Связаться с экспертомПопробовать бесплатно
Создавайте контент и получайте гранты!Готовы написать своё руководство? Участвуйте в контент-программе и получайте гранты на работу с облачными сервисами!
Подробнее о программе
Проект Яндекса
© 2026 ООО «Яндекс.Облако»

Управлять исключениями политики MFA

Статья создана
Улучшена
Обновлена 20 апреля 2026 г.

Исключения позволяют не применять политику MFA к отдельным пользователям или группам пользователей, добавленным в целевую группу этой политики. Например, можно исключить роботов или группу администраторов, если политика назначена на всю организацию. Этим пользователям или группам не придется заново настраивать аутентификацию, если вы уберете их из списка исключений.

Изменить список исключений

  1. Войдите в сервис Yandex Identity Hub.

  2. На панели слева выберите Настройки безопасности.

  3. Перейдите на вкладку Политики MFA и в списке политик выберите нужную. В открывшемся окне:

    1. Перейдите на вкладку Исключения.

    2. Чтобы добавить пользователя или группу пользователей в список исключений:

      1. Нажмите кнопку Добавить исключение.
      2. В открывшемся окне выберите нужного пользователя или группу пользователей.
      3. Нажмите кнопку Добавить.

    3. Чтобы удалить пользователя или группу из списка исключений:

      1. В списке пользователей и групп в строке с нужным пользователем или группой нажмите значок и выберите Удалить.
      2. Подтвердите удаление.

Если у вас еще нет интерфейса командной строки Yandex Cloud (CLI), установите и инициализируйте его.

По умолчанию используется каталог, указанный при создании профиля CLI. Чтобы изменить каталог по умолчанию, используйте команду yc config set folder-id <идентификатор_каталога>. Также для любой команды вы можете указать другой каталог с помощью параметров --folder-name или --folder-id. Если вы обращаетесь к ресурсу по имени, поиск будет выполнен в каталоге по умолчанию. Если вы обращаетесь к ресурсу по идентификатору, поиск будет выполнен глобально — во всех каталогах с учетом прав доступа.

  1. Посмотрите список пользователей или групп, к которым применяется политика MFA:

    yc organization-manager mfa-enforcement list-audience \
  --id <идентификатор_политики>

  2. Посмотрите описание команды CLI для изменения списка исключений политики MFA:

    yc organization-manager mfa-enforcement update-excluded-audience --help

  3. Чтобы добавить пользователей или группы пользователей в список исключений политики MFA, выполните команду:

    yc organization-manager mfa-enforcement update-excluded-audience \
  --id <идентификатор_политики> \
  --audience-delta subject-id=<идентификатор_субъекта>,action=<действие>

    Где:

    • --audience-delta — параметр для изменения списка пользователей/групп в политике:
      • subject-id — идентификатор пользователя или группы.
      • action — действие: action-add — добавить, action-remove — удалить.

    Можно указать несколько параметров --audience-delta для одновременного добавления или удаления нескольких объектов.

    Результат:

    mfa_enforcement_id: bpfjv8qeq4ii********
effective_deltas:
  - action: ACTION_ADD
    subject_id: aje0j5mts02t********

Воспользуйтесь методом REST API UpdateExcludedAudience для ресурса MfaEnforcement или вызовом gRPC API MfaEnforcementService/UpdateExcludedAudience.

Посмотреть список исключений

  1. Войдите в сервис Yandex Identity Hub.
  2. На панели слева выберите Настройки безопасности.
  3. Перейдите на вкладку Политики MFA и в списке политик выберите нужную.
  4. В открывшемся окне перейдите на вкладку Исключения и просмотрите список пользователей и групп, исключенных из политики.

Если у вас еще нет интерфейса командной строки Yandex Cloud (CLI), установите и инициализируйте его.

По умолчанию используется каталог, указанный при создании профиля CLI. Чтобы изменить каталог по умолчанию, используйте команду yc config set folder-id <идентификатор_каталога>. Также для любой команды вы можете указать другой каталог с помощью параметров --folder-name или --folder-id. Если вы обращаетесь к ресурсу по имени, поиск будет выполнен в каталоге по умолчанию. Если вы обращаетесь к ресурсу по идентификатору, поиск будет выполнен глобально — во всех каталогах с учетом прав доступа.

  1. Посмотрите список пользователей или групп, к которым применяется политика MFA:

    yc organization-manager mfa-enforcement list-excluded-audience \
  --id <идентификатор_политики>

    Результат:

    +----------------------+---------------+
|          ID          |     TYPE      |
+----------------------+---------------+
| aje0j5mts02t******** | federatedUser |
+----------------------+---------------+

Воспользуйтесь методом REST API ListExcludedAudience для ресурса MfaEnforcement или вызовом gRPC API MfaEnforcementService/ListExcludedAudience.

См. также

Предыдущая
Применить политику MFA к пользователям
Следующая
Изменить политику MFA