Связаться с намиПодключиться
Статья создана
Обновлена 22 сентября 2025 г.

Аутентификация и управление доступом

Минимальное количество администраторов организации

Y360-1

Организация 360 — логический контейнер в инфраструктуре Яндекс 360, объединяющий сотрудников, домены, группы и сервисы компании. Управление профилем организации, смена владельца, настройка доменов и работа с аудитными логами выполняются через кабинет администратора.

Администраторы обладают максимальными правами в организации Яндекс 360, включая управление настройками безопасности, доступом сотрудников и интеграциями. Чрезмерное количество администраторов увеличивает риск компрометации критически важных функций.

  1. Войдите в аккаунт администратора организации.
  2. Перейдите на страницу Сотрудники.
  3. В строке пользователей с правами администратора отображается значение Администратор, а их портреты отмечены соответствующей иконкой.

Чтобы просмотреть список сотрудников, воспользуйтесь методом REST API UserService_List для ресурса UserService. Чтобы найти пользователей с правами администратора, отфильтруйте результат по параметру isAdmin: true.

Инструкции по выполнению:

  • Ограничьте число администраторов до одного (или минимально необходимого количества).
  • Для остальных пользователей с административными задачами используйте роли с ограниченными правами. Подробнее см. в документации.

Для доменных пользователей и пользователей Яндекс ID используется второй фактор

Y360-3

Для повышения безопасности доступа к корпоративным сервисам Яндекс 360 используйте двухфакторную аутентификацию (2FA) для всех доменных пользователей и пользователей с Яндекс ID. Это означает, что для входа в учетную запись потребуется не только обычный пароль, но и одноразовый код, полученный по телефону или через SMS. Такой подход существенно снижает риск несанкционированного доступа даже в случае компрометации пароля.

  1. Войдите в аккаунт администратора организации.

  2. Выберите в меню БезопасностьПодтверждение входа.

  3. Задайте необходимые настройки:

    • Кому включить — укажите Всем сотрудникам, если включаете подтверждение сразу на всю организацию, или Выбранным сотрудникам, если хотите настроить его персонально;
    • Срок предупреждения — время, которое отводится пользователям для настройки подтверждения входа. Когда этот период закончится, сотрудники больше не смогут отложить настройку.

    Примечание

    Настройка Метод проверки недоступна для редактирования. Приоритет отдается получению кода через звонок на телефон. СМС используется только если звонок недоступен.

  4. Нажмите Включить.

  5. Если вы включаете подтверждение входа отдельным пользователям, выберите нужных сотрудников.

  6. Если вы включаете подтверждение входа всем сотрудникам организации, вы можете принудительно завершить сессии для аккаунтов всех пользователей.

  1. Чтобы получить статус настройки 2FA для организации, воспользуйтесь методом REST API Domain2FAService_Get для ресурса Domain2FAService. Убедитесь, что опция 2FA активна для всех доменных пользователей либо для выбранных сотрудников согласно политике.

  2. Чтобы получить статус настройки 2FA для каждого доменного пользователя, воспользуйтесь методом REST API UserService_Get2fa для ресурса UserService. Убедитесь, что в теле ответа параметр twofaEnabled имеет значение true.

  3. Чтобы проверить, что у доменных пользователей отсутствует возможность отложить включение второго фактора, воспользуйтесь методом REST API Domain2FAService_Disable для ресурса Domain2FAService. Убедитесь, что нет пользователей с активной отсрочкой включения 2FA.

    Примечание

    Чтобы проверить пользователей с Яндекс ID, используйте доступные механизмы проверки через Яндекс ID.

Инструкции по выполнению:

Настройте двухфакторную аутентификацию для всех сотрудников, использующих Яндекс ID или доменные учетные записи Яндекс 360. Это минимальный стандарт безопасности, который необходимо внедрять во всех организациях, работающих с защищенной или критичной информацией.

В организации включена парольная политика

Y360-6

В организации должна быть активирована политика управления паролями: пользователи должны менять пароль не реже одного раза в полгода. Это дополнительная мера безопасности, необходимая на случай, если двухфакторная аутентификация не внедрена или используется не для всех пользователей.

Чтобы получить параметры парольной политики, воспользуйтесь методом REST API DomainPasswordsService_Get для ресурса DomainPasswordsService. Убедитесь, что в теле ответа параметр enabled имеет значение true, а значение параметра changeFrequency составляет не более 180 дней.

Пример ответа:

{"changeFrequency":180,"enabled":true}

Если enabled: false или changeFrequency > 180, политика не соответствует проверке Y360-6.

Инструкции по выполнению:

Установите параметры парольной политики так, чтобы срок действия пароля составлял не более 180 дней, и проверьте, что пользователи действительно могут менять пароль.

Учетная запись владельца организации имеет средства восстановления

Y360-9

Учетная запись владельца организации должна иметь механизмы восстановления доступа:

  1. Привязанный номер телефона (secure phone) — для восстановления через SMS или звонок.

  2. Двухфакторная аутентификация (2FA) — обязательный дополнительный фактор.

    Особенности:

    • для доменных пользователей проверка выполняется через API;
    • для аккаунтов на Яндексе (@yandex.ru) требуется ручная проверка (API недоступен).
  1. Войдите в аккаунт администратора организации.
  2. Проверьте вручную в настройках безопасности:
    • наличие привязанного телефона;
    • активированную 2FA.

  1. Чтобы проверить, что учетная запись владельца организации имеет механизмы восстановления доступа, воспользуйтесь методом REST API UserService_Get для ресурса UserService. Убедитесь, что в теле ответа параметры has_security_phone и 2fa_enabled установлены в true.

  2. Чтобы проверить глобальные настройки 2FA в организации, воспользуйтесь методом REST API Domain2FAService_Get для ресурса Domain2FAService. Убедитесь, что в теле ответа параметр enabled имеет значение true 2FA.

Инструкции по выполнению:

  1. Войдите в аккаунт администратора организации.

  2. Выберите в меню БезопасностьПодтверждение входа.

  3. Задайте необходимые настройки:

    • Кому включить — укажите Всем сотрудникам.

  4. Нажмите кнопку Включить.

Для аккаунтов на Яндексе передайте владение организацией доменному пользователю.

Чтобы включить 2FA для доменного аккаунта, воспользуйтесь методом REST API Domain2FAService_Enable для ресурса Domain2FAService.

Предыдущая
Введение
Следующая
Безопасность сессий и cookies