Двухфакторная аутентификация Microsoft в 2026: MSA против Entra ID и иерархия факторов

Нужно быстро получить коды верификации? Начните свое верификационное путешествие

Начать сейчас

2FA Microsoft в 2026 году — это уже не «включил и ты в безопасности», а иерархия факторов с очень разными гарантиями, где тип аккаунта (личный MSA против рабочего/учебного Entra ID) определяет, какие факторы доступны, кто ими управляет и подходят ли вообще номера SMS-Act. Это руководство распутывает эти слои и объясняет, что рекомендуется в 2026 году, что сворачивается и где SMS-верификация всё ещё уместна.

Главный сдвиг 2026 года: Microsoft сворачивает SMS для личных аккаунтов

Microsoft начала убирать SMS как способ безопасности и 2FA для личных аккаунтов, прямо заявляя, что «SMS-based authentication is now a leading source of fraud.» По широко опубликованным срокам, новые личные аккаунты перестали добавлять SMS как способ безопасности примерно с мая 2025 года, а существующие SMS-факторы убираются после мая 2026 года — на смену приходят passkey и приложение Authenticator. SMS по-прежнему появляется при создании аккаунта и на риск-проверках (где реальный операторский номер SMS-Act работает), но это уже не фактор, который вы оставляете надолго. Настройте Authenticator или passkey сразу после регистрации. (источник)

Два типа аккаунтов — и почему это важно

Microsoft поддерживает две параллельные системы идентификации:

Параметр	Личный аккаунт (MSA)	Рабочий или учебный (Entra ID)
Пример домена	name@outlook.com, name@hotmail.com	name@yourcompany.com
Для чего	Outlook.com, Xbox, OneDrive, Skype, установка Windows через MSA	Microsoft 365 Business/E3/E5, Azure, Intune, Teams
Самостоятельная регистрация	Да (любой с почтой + телефоном)	Нет — готовит администратор тенанта
Управление 2FA	Пользователь на account.microsoft.com → Security	Администратор через Conditional Access
Подходит SMS-Act для регистрации?	Да — временный номер получает код MSA	Нет — поле телефона задаёт администратор
Восстановление	Пользователь: почта + доп. телефон + код восстановления	Тенант: сброс через хелпдеск или политика SSPR
2FA по умолчанию в 2026	Опционально (сильно подталкивают)	Обязательно (Security Defaults на весь тенант)

Это самый частый источник путаницы. Запросы «Microsoft 2FA SMS verification» смешивают потоки MSA (где SMS-Act работает) с потоками Entra ID (где нет). Перед диагностикой всегда проверяйте тип аккаунта.

Иерархия факторов 2FA Microsoft в 2026

Microsoft ранжирует факторы по силе защиты. Стек 2026 года, от сильнейшего к слабейшему:

Уровень	Фактор	Устойчивость к фишингу	Примечания
1	Passkey (WebAuthn, привязан к устройству)	Высокая	По умолчанию в Windows Hello, iOS 17+, Android 14+; без пароля
2	Ключи FIDO2 (YubiKey 5C, Feitian)	Высокая	USB-A / USB-C / NFC; поддержка верификации пользователя
3	Microsoft Authenticator (push + сопоставление чисел)	Высокая	По умолчанию в Entra ID с мая 2023
4	Windows Hello for Business (PIN + TPM)	Средне-высокая	Привязан к устройству; только на управляемой Windows
5	Аппаратный токен OATH (Token2, Feitian)	Средняя	Коды по времени; офлайн
6	TOTP (Google Authenticator, Authy, 1Password)	Средняя	Тот же протокол, что OATH, но программный
7	Email OTP	Низко-средняя	Уязвим, если скомпрометирована почта
8	SMS OTP	Низкая	Приемлемо для устаревших потоков; уязвим к подмене SIM
9	Голосовой OTP	Низкая	Та же поверхность угроз, что у SMS; только как запасной

Microsoft сворачивает уровни 7–9 в Entra ID. Объявление мая 2023 года убрало одно-касательный push, сделав сопоставление чисел обязательным. Объявление сентября 2024 года разрешило администраторам полностью отключать SMS/голос как основные факторы. К 2026 году большинство корпоративных тенантов перевели SMS в режим «только запасной», оставив основным стеком Authenticator + passkey.

Для личных аккаунтов MSA у пользователя по-прежнему полный выбор, но экран создания аккаунта теперь предлагает Authenticator раньше SMS.

Почему Microsoft продвигает Authenticator вместо SMS

Microsoft Threat Intelligence опубликовала эти показатели блокировки (данные 2024 года, держатся в 2026):

Метод	% заблокированных автоматизированных атак
Только пароль	0%
SMS-2FA	99,2%
Authenticator push (с сопоставлением чисел)	99,99%
FIDO2 / Passkey	99,99%+ (устойчив к фишингу)

Разрыв у SMS существует, потому что:

1. Атаки подмены SIM — FBI сообщал о потерях свыше $260 млн в США за 2024 год; злоумышленник убеждает оператора перенести ваш номер.
2. Уязвимости протокола SS7 — перехват SMS в пути, особенно на международных маршрутах.
3. Фишинговые наборы — современные фреймворки «противник посередине» (AitM), такие как Evilginx2, перехватывают SMS-коды в реальном времени.
4. Сбои доставки операторов — в ряде стран системная доставляемость A2P SMS ниже 90%, что приводит к блокировкам пользователей и ослаблению политики 2FA.

Authenticator обходит все четыре: секрет не покидает защищённый анклав устройства, подтверждение push привязано к аппаратуре устройства, сопоставление чисел ломает усталость от одно-касательного подтверждения, и всё работает офлайн.

Почему VoIP-номера вообще нельзя зарегистрировать

Даже там, где SMS ещё принимается (создание аккаунта, риск-проверки), Microsoft принимает только реальные операторские номера. В документации поддержки прямо сказано: «VOIP numbers cannot be added as a way to sign in or get verification codes. Please add a mobile phone number.» Телефонная антифрод-проверка Entra ID помечает VoIP-сервисы (Google Voice, Twilio), бесплатные онлайн-приёмники SMS и номера из дата-центров и молча отбрасывает код. Номера SMS-Act берутся у реальных операторов и проходят HLR-проверку и проверку подлинности номера — поэтому получают код на этапе регистрации там, где VoIP-номер проваливается. Используйте этот код, чтобы создать аккаунт, а затем сразу переходите на Authenticator/passkey. (источник)

Личный MSA: пошаговая настройка 2FA

Это поток, управляемый пользователем. Временные номера SMS-Act могут пройти первоначальный этап телефонной проверки.

Шаг 1 — создайте или откройте свой MSA

1. Откройте account.microsoft.com и войдите (или создайте новый аккаунт с почтой + телефоном — номера SMS-Act здесь работают).
2. Нажмите Security → Advanced security options.
3. Посмотрите раздел «Ways to prove who you are».

Шаг 2 — добавьте Microsoft Authenticator (рекомендуемый основной)

1. На телефоне установите Microsoft Authenticator из App Store или Play Store.
2. На странице безопасности account.microsoft.com нажмите Add a new way to sign in or verify → Use an app.
3. Нажмите Set up a different Authenticator app, если не хотите Microsoft Authenticator, или следуйте потоку с QR-кодом.
4. Отсканируйте QR-код в Authenticator и введите 6-значный код-подтверждения, показанный в приложении.
5. Сохраните код восстановления в конце — он показывается только один раз.

Примечание (изменение 2025 года): Microsoft Authenticator перестал быть менеджером паролей в 2025 году — автозаполнение паролей свернули примерно в июле–августе 2025 года, а сохранённые пароли перенесли в Microsoft Edge. На 2FA это не влияет: Authenticator по-прежнему генерирует коды TOTP, обрабатывает push-подтверждения и хранит passkey. Здесь вы используете его исключительно как аутентификатор, что не изменилось.

Шаг 3 — включите двухэтапную проверку

1. На странице безопасности прокрутите до Two-step verification и нажмите Turn on.
2. Подтвердите кодом из Authenticator.
3. Теперь Microsoft будет запрашивать второй фактор при каждом входе с недоверенного устройства.

Шаг 4 — добавьте запасной фактор

Запасной вариант	Рекомендуется?	Почему
Ключ FIDO2	Да	Сильнейший запасной; работает офлайн
Email OTP на альтернативный ящик	Да	Дёшево, просто, работает на любом устройстве
SMS OTP на реальный личный мобильный	Да (но не виртуальный номер)	Запасной вариант на крайний случай
SMS OTP на виртуальный номер	Нет	Срок номера истекает — восстановление невозможно
TOTP-приложение (Google Authenticator)	Да	Независимо от Microsoft Authenticator

Шаг 5 — привяжите passkey (лучшая практика 2026)

1. Нажмите Add a new way to sign in or verify → Use a passkey.
2. Следуйте подсказкам ОС: Windows Hello на Windows 11, Face ID на iPhone, отпечаток на Android или аппаратный ключ.
3. Passkey полностью заменяет пароль на этом устройстве — вход становится одношаговым (само устройство = «то, что у вас есть» + биометрия/PIN = «то, кто вы / что знаете», объединённые в один устойчивый к фишингу учётный фактор).

Рабочий или учебный (Entra ID): взгляд администратора

В Entra ID факторы выбирает не пользователь, а администратор. Как ИТ-администратор в 2026 году вы обычно настраиваете:

Политика методов аутентификации

В Entra Admin Center → Authentication methods → Policies вы включаете:

• Microsoft Authenticator (с сопоставлением чисел + GPS-локацией + показом имени приложения)
• Ключи FIDO2
• Passkey
• Опционально: Windows Hello, аппаратные токены OATH
• Отключаете или ставите «только вторичный»: SMS, голос, email

Политики Conditional Access

Типовые базовые политики 2026 года:

1. Требовать MFA для всех пользователей — каждый вход требует второго фактора.
2. Блокировать устаревшую аутентификацию — убивает обход через базовую авторизацию IMAP/POP3.
3. Требовать соответствующее устройство — требует соответствия устройства Intune перед входом.
4. MFA по риску входа — Identity Protection помечает невозможные перемещения и незнакомые входы, повышает до step-up MFA.
5. Требовать устойчивую к фишингу MFA для администраторов — только passkey или FIDO2 для роли Global Admin.

Самостоятельный сброс пароля (SSPR)

Администратор задаёт, какими факторами пользователи могут сбросить свой пароль. Обычно:

• Authenticator + email + контрольные вопросы (устаревшее)
• Или Authenticator + email + телефон (где телефон — реальный мобильный пользователя, заданный администратором или зарегистрированный при онбординге)

Временные номера SMS-Act нельзя зарегистрировать как телефон SSPR для аккаунта Entra ID — даже если поле телефона примет формат, срок номера истечёт, и поток SSPR сломается, когда пользователю позже понадобится восстановление.

Частые проблемы и решения

Симптом	Причина	Решение
Код Authenticator «неверный», хотя вы ввели правильно	Сбой времени на устройстве	Телефон → Настройки → Дата и время → автоматически
Push-уведомления перестали приходить	Убит фоновый режим приложения	Разрешите фоновую активность Authenticator + исключение для батареи
Цикл «We could not verify your account» на MSA	Новое устройство + нет доверенного восстановления	Используйте напечатанный код восстановления или запустите форму восстановления (30 дней)
Код SMS не приходит на реальный номер США	Фильтр оператора на коротком номере Microsoft	Перейдите на Authenticator; если нельзя — запросите голосовой OTP
Потерян Authenticator + телефон	Перерегистрация с доверенного устройства	Ключ FIDO2 или код восстановления; иначе форма восстановления (3–30 дней)
Аккаунт Entra ID заблокирован после 5 неверных кодов	Smart Lockout (по умолчанию 10 минут паузы)	Подождите 10 минут или обратитесь к администратору тенанта

Где SMS-Act встраивается в стек 2FA Microsoft

Ровно в одном месте: первоначальная телефонная проверка при регистрации MSA.

Сценарий	Применим SMS-Act?
Создание нового MSA Outlook.com / Xbox с нуля	Да
Возрастная проверка детского аккаунта Xbox	Нет — нужен способ оплаты
Добавление SMS как фактора 2FA к существующему MSA	Нет — срок номера истекает через ~15 минут
Добавление SMS как основного 2FA для Entra ID	Нет — только администратор
Телефон самостоятельного сброса пароля (SSPR)	Нет — нужен постоянный номер
Фактор восстановления для важного аккаунта	Нет — используйте Authenticator + FIDO2 + код восстановления

Шаблон: временный номер = одноразовый помощник при регистрации, а не долговечный фактор 2FA. После создания MSA сразу настройте Authenticator и passkey; SMS становится запасным вариантом, на который нельзя полагаться.

Рекомендуемый набор 2FA для Microsoft-аккаунтов в 2026

Роль	Рекомендуемый основной	Рекомендуемый вторичный	Восстановление
Личный MSA, обычный пользователь	Authenticator	Email OTP	Код восстановления напечатан и сохранён
Личный MSA, продвинутый пользователь	Passkey (Hello / Face ID)	Authenticator	Ключ FIDO2 + код восстановления
Личный MSA, журналист или чувствительный к угрозам	Passkey	YubiKey	Второй YubiKey в сейфе
Рабочий/учебный, обычный пользователь	Authenticator (сопоставление чисел)	Токен OATH	SSPR через Authenticator + дополнительная почта
Рабочий/учебный, Global Admin	FIDO2 / Passkey	Второй FIDO2	Аварийный админ-аккаунт в отдельном тенанте

Чего SMS-Act НЕ может

1. Добавить телефон к MSA как фактор 2FA — используйте реальный личный мобильный, а не временный номер.
2. Подготовить телефон для Entra ID — этим управляют администраторы.
3. Восстановить заблокированный аккаунт — 30-дневная форма восстановления Microsoft требует данных личности, а не SMS.
4. Обойти Conditional Access — политики, заданные тенантом, обойти нельзя.
5. Родительское согласие / возрастной барьер Xbox — нужен способ оплаты, принадлежащий родителю.

Цены и оплата SMS-Act

• Цена: 8 кредитов за приём кода-подтверждения (одинаково для всех стран)
• Возврат: автоматический возврат кредитов на счёт при недоставке примерно за 15 минут
• Оплата: Stripe
• Ограничения: Telegram не поддерживается, номера материкового Китая не предоставляются; только временный номер на ~15 минут (без аренды и помесячных номеров)

Связанные материалы

• Microsoft SMS-верификация
• Планы Microsoft 365
• Начало работы с Azure
• Гайд по приёму кода-подтверждения
• Гайд по платформам приёма кодов

Уведомление об использовании

Данный сервис предназначен для поддержки разработки, тестирования и бизнес-процессов в международных сценариях, помогая пользователям выполнять задачи в разумных и законных рамках.

Пользователи обязаны соблюдать применимое законодательство и правила сторонних платформ. Сервис не участвует в действиях пользователей и не контролирует способы его использования.

В случае выявления ненадлежащего или аномального использования могут применяться ограничения в соответствии с правилами платформы.

Пользователи должны быть старше 18 лет и несут полную ответственность за свои действия и их последствия. Если вы не согласны с данными условиями, прекратите использование сервиса.

Получить номер для регистрации Microsoft от SMS-Act →

Вернуться к энциклопедии