Управление файлами cookie, которые используются для рекламы, таких как персонализация рекламы, ремаркетинг и анализ эффективности рекламы.
4.4.2. Двухэтапная аутентификация для почты
Внимание!
Только для корпоративной почты.Двухэтапная аутентификация позволяет повысить уровень безопасности при доступе к почтовому ящику через WebMail.Online.
При использовании двухэтапной аутентификации
flowchart LR
user([👤 Пользователь])
wo(📧 WebMail.Online)
wc(✉️ WebMail classic)
mc(📱 Сторонние
почтовые клиенты) scr(#️⃣ Скрипты) lp[/Логин + основной пароль/] ga[🔢 Код GAuth] wa[🔑 Ключ доступа WebAuthn] cp[Вход без логина и пароля
через панель управления] ap[/Логин + пароль приложения/] mb([📬 Почтовый ящик]) user-->wo wo-->lp lp-->ga & wa wo-->|Если включён вход без пароля|wa ga & wa-->mb wo-.-xcp cp-.-xmb user-->wc wc-.-xcp wc-->ap ap--->mb user-->mc mc-->ap scr-->ap
почтовые клиенты) scr(#️⃣ Скрипты) lp[/Логин + основной пароль/] ga[🔢 Код GAuth] wa[🔑 Ключ доступа WebAuthn] cp[Вход без логина и пароля
через панель управления] ap[/Логин + пароль приложения/] mb([📬 Почтовый ящик]) user-->wo wo-->lp lp-->ga & wa wo-->|Если включён вход без пароля|wa ga & wa-->mb wo-.-xcp cp-.-xmb user-->wc wc-.-xcp wc-->ap ap--->mb user-->mc mc-->ap scr-->ap
- В разделе «Почтовые ящики» нельзя входить без пароля в WebMail.Online и WebMail classic — вместо кнопки входа выводится прочерк.
- Вход в WebMail.Online — только с основным паролем и кодом двухэтапной аутентификации или ключом доступа.
- Вход в WebMail classic — только с паролем приложения (если включены).
- Подключение к почтовому ящику с помощью скриптов и других почтовых клиентов — только с паролем приложения (если включены).
Настройка
GAuth
Важные моменты:
- Для корректной работы двухэтапной аутентификации через приложение-аутентификатор время на мобильном устройстве с приложением должно в точности совпадать с текущим временем сервера. Если оно не совпадает, нужно в приложении перейти в раздел «Еще → Настройки → Коррекция времени для кодов» и нажать «Синхронизировать».
- При включении двухэтапной аутентификации сбрасываются все активные сессии с основным паролем.
- Войдите в почтовый ящик с помощью WebMail.Online.
- Откройте раздел «Настройки → Безопасность».
- В блоке «GAuth» нажмите «Включить».
- Установите на мобильное устройство приложение-аутентификатор:
- В приложении отсканируйте QR-код или введите расположенный под ним секретный ключ вручную.
- Введите код двухэтапной аутентификации, который будет сгенерирован приложением, и нажмите «Подтвердить».
WebAuthn
Важные моменты:
- WebAuthn можно использовать как для двухэтапной аутентификации, так и для входа без пароля.
- Некоторые устройства могут не поддерживать WebAuthn, например устройства с устаревшими версиями операционных систем, отдельные модели смартфонов Xiaomi, OnePlus и др.
- Для каждого почтового ящика на одном устройстве (или в одном хранилище) может хранится только один ключ доступа.
- В Windows для локального хранения ключей доступа для учётной записи на устройстве должен быть обязательно настроен ПИН-код (одного пароля недостаточно), при наличии соответствующего оборудования также можно использовать сканер отпечатков пальцев или распознавание лиц.
- На Android ключи безопасности хранятся в менеджере паролей Google и синхронизируются между устройствами. Просмотреть список сохранённых ключей доступа, отредактировать их или удалить можно в менеджере паролей: на Android — «Настройки → Google → Автозаполнение → Автозаполнение от Google → Пароли», в браузере — «Google Аккаунт → Безопасность → Сохранённые пароли → Менеджер паролей».
- На iPhone ключи безопасности хранятся в «Связке ключей iCloud» и синхронизируются между устройствами. Просмотреть список сохранённых ключей доступа, отредактировать их или удалить можно в разделе «Настройки → Пароли».
- Устройства на Android и iPhone могут выступать посредниками — сохранять и считывать ключи доступа с подключённых аппаратных USB- или NFC-ключей.
- В менеджере паролей Bitwarden сохранение и использование ключей доступа возможно только через браузерное расширение.
- Войдите в почтовый ящик с помощью WebMail.Online.
- Откройте раздел «Настройки → Безопасность».
- В блоке «WebAuthn» нажмите «Настроить».
- Введите произвольное название устройства, на котором будете хранить ключ доступа, и нажмите «Добавить». ⚠️ Название устройства указывается только при добавлении и после этого не изменяется. Единственный способ его изменить — удалить устройство и настроить повторно.
- Зарегистрируйте новый ключ доступа:ПИН-код (должен быть предварительно настроен в системе):
- В окне «Подтверждение вашей личности» выберите «ПИН-код» (или «Это устройство с Windows → ПИН-код»).
- Введите установленный в системе ПИН-код и нажмите Enter
- В случае успеха появится окно «Ключ доступа сохранён».
Ключ безопасности (аппаратный USB-ключ, например YubiKey):
- В окне «Подтверждение вашей личности» выберите «Использовать другое устройство → Ключ безопасности».
- В окне «Настройка ключа безопасности» нажмите «ОК».
- В окне «Продолжить установку» нажмите «ОК».
- Вставьте аппаратный ключ и нажмите кнопку на нём.
- В случае успеха появится окно «Ключ доступа сохранён».
Устройство iPhone, iPad или Android:
- В окне «Подтверждение вашей личности» выберите «Использовать другое устройство → Устройство iPhone, iPad или Android».
- Отсканируйте устройством QR-код.
- На устройстве будет выведено предложение запомнить его, чтобы каждый раз не сканировать QR-код, — выберите нужный вам вариант.
- После подключения устройства на нём появится информация о том, для какого сайта и в каком аккаунте будет сохранён ключ доступа, — нажмите «Продолжить».
- Используйте на устройстве блокировку экрана для подтверждения сохранения ключа.
- В случае успеха появится окно «Ключ доступа сохранён».
- На устройстве появится информация о том, для какого сайта и в каком аккаунте будет сохранён ключ доступа, — нажмите «Продолжить».
- Используйте на устройстве блокировку экрана для подтверждения сохранения ключа.
- В случае успеха появится окно «Ключ доступа сохранён».
- В окне расширения «Выберите логин, для которого будет сохранён ключ доступа» выберите запись, для которой нужно сохранить ключ доступа, и нажмите «Сохранить ключ доступа» (или создайте новую запись, если в хранилище нет совпадений).
- Если для выбранной записи уже существует ключ доступа, подтвердите его перезапись (обязательно удостоверьтесь, что вы не перезаписываете нужный ключ доступа).
- (Необязательно) Если вы хотите входить по ключу доступа без ввода пароля, в блоке «WebAuthn» нажмите «Настроить» и в строке с нужным устройством включите опцию «Вход без пароля».
Отключение
Двухэтапная аутентификация может быть отключена пользователем почтового ящика через интерфейс WebMail.Online (при наличии доступа) или сброшена администратором почтового домена через панель управления.
WebMail.Online
- Войдите в почтовый ящик с помощью WebMail.Online.
- Откройте раздел «Настройки → Безопасность».
- Отключите двухэтапную аутентификацию:
- Для GAuth — в блоке «GAuth» нажмите «Отключить» и подтвердите операцию кнопкой в окне.
- Для WebAuthn — в блоке «WebAuthn» нажмите «Настроить» и удалите устройства из списка.
Панель управления
Администратор почтового домена может сбросить двухэтапную аутентификацию через меню почтового ящика в разделе «Почтовые ящики» (пункт меню выводится только для почтовых ящиков с включённой двухэтапной аутентификацией).
При сбросе для почтового ящика отключаются все настроенные методы двухэтапной аутентификации и в этот почтовый ящик отправляется письмо о том, что двухэтапная аутентификация была сброшена администратором почтового домена.
(1)