Plánování nasazení služby Azure Active Directory Multi-Factor Authentication

Vícefaktorové ověřování Azure Active Directory (Azure AD) pomáhá chránit přístup k datům a aplikacím a poskytuje další vrstvu zabezpečení pomocí druhé formy ověřování. Organizace můžou povolit vícefaktorové ověřování (MFA) s podmíněným přístupem, aby řešení vyhovovalo jejich konkrétním potřebám.

V tomto průvodci nasazením se dozvíte, jak naplánovat a implementovat zavedení vícefaktorového ověřování Azure AD.

Požadavky pro nasazení vícefaktorového ověřování Azure AD

Než začnete s nasazením, ujistěte se, že splňujete následující požadavky pro příslušné scénáře.

Scenario Požadavek
Výhradně cloudové prostředí identit s moderním ověřováním Žádné požadované úlohy
Scénáře hybridní identity Nasaďte Azure AD Connect a synchronizujte identity uživatelů mezi službami místní Active Directory Domain Services (AD DS) a Azure AD.
Místní starší verze aplikací publikovaných pro přístup ke cloudu Nasazení Azure AD proxy aplikací

Volba metod ověřování pro MFA

Existuje mnoho metod, které se dají použít pro dvojúrovňové ověřování. Můžete si vybrat ze seznamu dostupných metod ověřování a vyhodnotit je z hlediska zabezpečení, použitelnosti a dostupnosti.

Důležité

Povolte více než jednu metodu MFA, aby uživatelé měli k dispozici metodu zálohování pro případ, že jejich primární metoda není k dispozici. Mezi metody patří:

Při volbě metod ověřování, které se budou používat ve vašem tenantovi, zvažte zabezpečení a použitelnost těchto metod:

Volba vhodné metody ověřování

Další informace o síle a zabezpečení těchto metod a o tom, jak fungují, najdete v následujících zdrojích informací:

Pomocí tohoto skriptu PowerShellu můžete analyzovat konfigurace vícefaktorového ověřování uživatelů a navrhnout vhodnou metodu ověřování MFA.

Pro zajištění nejlepší flexibility a použitelnosti použijte aplikaci Microsoft Authenticator. Tato metoda ověřování poskytuje nejlepší uživatelské prostředí a několik režimů, jako je bezheslová, nabízená oznámení MFA a kódy OATH. Aplikace Microsoft Authenticator také splňuje požadavky ověřovacího ověřování úrovně 2 institutu NIST (National Institute of Standards and Technology).

Můžete řídit metody ověřování dostupné ve vašem tenantovi. Můžete například chtít zablokovat některé z nejméně bezpečných metod, jako je SMS.

Metoda ověřování Spravovat z Vymezení problému
Microsoft Authenticator (nabízené oznámení a přihlašování telefonem bez hesla) Nastavení vícefaktorového ověřování nebo zásady metod ověřování Ověřování přihlašování telefonem bez hesla může být omezené na uživatele a skupiny.
Klíč zabezpečení FIDO2 Zásady metod ověřování Je možné nastavit obor na uživatele a skupiny.
Softwarové nebo hardwarové tokeny OATH Nastavení vícefaktorového ověřování
Ověření pomocí SMS Nastavení vícefaktorového ověřování Správa přihlašování přes SMS pro primární ověřování v zásadách ověřování Přihlašování přes SMS je možné omezit na uživatele a skupiny.
hlasové hovory Zásady metod ověřování

Plánování zásad podmíněného přístupu

Azure AD vícefaktorové ověřování se vynucuje pomocí zásad podmíněného přístupu. Tyto zásady umožňují vyzvat uživatele k vícefaktorovým ověřováním, pokud je to potřeba z důvodu zabezpečení, a v případě potřeby se držet mimo cestu.

Koncepční tok procesu podmíněného přístupu

V Azure Portal nakonfigurujete zásady podmíněného přístupu v částiPodmíněný přístupzabezpečení>služby Azure Active Directory>.

Další informace o vytváření zásad podmíněného přístupu najdete v tématu Zásady podmíněného přístupu, které při přihlášení uživatele k Azure Portal zobrazí výzvu k vícefaktorovému ověřování Azure AD. To vám pomůže:

  • Seznámení s uživatelským rozhraním
  • Získejte první představu o tom, jak podmíněný přístup funguje

Kompletní pokyny k nasazení podmíněného přístupu Azure AD najdete v tématu Plán nasazení podmíněného přístupu.

Běžné zásady pro Azure AD Vícefaktorové ověřování

Mezi běžné případy použití, které vyžadují Azure AD vícefaktorové ověřování, patří:

Pojmenovaná umístění

Pokud chcete spravovat zásady podmíněného přístupu, podmínka umístění zásad podmíněného přístupu umožňuje spojit nastavení řízení přístupu se síťovými umístěními vašich uživatelů. Doporučujeme používat pojmenovaná umístění , abyste mohli vytvořit logická seskupení rozsahů IP adres nebo zemí a oblastí. Tím se vytvoří zásada pro všechny aplikace, která blokuje přihlášení z tohoto pojmenovaného umístění. Nezapomeňte z této zásady vyloučit správce.

Zásady na základě rizik

Pokud vaše organizace k detekci rizikových signálů používá Azure AD Identity Protection, zvažte použití zásad založených na rizicích místo pojmenovaných umístění. Zásady je možné vytvořit tak, aby vynutily změny hesla, když hrozí ohrožení identity, nebo aby vyžadovaly vícefaktorové ověřování, když se přihlášení považuje za ohrožené , jako jsou uniklé přihlašovací údaje, přihlášení z anonymních IP adres a další.

Mezi zásady rizik patří:

Převod vícefaktorového ověřování uživatelů na vícefaktorové ověřování založené na podmíněném přístupu

Pokud vaši uživatelé povolili vícefaktorové ověřování s povoleným a vynuceným vícefaktorovým ověřováním pro jednotlivé uživatele, může vám s převodem na vícefaktorové ověřování založené na podmíněném přístupu pomoct následující PowerShell.

Spusťte tento PowerShell v okně ISE nebo ho .PS1 uložte jako soubor a spusťte ho místně. Operaci lze provést pouze pomocí modulu MSOnline.

# Sets the MFA requirement state
function Set-MfaState {
    [CmdletBinding()]
    param(
        [Parameter(ValueFromPipelineByPropertyName=$True)]
        $ObjectId,
        [Parameter(ValueFromPipelineByPropertyName=$True)]
        $UserPrincipalName,
        [ValidateSet("Disabled","Enabled","Enforced")]
        $State
    )
    Process {
        Write-Verbose ("Setting MFA state for user '{0}' to '{1}'." -f $ObjectId, $State)
        $Requirements = @()
        if ($State -ne "Disabled") {
            $Requirement =
                [Microsoft.Online.Administration.StrongAuthenticationRequirement]::new()
            $Requirement.RelyingParty = "*"
            $Requirement.State = $State
            $Requirements += $Requirement
        }
        Set-MsolUser -ObjectId $ObjectId -UserPrincipalName $UserPrincipalName `
                     -StrongAuthenticationRequirements $Requirements
    }
}
# Disable MFA for all users
Get-MsolUser -All | Set-MfaState -State Disabled

Plánování životnosti uživatelských relací

Při plánování nasazení vícefaktorového ověřování je důležité zamyslet se nad tím, jak často chcete zobrazovat výzvy uživatelům. Požádat uživatele o přihlašovací údaje se často zdá být rozumné, ale může se vymstít. Pokud jsou uživatelé vycvičeni k zadávání přihlašovacích údajů bez přemýšlení, můžou je neúmyslně zadat do výzvy k zadání přihlašovacích údajů se zlými úmysly. Azure AD má několik nastavení, která určují, jak často je potřeba znovu ověřovat. Seznamte se s potřebami vaší firmy a uživatelů a nakonfigurujte nastavení, která zajistí nejlepší rovnováhu pro vaše prostředí.

Doporučujeme používat zařízení s primárními obnovovacími tokeny (PRT) pro lepší prostředí koncového uživatele a zkrátit dobu života relace pomocí zásad četnosti přihlašování pouze v konkrétních obchodních případech použití.

Další informace najdete v tématu Optimalizace výzev k opětovnému ověření a vysvětlení doby života relace pro Azure AD Multi-Factor Authentication.

Plánování registrace uživatelů

Hlavním krokem při každém nasazení vícefaktorového ověřování je registrace uživatelů pro použití Azure AD Multi-Factor Authentication. Metody ověřování, jako je hlas a SMS, umožňují předběžnou registraci, zatímco jiné metody, jako je aplikace Authenticator, vyžadují interakci uživatele. Správci musí určit, jak uživatelé budou své metody registrovat.

Kombinovaná registrace pro SSPR a Azure AD MFA

Poznámka

Od 15. srpna 2020 se všem novým tenantům Azure AD automaticky povolí kombinovaná registrace. Tenanti vytvoření po tomto datu nebudou moct využívat starší pracovní postupy registrace. Po 30. září 2022 se všem stávajícím tenantům Azure AD automaticky povolí kombinovaná registrace.

Pro Azure AD Multi-Factor Authentication a samoobslužné resetování hesla (SSPR) doporučujeme organizacím používat kombinované prostředí registrace. SSPR umožňuje uživatelům bezpečně resetovat heslo pomocí stejných metod, které používají pro Azure AD Multi-Factor Authentication. Kombinovaná registrace je jediným krokem pro koncové uživatele. Pokud chcete mít jistotu, že rozumíte funkcím a prostředí pro koncové uživatele, projděte si téma Koncepty kombinované registrace informací o zabezpečení.

Je důležité informovat uživatele o nadcházejících změnách, požadavcích na registraci a všech nezbytných akcích uživatele. Poskytujeme šablony komunikace a uživatelskou dokumentaci , abychom připravili uživatele na nové prostředí a pomohli zajistit úspěšné zavedení. Kliknutím na odkaz Bezpečnostní údaje na této stránce odešlete uživatele na https://myprofile.microsoft.com adresu, na které se chtějí zaregistrovat.

Registrace pomocí Služby Identity Protection

Azure AD Identity Protection přispívá k Azure AD Multi-Factor Authentication zásadami registrace i zásadami automatizované detekce rizik a nápravy. Můžete vytvořit zásady, které vynucují změny hesel v případě, že hrozí ohrožení identity, nebo vyžadují vícefaktorové ověřování, když se přihlášení považuje za rizikové. Pokud používáte Azure AD Identity Protection, nakonfigurujte zásadu registrace vícefaktorového ověřování Azure AD tak, aby při příštím interaktivním přihlášení zobrazila uživatelům výzvu k registraci.

Registrace bez služby Identity Protection

Pokud nemáte licence, které umožňují Azure AD Identity Protection, zobrazí se uživatelům výzva k registraci při příštím přihlášení. Pokud chcete, aby uživatelé používali vícefaktorové ověřování, můžete použít zásady podmíněného přístupu a zaměřit se na často používané aplikace, jako jsou systémy personálního oddělení. Pokud dojde k ohrožení hesla uživatele, může se použít k registraci vícefaktorového ověřování a převzetí kontroly nad jeho účtem. Proto doporučujeme zabezpečit proces registrace zabezpečení pomocí zásad podmíněného přístupu , které vyžadují důvěryhodná zařízení a umístění. Tento proces můžete dále zabezpečit také tím, že budete vyžadovat dočasné přístupové heslo. Časově omezené heslo vydané správcem, které splňuje požadavky na silné ověřování a lze ho použít k onboardingu dalších metod ověřování, včetně těch bez hesla.

Zvýšení zabezpečení registrovaných uživatelů

Pokud máte uživatele zaregistrované pro vícefaktorové ověřování pomocí SMS nebo hlasových hovorů, můžete je přesunout na bezpečnější metody, jako je aplikace Microsoft Authenticator. Microsoft teď nabízí funkci ve verzi Public Preview, která umožňuje vyzvat uživatele k nastavení aplikace Microsoft Authenticator během přihlašování. Tyto výzvy můžete nastavit podle skupin, řídit, kdo se zobrazí, a povolit cílené kampaně, aby se uživatelé přesunuli na bezpečnější metodu.

Scénáře plánování obnovení

Jak už jsme zmínili, ujistěte se, že uživatelé jsou zaregistrovaní pro více než jednu metodu MFA, aby v případě nedostupnosti měli zálohu. Pokud uživatel nemá k dispozici metodu zálohování, můžete:

  • Poskytněte mu dočasné přístupové heslo, aby mohli spravovat vlastní metody ověřování. Můžete také poskytnout dočasné přístupové heslo pro povolení dočasného přístupu k prostředkům.
  • Aktualizujte své metody jako správce. Uděláte to tak, že vyberete uživatele v Azure Portal, pak vyberete Metody ověřování a aktualizujete jeho metody. Komunikace uživatelů

Plánování integrace s místními systémy

Aplikace, které se ověřují přímo pomocí Azure AD a mají moderní ověřování (WS-Fed, SAML, OAuth, OpenID Connect), můžou využívat zásady podmíněného přístupu. Některé starší a místní aplikace se neověřují přímo proti Azure AD a vyžadují další kroky k použití Azure AD Multi-Factor Authentication. Můžete je integrovat pomocí služby proxy aplikací Azure AD nebo Služby zásad sítě.

Integrace s prostředky služby AD FS

Doporučujeme migrovat aplikace zabezpečené pomocí služby Active Directory Federation Services (AD FS) (AD FS) do Azure AD. Pokud ale nejste připravení migrovat je do Azure AD, můžete použít adaptér Azure Multi-Factor Authentication se službou AD FS 2016 nebo novější.

Pokud je vaše organizace federovaná pomocí Azure AD, můžete nakonfigurovat Azure AD Multi-Factor Authentication jako poskytovatele ověřování s prostředky SLUŽBY AD FS v místním prostředí i v cloudu.

Klienti RADIUS a Azure AD Multi-Factor Authentication

Pro aplikace, které používají ověřování radius, doporučujeme přesunout klientské aplikace na moderní protokoly, jako jsou SAML, Open ID Connect nebo OAuth na Azure AD. Pokud aplikaci nelze aktualizovat, můžete nasadit server NPS (Network Policy Server) s rozšířením Azure MFA. Rozšíření serveru NPS (Network Policy Server) funguje jako adaptér mezi aplikacemi založenými na protokolu RADIUS a Azure AD MFA, které poskytuje druhý faktor ověřování.

Běžné integrace

Mnoho dodavatelů teď pro své aplikace podporuje ověřování SAML. Pokud je to možné, doporučujeme federovat tyto aplikace pomocí Azure AD a vynutit vícefaktorové ověřování prostřednictvím podmíněného přístupu. Pokud váš dodavatel nepodporuje moderní ověřování, můžete použít rozšíření NPS. Mezi běžné integrace klientů RADIUS patří aplikace, jako jsou brány vzdálené plochy a servery VPN.

Mezi další patří:

  • Citrix Gateway

    Citrix Gateway podporuje integraci rozšíření RADIUS a NPS a integraci SAML.

  • Cisco VPN

    • Cisco VPN podporuje ověřování RADIUS i SAML pro jednotné přihlašování.
    • Přechodem z ověřování RADIUS na SAML můžete integrovat síť VPN Cisco bez nasazení rozšíření NPS.
  • Všechny sítě VPN

Nasazení vícefaktorového ověřování Azure AD

Plán zavedení vícefaktorového ověřování Azure AD by měl zahrnovat pilotní nasazení následované vlnami nasazení, které jsou v rámci vaší kapacity podpory. Zahajte uvedení tím, že zásady podmíněného přístupu použijete u malé skupiny pilotních uživatelů. Po vyhodnocení vlivu na pilotní uživatele, použité procesy a chování registrace můžete do zásad přidat další skupiny nebo přidat další uživatele do existujících skupin.

Postupujte následovně:

  1. Splnění nezbytných požadavků
  2. Konfigurace zvolených metod ověřování
  3. Konfigurace zásad podmíněného přístupu
  4. Konfigurace nastavení životnosti relace
  5. Konfigurace zásad registrace vícefaktorového ověřování Azure AD

Správa vícefaktorového ověřování Azure AD

Tato část obsahuje informace o vytváření sestav a řešení potíží s Azure AD vícefaktorovým ověřováním.

Vytváření sestav a monitorování

Azure AD sestavy, které poskytují technické a obchodní přehledy, sledujte průběh nasazení a zkontrolujte, jestli se vaši uživatelé úspěšně přihlašují pomocí vícefaktorového ověřování. Požádejte vlastníky vašich obchodních a technických aplikací, aby převzali vlastnictví těchto sestav a využívali je na základě požadavků vaší organizace.

Registraci a využití metod ověřování v celé organizaci můžete monitorovat pomocí řídicího panelu Aktivity metody ověřování. To vám pomůže pochopit, jaké metody se registrují a jak se používají.

Přihlášení k sestavě pro kontrolu událostí vícefaktorového ověřování

Sestavy Azure AD přihlášení obsahují podrobnosti ověřování pro události, kdy se uživateli zobrazí výzva k vícefaktorovému ověřování a jestli se používaly nějaké zásady podmíněného přístupu. Pomocí PowerShellu můžete také hlásit uživatele zaregistrované pro Azure AD Multi-Factor Authentication.

Protokoly rozšíření NPS a AD FS pro aktivitu cloudového vícefaktorového ověřování jsou teď součástí protokolů přihlašování a už se nepublikují dosestavy aktivityvícefaktorového ověřování zabezpečení>>.

Další informace a další Azure AD sestavách vícefaktorového ověřování najdete v tématu Kontrola událostí Azure AD Multi-Factor Authentication.

Řešení potíží s vícefaktorovým ověřováním Azure AD

Běžné problémy najdete v tématu Řešení potíží s Azure AD vícefaktorovým ověřováním.

Další kroky

Nasazení dalších funkcí identit