требуется дополнительная информация для защиты аккаунта. После нажатия “Далее” откроется панель выбора метода.

Экран входа в Office 365 с уведомлением о необходимости дополнительной информации

Панель «Дополнительная проверка безопасности» для выбора метода MFA

Мы рекомендуем использовать мобильное приложение Microsoft Authenticator. Оно поддерживает два режима:

  • Получать уведомления для подтверждения (Approve/Deny).
  • Использовать проверочный код (одноразовый код из приложения).

Переключатели выбора метода подтверждения: уведомления или код

Настройка Microsoft Authenticator

  1. Нажмите «Настроить» и следуйте подсказкам: установите приложение Microsoft Authenticator на смартфон.
  2. Отсканируйте QR‑код в браузере или вручную введите код/URL, если сканирование невозможно.
  3. Нажмите «Далее», дождитесь проверки активации приложения. Статус поменяется, когда привязка завершится.

Сообщение о проверке статуса активации Microsoft Authenticator

Сообщение об успешной настройке MFA

После подтверждения MFA система запросит резервный номер телефона. Это нужно для доступа, если приложение недоступно (нет интернета, потеря устройства). Подберите номер, к которому у вас есть доступ — это может быть номер доверенного члена семьи.

Пароли для приложений (app passwords)

При окончании настройки система выдаст «пароль для приложений», который нужно сохранить. Его потребуется использовать в некоторых старых клиентах почты и приложениях, которые не поддерживают MFA напрямую.

Поле с паролем для приложений и кнопка «Готово»

Список приложений, где может потребоваться пароль приложения:

  • Outlook для Windows/Mac (старые версии).
  • Почтовые клиенты на iOS/Android, кроме официального приложения Outlook.
  • Office 2010, Office для Mac 2011 и старее.
  • Некоторые старые системные приложения и устройства.

Подсказка: современные версии Outlook и мобильный Outlook поддерживают MFA и не требуют пароля приложения.

Рекомендации по параметрам и политикам

  • Запоминание устройства: 14 дней — хороший баланс между удобством и безопасностью; для чувствительной информации уменьшите до 7 или выключите.
  • MFA по SMS: лучше, чем отсутствие MFA, но менее безопасно из‑за рисков SIM‑смены; предпочитайте приложение‑генератор кодов.
  • Принудительное включение для всех пользователей: хорошо с точки зрения безопасности, но заранее уведомите пользователей и подготовьте инструкцию и техподдержку.

Роли и чек‑листы

Для администратора

  • Проверить доступ к плитке «Администрирование».
  • Перейти в «Настройки» → «Службы и надстройки».
  • Открыть управление «Azure многофакторная аутентификация».
  • Настроить «Параметры службы» (запоминание устройства, период доверия).
  • Отмечать пользователей и включать MFA.
  • [ ] Отправить инструкцию или ссылку https://aka.ms/MFASetup пользователям.
  • Поддержать пользователей при первой настройке.

Для конечного пользователя

  • Установить Microsoft Authenticator на телефон.
  • Настроить метод (уведомления или код).
  • Добавить резервный номер телефона.
  • Сохранить пароль для приложений, если он выдан.

План действий при проблемах (короткий runbook)

  1. Пользователь не может принять уведомление: попросите открыть приложение Authenticator и проверить наличие аккаунта; если нет — повторно сканируйте QR.
  2. Утерян телефон: временно восстановите доступ через резервный номер или сбросьте MFA у пользователя в консоли администратора и повторно включите после подтверждения личности.
  3. Проблемы в почтовом клиенте: замените пароль учётной записи на пароль приложения или переключитесь на клиент, поддерживающий MFA.

Критерии приёмки: после включения MFA пользователь может войти в веб‑интерфейс Office 365 с подтверждением через приложение/код/SMS и при необходимости открыть почту через Outlook (с использованием пароля приложения, если требуется).

Когда MFA может не подойти (ограничения и контрпримеры)

  • Устройства IoT или встроенные сервисы, которые не поддерживают MFA напрямую.
  • Пользователи без доступа к мобильному телефону — в таких случаях используют аппаратные ключи или телефон доверенного лица.
  • Политики совместимости: старые корпоративные приложения могут требовать дополнительных настроек (пароли приложений, обновление клиентов).

Альтернативные подходы

  • Использование аппаратных ключей FIDO2 для максимально надёжной аутентификации.
  • Настройка условного доступа (Conditional Access) в Azure AD для более тонкой политики (по местоположению, устройству и пр.).
  • Поэтапное включение MFA: сначала для административных учётных записей и доступа к конфиденциальным данным, затем для всех сотрудников.

Безопасность и конфиденциальность

  • MFA значительно уменьшает риск компрометации учётной записи при перехвате пароля.
  • При хранении резервных номеров убедитесь, что политика обработки персональных данных отвечает требованиям вашей организации и локальному законодательству о защите данных.

Мини‑методология внедрения MFA в организации

  1. Проведите аудит пользователей и служб, которые не поддерживают MFA.
  2. Составьте коммуникационный план — письма, высокая видимость инструкций.
  3. Включите MFA сначала для администраторов и пользователей с повышенными правами.
  4. Настройте обучение и поддержку на период включения.
  5. Перейдите к включению для всех оставшихся пользователей.

Decision tree — как выбрать метод MFA

flowchart TD
  A[Начало: нужно включить MFA?] --> B{Пользователь имеет смартфон?}
  B -- Да --> C{Можно установить Microsoft Authenticator?}
  C -- Да --> D[Рекомендовано: Microsoft Authenticator 'уведомления или код']
  C -- Нет --> E[Использовать SMS/звонок как временный метод]
  B -- Нет --> F{Можно назначить доверенный номер или аппаратный ключ?}
  F -- Да --> G[Привязать доверенный номер или выдать аппаратный ключ]
  F -- Нет --> H[Рассмотреть исключение и разработать альтернативу]
  D --> I[Сохранить инструкции и пароль приложений при необходимости]
  E --> I
  G --> I
  H --> I

Короткие шаблоны сообщений для пользователей

OG‑анонс (пример): «С 12 мая для входа в служебную почту потребуется подтверждение по телефону. Инструкция по настройке: https://aka.ms/MFASetup»

Короткая внутренняя инструкция: «Установите Microsoft Authenticator, пройдите настройку по полученному уведомлению при первом входе или по ссылке https://aka.ms/MFASetup. Сохраните пароль для приложений, если он будет сгенерирован.»

Краткая справка — ключевые факты

  • По умолчанию устройство запоминается на 14 дней.
  • Максимальный период запоминания по настройке — 60 дней.
  • Универсальная ссылка для настройки MFA: https://aka.ms/MFASetup.
  • Рекомендуемый метод: Microsoft Authenticator (уведомления или коды).

Часто задаваемые вопросы

Нужно ли каждому пользователю устанавливать приложение?

Да, если администратор включил MFA, каждый пользователь должен настроить хотя бы один дополнительный метод (приложение/код или номер телефона).

Что делать, если пользователь потерял телефон?

Администратор может временно сбросить настройки MFA для учётной записи и инициировать повторную настройку после подтверждения личности. Также можно использовать резервный номер, если он был указан.

Требуется ли пароль приложения для мобильного Outlook?

Нет — приложение Outlook для мобильных устройств поддерживает MFA и не требует пароля приложения. Старые почтовые клиенты могут его потребовать.

Можно ли отменить MFA после включения?

Да, администратор может выключить MFA для конкретной учётной записи в консоли, но это снизит безопасность аккаунта.

Глоссарий (в одну строку)

  • MFA: многофакторная аутентификация — подтверждение личности с использованием двух или более факторов.
  • Authenticator: приложение для генерации кодов или приёма push‑подтверждений.
  • Пароль приложения: специальный пароль для клиентов, не поддерживающих MFA.

Резюме

MFA — недорогой и эффективный способ повысить безопасность Office 365. Администратору достаточно нескольких минут, чтобы включить MFA для пользователей; пользователи — пару минут, чтобы настроить Microsoft Authenticator и резервный номер. Следуйте чек‑листам, подготовьте коммуникацию и поддержку, и переход пройдёт гладко.

Полезные ссылки:

  • Универсальная страница настройки MFA: https://aka.ms/MFASetup
  • Документация Microsoft по MFA и Conditional Access: откройте раздел поддержки Microsoft в вашей консоли администратора.
Поделиться: X/Twitter Facebook LinkedIn Telegram
Автор
Редакция

Похожие материалы

Как узнать IP-адрес в Linux
Сеть

Как узнать IP-адрес в Linux

Как удалить cookies в популярных браузерах
Браузеры

Как удалить cookies в популярных браузерах

Как векторизовать рисунок Procreate в Illustrator
Дизайн

Как векторизовать рисунок Procreate в Illustrator

Режим вождения Google Maps — настройка и советы
How-to

Режим вождения Google Maps — настройка и советы

Изменить качество резервного копирования Google Фото
Инструкции

Изменить качество резервного копирования Google Фото

Заменить иконки 7‑Zip на более красивые
Windows

Заменить иконки 7‑Zip на более красивые