Как внедрить двухфакторную аутентификацию в компании: пошаговый план — Контур.Эгида

Как внедрить двухфакторную аутентификацию в компании: пошаговый план

30 июня 2026

Двухфакторная аутентификация в компании не включается одной кнопкой. Нужно определить, какие системы защищать, выбрать метод, развернуть инфраструктуру, подключить сотрудников волнами и измерить результат. В статье — план из четырех шагов: от аудита до контроля метрик.

Фотография Игорь Суставов Игорь Суставов Менеджер проектов по внедрению

Зачем компании внедрять двухфакторную аутентификацию

Любой сотрудник — потенциальная точка входа для атаки. Фишинговые письма, подбор пароля, перехват данных в открытых Wi-Fi сетях, покупка учетных записей в базах утечек — есть разные способы украсть пароль. 2FA добавляет второй рубеж: даже если пароль украли, войти в аккаунт не получится — нужен код с телефона, токен или другое подтверждение легитимности входа.

Компании, внедрившие 2FA, практически исключают риск несанкционированного доступа через взломанные учетные записи. Это снижает финансовые и репутационные потери, упрощает анализ инцидентов и прохождение аудитов.

Риски и требования регуляторов диктуют разный уровень защиты для разных групп сотрудников. Таблица показывает, кто подключается в первую очередь и с какими методами.

Приоритет Категория сотрудников Рекомендуемый метод

Высший

Привилегированные учетные записи: администраторы доменов и серверов, DevOps, ИТ-инженеры с доступом к гипервизору и системам бэкапов

Аппаратные токены или TOTP на отдельном устройстве

Высокий

Доступ к финансам и ЭЦП: директор, главный бухгалтер, казначейство, сотрудники с правом подписи

TOTP или push-уведомления

Высокий

Доступ к персональным данным: HR (база сотрудников), отдел по работе с клиентами (ПДн клиентов), юристы

TOTP или push-уведомления

Средний

Удаленные и выездные сотрудники: менеджеры в командировках, сотрудники на больничном, работающие из дома, а также подрядчики

TOTP (предпочтительно) или push-уведомления

Базовый

Остальные сотрудники, работающие только из офиса без доступа к финансам и ПДн

TOTP или push-уведомления

С чего начать внедрение 2FA в организации

Внедрение двухфакторной аутентификации начинается с трех шагов. Сначала стоит определить, какие системы и учетные записи требуют защиты и совместимы ли они с 2FA. Затем — выбрать метод подтверждения. И наконец — определиться с моделью развертывания: облачная для скорости и небольшого бюджета или аппаратная под требования регуляторов. Про каждый шаг — ниже. 

Провести аудит перед внедрением двухфакторной аутентификации

Аудит начинается с ответа на два вопроса: что защищать. Составьте список всех корпоративных систем, куда пользователи входят по паролю: почта, файловые серверы, CRM, внутренние порталы, облачные сервисы, VPN, удаленный доступ к рабочим столам. Добавьте сюда же сервисные и технические учетные записи — их часто упускают.

Отметьте системы, работающие с персональными данными, финансами или коммерческой тайной. Определите критичные серверы и приложения — они подключаются в первую очередь. Оцените количество пользователей, администраторов и привилегированных учетных записей.

Заодно проверьте техническую совместимость каждой системы с потенциальным решением 2FA. Результат аудита — два списка: системы для немедленного подключения и системы, которые потребуют доработки или замены для интеграции с 2FA.

Выбрать способ двухфакторной аутентификации для компании

Выбор зависит от потенциальных угроз, бюджета и того, насколько сотрудники готовы к новому. Пожалуй, самый удобный и распространенный — TOTP через приложение-аутентификатор. Это бесплатно, работает без интернета после первичной настройки.

Аппаратные токены — USB-ключи и смарт-карты. Они дороже и сложнее в развертывании, но дают максимальный уровень безопасности и часто требуются по нормативным требованиям.

SMS и push-уведомления — самые простые для пользователя, но менее надежны из-за риска перехвата и SIM-свопинга.

Для большинства компаний оптимальна комбинация: основная масса пользуется TOTP, администраторы и удаленщики — плюс аппаратные токены по необходимости.

Определиться с моделью развертывания: облачная или аппаратная 2FA

Два подхода к развертыванию двухфакторной аутентификации различаются по скорости, затратам и требованиям. Таблица помогает выбрать вариант под свои задачи.

Параметр Облачная 2FA Аппаратная 2FA (USB-токены, смарт-карты)

Развертывание

Быстрое, не требует покупки серверов и их обслуживания

Требует установки софта и серверной части для управления токенами

Затраты

Оплата за пользователя в месяц — от 100 до 400 рублей

Разовая покупка токена — от 1 500 до 5 000 рублей за пользователя

Кому подходит

Малому и среднему бизнесу, где важны скорость и удобство

Крупным компаниям с высокими требованиями к безопасности

Обязательные требования

Отсутствуют (кроме желания упростить внедрение)

Работа с гостайной или соблюдение приказов ФСТЭК № 239 и № 235

Универсальный вариант — гибридная модель: облачное решение для повседневной работы и аппаратные ключи для администраторов и критичных систем.

Пошаговый план внедрения 2FA в компании

Шаг 1. Приказ о внедрении двухфакторной аутентификации

Генеральный директор подписывает приказ, который делает 2FA обязательной для всех сотрудников. Без этого документа персонал может проигнорировать новые правила, а регулятор — оштрафовать при проверке.

Что прописать в приказе:

  • Основание — ссылка на внутренние документы (политика ИБ, результаты аудита). При необходимости — на требования ФСТЭК (приказы № 21, № 239) или Федеральный закон № 152-ФЗ.
  • Сроки — конкретные даты для каждой категории: администраторы, сотрудники с доступом к финансам и персональным данным, остальные (включая удаленных).
  • Исключения — перечень сервисных учетных записей или должностей, временно освобожденных от 2FA, с обоснованием и компенсирующими мерами. Пример: «Учетная запись интеграции с контрагентом. 2FA технически невозможна. Компенсация: ограничение по IP и сертификат клиента».
  • Ответственные — конкретные сотрудники с указанием ФИО и должностей: за внедрение, обучение, поддержку, контроль.
  • Порядок ознакомления — под подпись или через внутреннюю почту / портал с фиксацией прочтения.

Зачем нужен приказ: предоставляет право блокировать доступ сотрудникам, не подключившим 2FA в установленный срок; подтверждает регулятору принятые меры защиты; исключает споры с персоналом о факте предупреждения.

Шаг 2. Подготовка и настройка инфраструктуры (1–2 недели)

На этом этапе создается техническая база для внедрения 2FA. Без нее последующие шаги могут привести к сбоям.

Что сделать:

Развернуть серверную часть (если выбрали on‑premise) или подключить облачный сервис. Под on‑premise потребуется отдельный сервер — физический или виртуальный под управлением Windows Server 2019/2022 или Linux (Ubuntu 20.04+, Debian 11+, Astra Linux).

Параметр On‑Premise (серверная версия) Адаптеры и облачная версия

Центральный процессор (CPU)

4 ядра

2 x 1 ГГц

Оперативная память (RAM)

10 ГБ

256 МБ

Дисковое пространство (HDD / SSD)

230 ГБ (HDD)

20 ГБ (SSD, с запасом под логи)

Операционная система

Зависит от инфраструктуры

Windows 10+, Server 2012+, Linux

Для промышленной эксплуатации ресурсы увеличиваются пропорционально числу пользователей и систем.

Настроить интеграцию с Active Directory и LDAP. Подключение 2FA к AD/LDAP защищает учетные записи централизованно. В случае ADFS или Microsoft Entra ID подключается адаптер двухфакторной аутентификации. Для обычного LDAP настройка выполняется через RADIUS — шлюз, преобразующий LDAP-запрос в двухфакторный.

Подготовить политики аутентификации. В консоли управления задаются методы для каждой группы. Пример: для менеджеров — TOTP, для администраторов — аппаратные токены.

Создать резервные пути доступа. Для облачной версии каждому пользователю генерируются 8–10 одноразовых кодов восстановления. Процесс восстановления безопаснее автоматизировать через веб-интерфейс, например, с подтверждением по резервной электронной почте. Для критичных учетных записей коды можно хранить в зашифрованном виде в корпоративном хранилище паролей.

Результат шага: готовая инфраструктура, интеграция с AD/LDAP, настроенные политики и система резервных путей доступа.

Шаг 3. Пилотный запуск на контрольной группе (3–5 дней)

Пилот нужен, чтобы выявить проблемы на малом количестве пользователей, а не на всей компании.

Кого подключать? Идеальный состав: 2–3 ИТ-администратора, 2–3 разработчика, бухгалтер, менеджер по продажам, HR, руководитель отдела, удаленный сотрудник. У каждого из них разные сценарии работы.

Что проверять в пилоте: 

  • Процесс регистрации: легко ли отсканировать QR-код, приходит ли код. 
  • Вход в каждую защищенную систему: почта, CRM, VPN, внутренние порталы. 
  • Восстановление доступа: если сотрудник потерял телефон или удалил приложение, срабатывает ли резервный код. 
  • Работу на разных устройствах: Windows, macOS, iOS, Android. 
  • Совместимость с приложениями: настольные приложения Outlook, корпоративные мессенджеры), веб-интерфейсы и мобильные приложения.

Что делать с найденными проблемами? Завести любой трекер, таблицу или чат и каждую проблему классифицировать: 

  • Критическая (никто не может войти) — остановить пилот, исправить немедленно. 
  • Значимая (неудобно, но работает) — исправить до масштабирования. 
  • Косметическая (непривычный интерфейс) — учесть в обучении.

Результат шага: конфигурация, готовая к масштабированию. Четкое понимание, сколько времени занимает подключение одного сотрудника.

Шаг 4. Поэтапное подключение групп (2–4 недели)

После пилота 2FA разворачивается на всех сотрудниках, но не одновременно, а волнами. Правильная последовательность:

  1. Администраторы и привилегированные учетные записи (5–10% сотрудников, 1–2 дня). ИТ-администраторы, DevOps, пользователи с правами администратор домена. Им нужен самый строгий второй фактор — аппаратные токены или TOTP с обязательной регистрацией на отдельном устройстве.
  2. Удаленные сотрудники и часто выезжающие (следующие 2–3 дня). Они работают из незащищенных сетей, поэтому 2FA для них критична. Убедитесь, что у них есть стабильный доступ к интернету и резервный канал, например SIM-карта другого оператора.
  3. По отделам (по 2–3 дня на отдел). Начать с финансового и бухгалтерии — там больше всего утечек. Затем продажи, закупки, HR. Производственные отделы и склад — в последнюю очередь, если они работают только во внутренней сети.

Альтернативный подход — настраивать вход с 2FA по категориям сервисов. Сначала корпоративная почта (все сотрудники), потом VPN и удаленный доступ, затем CRM и внутренние порталы. Такой вариант проще в настройке, но создает разрыв: человек входит в почту с 2FA, а в CRM — без.

Что делать перед подключением каждой группы: 

  • За 2 дня отправить инструкцию (текст + видео на 2 минуты). 
  • Назначить ответственного в отделе (обычно руководитель или его заместитель), который поможет коллегам. 
  • Выделить время на техподдержку: чат или телефон в первые 4 часа после подключения.

Результат шага: 100% сотрудников подключены к 2FA хотя бы для одного сервиса. Количество обращений в поддержку упало до единичных в день.

Шаг 5. Контроль и доводка

Внедрение не заканчивается с подключением последнего сотрудника. Нужно поддерживать систему в рабочем состоянии и постоянно улучшать. Какие метрики собирать и отслеживать:

Метрика Что измеряется Норма

Покрытие 2FA

Доля активных учеток с включенной 2FA

100% для критичных систем, >95% для всех

Успешные входы

Процент входов, прошедших со второго фактора

>99,5%

Отказы по вине пользователя

Неправильно введенный код, потеря доступа

<2% от всех входов

Время восстановления

От первого звонка в поддержку до сброса 2FA

Нормы могут быть разные, главное, чтобы восстановление было приоритетной задачей ИБ-отдела

Количество сбросов

Сколько раз администратор сбрасывал 2FA за месяц

Зависит от численности; допустимо 1-2% от всех учеток

Операционные действия по событию:

  • При увольнении сотрудника — отключить учетную запись от 2FA в момент блокировки доступа к корпоративным системам. Резервные коды аннулируются автоматически.
  • При приеме нового сотрудника — подключить к 2FA в первый рабочий день, до выдачи основных доступов.

Регулярные действия по расписанию:

  • Раз в неделю — просмотр логов неудачных входов. Если один сотрудник часто ошибается — провести повторное обучение. Если массово — проблема в настройках или инструкции.
  • Раз в месяц — сверка списка учетных записей с кадровой системой для контроля. Выборочная проверка, что уволенные действительно отключены, а новые подключены.
  • Раз в квартал — пересмотр политик: добавить новые сервисы, пересмотреть допустимые методы, провести аудит привилегированных учетных записей.

Результат шага: 2FA работает, сотрудники привыкли к новым правилам, поддержка справляется. Компания готова к проверкам регуляторов и может подтвердить выполнение требований к защите учетных данных.

Как обучить сотрудников работе с двухфакторной аутентификацией

Без предварительной подготовки количество обращений в ИТ-поддержку в первые дни после включения 2FA сильно вырастает. Снизить нагрузку помогают два документа.

Инструкция для пользователя. Печатный лист или PDF без технических терминов. Содержание: зачем нужна 2FA, как установить приложение-аутентификатор, как отсканировать QR-код, как входить в систему с обычным кодом.

Памятка по нештатным ситуациям. Короткий список действий для случаев, когда обычный вход невозможен:

  • Телефона нет под рукой → обратиться к администратору для временного отключения 2FA.
  • Телефон потерян или токен сломался → использовать резервные коды. Если кодов нет — обратиться во внутреннюю техподдержку, она сбросит 2FA.

Два документа снижают нагрузку на поддержку, но полностью исключить обращения не удается. Статистически в первые три рабочих дня после массового включения 2FA поступает до 5% обращений от числа подключенных сотрудников. Поддержку следует подготовить к пиковой нагрузке в этот период.

Каналы поддержки и типовые инциденты

На период активного развертывания стоит организовать выделенный канал для вопросов — в мессенджере или по отдельной горячей линии. Это снижает время решения проблем. Типовые сценарии и их решение:

Сценарий Вероятная причина Действие

Не приходит SMS или код в приложении

Проблемы со связью или у оператора

Проверить покрытие, перезагрузить телефон, запросить повторную отправку 

TOTP-код или push-уведомление приходит, но не работает

Сбой синхронизации времени на телефоне

Включить автоматическую установку времени. Если не помогает — синхронизировать вручную через NTP или переустановить приложение

Потеря телефона, удаление приложения, поломка токена

Утрачен второй фактор

Для облачной версии — использовать резервные коды. При их отсутствии — администратор сбрасывает 2FA после подтверждения личности (звонок администратору, личная встреча)

Ошибки при внедрении двухфакторной аутентификации и как их избежать

Пропустить этап аудита. Без полного перечня систем и учетных записей 2FA оставляет дыры. Теневые ИТ-системы (например, старый FTP-сервер или тестовая CRM) остаются без защиты. Устаревшие протоколы на legacy-оборудовании могут не поддерживать 2FA — это выясняется только на этапе подключения. Аудит должен дать не просто список, а матрицу: система → протокол → совместимость с 2FA → приоритет подключения.

Не иметь плана отката. Если после обновления сервера 2FA перестала работать, отключить ее нужно в течение часа, а не недели. План отката — это не «выключили и все». Это документ с временными рамками, ответственными и триггерами: при каком уровне ошибок запускать откат, кто принимает решение. Протестировать откат на пилотной группе обязательно. Иначе при реальном сбое сотрудники останутся без доступа на несколько дней.

Не иметь резервных путей доступа. Резервные коды нужны каждому сотруднику для ситуаций, когда он потерял доступ к своему второму фактору: сломался токен, телефон разрядился или был сброшен до заводских настроек. Без резервных кодов администратор вынужден сбрасывать 2FA вручную, а сотрудник ждать, пока это сделают.

Внедрять 2FA без поддержки руководства. Если директор входит без второго фактора, через месяц все сотрудники узнают об этом и найдут способ обойти 2FA. Исключения для первых лиц создают прецедент. Альтернатива — не отключать 2FA, а выбрать удобный метод: push-уведомления или биометрию на смартфоне. Руководство соблюдает те же правила, что и все.

Как измерить эффективность внедренной двухфакторной аутентификации

Можно измерить по трем показателям:

  1. Покрытие. Процент пользователей и систем, защищенных 2FA. Цель — 100% для критичных систем и привилегированных учетных записей.
  2. Количество инцидентов. Сравните количество взломанных учетных записей до и после внедрения 2FA. Если было 2–3 инцидента в год — после должно стать 0.
  3. Время восстановления. Как быстро пользователь или администратор может восстановить доступ, если потерял второй фактор.

Плюс косвенные эффекты: пройденные проверки регуляторов, отсутствие штрафов за утечку данных, спокойствие руководства.

Заключение

Хотите защитить доступы уже сегодня —- выделите время на пилотный проект. Тестирование двухфакторной аутентификации от Контур.Эгиды не требует выделенного специалиста и долгой настройки. За несколько часов можно закрыть самые уязвимые точки входа: интернет-банк, корпоративную почту, удаленные рабочие места. Менеджеры по внедрению и техподдержка помогут на всех этапах — от развертывания до ответов на вопросы.

Фотография Игорь Суставов Игорь Суставов Менеджер проектов по внедрению
Узнайте, как сотрудники относятся к информационной безопасности и защищают ресурсы компании
Подписаться

Узнайте, как сотрудники относятся к информационной безопасности и защищают ресурсы компании
Пришлем ссылку на результаты исследований о человеческом факторе в ИБ на почту, которую вы указали
Подписаться