Связаться с намиПопробовать бесплатно
Создавайте контент и получайте гранты!Готовы написать своё руководство? Участвуйте в контент-программе и получайте гранты на работу с облачными сервисами!
Подробнее о программе
Проект Яндекса
© 2026 ТОО «Облачные Сервисы Казахстан»

Изменить политику MFA

Статья создана
Улучшена
Обновлена 13 февраля 2026 г.

Чтобы изменить политику MFA:

  1. Войдите в сервис Yandex Identity Hub.

  2. На панели слева выберите Настройки безопасности.

  3. Перейдите на вкладку Политики MFA.

  4. В списке политик MFA в строке с нужной политикой нажмите значок и выберите Редактировать. В открывшемся окне:

    1. В поле Название задайте новое имя политики. Требования к имени:

      • длина — от 1 до 63 символов;
      • может содержать строчные буквы латинского алфавита, цифры и дефисы;
      • первый символ — буква, последний — не дефис.

    2. (Опционально) В поле Описание задайте описание политики.

    3. При необходимости с помощью опции Политика активна активируйте или деактивируйте политику.

    4. В поле Типы факторов выберите дополнительные факторы аутентификации, с помощью которых должны будут подтверждать свою личность пользователи, добавленные в целевые группы политики:

      • Любые методы. В этом варианте пользователи должны будут выбрать один из следующих стандартов дополнительного фактора аутентификации:

        • WebAuthn (FIDO2). Дополнительным фактором аутентификации будут выступать, например, аппаратные ключи, такие как Рутокен или YubiKey, аутентификаторы Passkeys, платформенные аутентификаторы, такие как Windows Hello, и т.п.

          Важно

          Расширения браузера, у которых есть возможность управлять вводом паролей, могут вызывать ошибки при вводе дополнительных факторов. При возникновении ошибок рекомендуется отключать такие расширения.

        • TOTP. Дополнительным фактором аутентификации будут выступать одноразовые коды, генерируемые специальными приложениями-аутентификаторами.

        • SMS. Дополнительным фактором аутентификации будут выступать одноразовые коды, отправляемые в коротких сообщениях на заданный номер мобильного телефона.

          Примечание

          Функциональность SMS в качестве фактора аутентификации находится на стадии Preview и доступна только клиентам с тарифицируемым лимитом пользователей Identity Hub. Чтобы получить доступ, обратитесь в техническую поддержку или к вашему аккаунт-менеджеру.

      • Любые, кроме SMS. В этом варианте пользователь должен будет использовать факторы аутентификации по стандартам WebAuthn или TOTP.

      • Устойчивые к фишингу. В этом варианте пользователь должен будет использовать только факторы аутентификации по стандарту WebAuthn как наиболее безопасные.

    5. В поле Срок создания задайте период в днях после регистрации, в течение которого пользователь должен добавить второй фактор аутентификации.

    6. В поле Время жизни задайте срок действия учетных данных в днях.

      После истечения заданного времени пользователю потребуется повторно аутентифицироваться с использованием дополнительного фактора.

    7. Нажмите кнопку Сохранить.

Если у вас еще нет интерфейса командной строки Yandex Cloud (CLI), установите и инициализируйте его.

По умолчанию используется каталог, указанный при создании профиля CLI. Чтобы изменить каталог по умолчанию, используйте команду yc config set folder-id <идентификатор_каталога>. Также для любой команды вы можете указать другой каталог с помощью параметров --folder-name или --folder-id.

  1. Посмотрите список политик MFA с помощью команды:

    yc organization-manager mfa-enforcement list \
  --organization-id <идентификатор_организации>

    Где --organization-id — идентификатор организации.

  2. Посмотрите описание нужной политики MFA:

    yc organization-manager mfa-enforcement get \
  --id <идентификатор_политики>

  3. Посмотрите описание команды CLI для изменения политики MFA:

    yc organization-manager mfa-enforcement update --help

  4. Чтобы изменить политику MFA, выполните команду:

    yc organization-manager mfa-enforcement update \
  --id <идентификатор_политики> \
  --acr-id <тип_фактора_аутентификации> \
  --ttl <время_жизни> \
  --status <статус_политики> \
  --apply-at <время_применения_изменений> \
  --enroll-window <период_регистрации> \
  --new-name <новое_имя> \
  --description <новое_описание> \
  --organization-id <идентификатор_организации>

    Где:

    • --id — идентификатор политики MFA.

    • --acr-id — тип фактора аутентификации. Возможные значения:

      • any-mfa — факторы аутентификации без ограничений по безопасности.

        Примечание

        Функциональность SMS в качестве фактора аутентификации находится на стадии Preview и доступна только клиентам с тарифицируемым лимитом пользователей Identity Hub. Чтобы получить доступ, обратитесь в техническую поддержку или к вашему аккаунт-менеджеру.

      • any-except-sms — только FIDO2 или TOTP-факторы.

      • phr — только FIDO2-факторы, устойчивые к фишингу.

    • --ttl — срок действия учетных данных в днях.
    • --status — статус политики: status-active — активна, status-inactive — неактивна.
    • --apply-at — время, по истечении которого политика станет активна.
    • --enroll-window — период в днях после регистрации, в течение которого пользователь должен добавить второй фактор аутентификации.
    • --new-name — новое имя политики.
    • --description — новое описание.
    • --organization-id — идентификатор организации.

Terraform позволяет быстро создать облачную инфраструктуру в Yandex Cloud и управлять ею с помощью файлов конфигураций. В файлах конфигураций хранится описание инфраструктуры на языке HCL (HashiCorp Configuration Language). При изменении файлов конфигураций Terraform автоматически определяет, какая часть вашей конфигурации уже развернута, что следует добавить или удалить.

Terraform распространяется под лицензией Business Source License, а провайдер Yandex Cloud для Terraform — под лицензией MPL-2.0.

Подробную информацию о ресурсах провайдера смотрите в документации на сайте Terraform или в зеркале.

Если у вас еще нет Terraform, установите его и настройте провайдер Yandex Cloud.

  1. Откройте конфигурационный файл Terraform и измените параметры ресурса yandex_organizationmanager_mfa_enforcement:

    resource "yandex_organizationmanager_mfa_enforcement" "example_mfa_policy" {
  name            = "<новое_имя_политики>"
  organization_id = "<идентификатор_организации>"
  acr_id          = "<новый_тип_фактора_аутентификации>"
  ttl             = "<новое_время_жизни>"
  status          = "<новый_статус_политики>"
  apply_at        = "<новое_время_активации>"
  enroll_window   = "<новый_срок_создания>"
  description     = "<новое_описание_политики>"
}

    Где:

    • name — имя политики. Обязательный параметр. Требования к формату имени:

      • длина — от 1 до 63 символов;
      • может содержать строчные буквы латинского алфавита, цифры и дефисы;
      • первый символ — буква, последний — не дефис.

    • organization_id — идентификатор организации. Обязательный параметр.

    • acr_id — тип фактора аутентификации. Обязательный параметр. Возможные значения:

      • any-mfa — факторы аутентификации без ограничений по безопасности.
      • any-except-sms — только FIDO2 или TOTP-факторы.
      • phr — только FIDO2-факторы, устойчивые к фишингу.

    • ttl — срок действия учетных данных в формате времени, например, 336h0m0s для 14 дней. Обязательный параметр.

    • status — статус политики. Необязательный параметр, возможные значения:

      • MFA_ENFORCEMENT_STATUS_ACTIVE — активна;
      • MFA_ENFORCEMENT_STATUS_INACTIVE — неактивна.

    • apply_at — время, по истечении которого политика станет активна, в формате RFC3339 (например, 2024-12-31T23:59:59Z). Необязательный параметр.

    • enroll_window — период времени после регистрации, в течение которого пользователь должен добавить второй фактор аутентификации. Указывается в формате времени, например, 720h0m0s для 30 дней. Обязательный параметр.

    • description — описание политики. Необязательный параметр.

    Более подробную информацию о параметрах ресурса yandex_organizationmanager_mfa_enforcement см. в документации провайдера.

  2. Примените изменения:

    1. В терминале перейдите в папку, где вы отредактировали конфигурационный файл.

    2. Проверьте корректность конфигурационного файла с помощью команды:

      terraform validate

      Если конфигурация является корректной, появится сообщение:

      Success! The configuration is valid.

    3. Выполните команду:

      terraform plan

      В терминале будет выведен список ресурсов с параметрами. На этом этапе изменения не будут внесены. Если в конфигурации есть ошибки, Terraform на них укажет.

    4. Примените изменения конфигурации:

      terraform apply

    5. Подтвердите изменения: введите в терминале слово yes и нажмите Enter.

    Terraform обновит политику MFA. Проверить изменения политики MFA можно в интерфейсе Cloud Center или с помощью команды CLI:

    yc organization-manager mfa-enforcement get <идентификатор_политики>

Воспользуйтесь методом REST API Update для ресурса MfaEnforcement или вызовом gRPC API MfaEnforcementService/Update.

Примечание

Чтобы политика MFA применялась к определенным учетным записям пользователей, добавьте в целевые группы этой политики нужных пользователей или группы, в которые входят эти пользователи.

См. также

Предыдущая
Применить политику MFA к пользователям
Следующая
Активировать и деактивировать политику MFA