Plánování nasazení služby Azure Active Directory Multi-Factor Authentication

  • Článek
  • 10 min ke čtení

Vícefaktorové ověřování Azure Active Directory (Azure AD) pomáhá chránit přístup k datům a aplikacím a poskytuje další vrstvu zabezpečení pomocí druhé formy ověřování. Organizace můžou povolit vícefaktorové ověřování (MFA) s podmíněným přístupem, aby řešení vyhovovalo jejich konkrétním potřebám.

V tomto průvodci nasazením se dozvíte, jak naplánovat a implementovat zavedení vícefaktorového ověřování Azure AD.

Požadavky pro nasazení vícefaktorového ověřování Azure AD

Než začnete s nasazením, ujistěte se, že splňujete následující požadavky pro příslušné scénáře.

Scenario Požadavek
Výhradně cloudové prostředí identit s moderním ověřováním Žádné požadované úlohy
Scénáře hybridní identity Nasaďte Azure AD Connect a synchronizujte identity uživatelů mezi službami místní Active Directory Domain Services (AD DS) a Azure AD.
Místní starší verze aplikací publikovaných pro přístup ke cloudu Nasazení Azure AD proxy aplikací

Volba metod ověřování pro MFA

Existuje mnoho metod, které se dají použít pro dvojúrovňové ověřování. Můžete si vybrat ze seznamu dostupných metod ověřování a vyhodnotit je z hlediska zabezpečení, použitelnosti a dostupnosti.

Důležité

Povolte více než jednu metodu MFA, aby uživatelé měli k dispozici metodu zálohování pro případ, že jejich primární metoda není k dispozici. Mezi metody patří:

Při volbě metod ověřování, které se budou používat ve vašem tenantovi, zvažte zabezpečení a použitelnost těchto metod:

Volba vhodné metody ověřování

Další informace o síle a zabezpečení těchto metod a o tom, jak fungují, najdete v následujících zdrojích informací:

Pomocí tohoto skriptu PowerShellu můžete analyzovat konfigurace vícefaktorového ověřování uživatelů a navrhnout vhodnou metodu ověřování MFA.

Pro zajištění nejlepší flexibility a použitelnosti použijte aplikaci Microsoft Authenticator. Tato metoda ověřování poskytuje nejlepší uživatelské prostředí a několik režimů, jako je bezheslová, nabízená oznámení MFA a kódy OATH. Aplikace Microsoft Authenticator také splňuje požadavky standardu NIST (National Institute of Standards and Technology) Authenticator Assurance Úrovně 2.

Můžete řídit metody ověřování dostupné ve vašem tenantovi. Můžete například chtít zablokovat některé z nejméně bezpečných metod, jako je SMS.

Metoda ověřování Spravovat z Vymezení problému
Microsoft Authenticator (nabízené oznámení a přihlašování telefonem bez hesla) Nastavení vícefaktorového ověřování nebo zásady metod ověřování Ověřování přihlašování telefonem bez hesla může být omezené na uživatele a skupiny.
Klíč zabezpečení FIDO2 Zásady metod ověřování Je možné nastavit obor na uživatele a skupiny.
Softwarové nebo hardwarové tokeny OATH Nastavení vícefaktorového ověřování
Ověření pomocí SMS Nastavení vícefaktorového ověřování
Správa přihlašování přes SMS pro primární ověřování v zásadách ověřování		 Přihlašování přes SMS je možné omezit na uživatele a skupiny.
hlasové hovory Zásady metod ověřování

Plánování zásad podmíněného přístupu

Azure AD vícefaktorové ověřování se vynucuje pomocí zásad podmíněného přístupu. Tyto zásady umožňují vyzvat uživatele k vícefaktorovým ověřováním, pokud je to potřeba z důvodu zabezpečení, a v případě potřeby se držet mimo cestu.

Koncepční tok procesu podmíněného přístupu

V Azure Portal nakonfigurujete zásady podmíněného přístupu v částiPodmíněný přístupzabezpečení>služby Azure Active Directory>.

Další informace o vytváření zásad podmíněného přístupu najdete v tématu Zásady podmíněného přístupu, které při přihlášení uživatele k Azure Portal zobrazí výzvu k vícefaktorovému ověřování Azure AD. To vám pomůže:

  • Seznámení s uživatelským rozhraním
  • Získejte první představu o tom, jak podmíněný přístup funguje

Kompletní pokyny k nasazení podmíněného přístupu Azure AD najdete v tématu Plán nasazení podmíněného přístupu.

Běžné zásady pro Azure AD Vícefaktorové ověřování

Mezi běžné případy použití, které vyžadují Azure AD vícefaktorové ověřování, patří:

Pojmenovaná umístění

Pokud chcete spravovat zásady podmíněného přístupu, podmínka umístění zásad podmíněného přístupu umožňuje spojit nastavení řízení přístupu se síťovými umístěními vašich uživatelů. Doporučujeme používat pojmenovaná umístění , abyste mohli vytvořit logická seskupení rozsahů IP adres nebo zemí a oblastí. Tím se vytvoří zásada pro všechny aplikace, která blokuje přihlášení z tohoto pojmenovaného umístění. Nezapomeňte z této zásady vyloučit správce.

Zásady na základě rizik

Pokud vaše organizace k detekci rizikových signálů používá Azure AD Identity Protection, zvažte použití zásad založených na rizicích místo pojmenovaných umístění. Zásady je možné vytvořit tak, aby vynutily změny hesla, když hrozí ohrožení identity, nebo aby vyžadovaly vícefaktorové ověřování, když se přihlášení považuje za ohrožené , jako jsou uniklé přihlašovací údaje, přihlášení z anonymních IP adres a další.

Mezi zásady rizik patří:

Převod vícefaktorového ověřování uživatelů na vícefaktorové ověřování založené na podmíněném přístupu

Pokud vaši uživatelé povolili vícefaktorové ověřování s povoleným a vynuceným vícefaktorovým ověřováním pro jednotlivé uživatele, může vám s převodem na vícefaktorové ověřování založené na podmíněném přístupu pomoct následující PowerShell.

Spusťte tento PowerShell v okně ISE nebo ho .PS1 uložte jako soubor a spusťte ho místně. Operaci lze provést pouze pomocí modulu MSOnline.

# Sets the MFA requirement state
function Set-MfaState {
    [CmdletBinding()]
    param(
        [Parameter(ValueFromPipelineByPropertyName=$True)]
        $ObjectId,
        [Parameter(ValueFromPipelineByPropertyName=$True)]
        $UserPrincipalName,
        [ValidateSet("Disabled","Enabled","Enforced")]
        $State
    )
    Process {
        Write-Verbose ("Setting MFA state for user '{0}' to '{1}'." -f $ObjectId, $State)
        $Requirements = @()
        if ($State -ne "Disabled") {
            $Requirement =
                [Microsoft.Online.Administration.StrongAuthenticationRequirement]::new()
            $Requirement.RelyingParty = "*"
            $Requirement.State = $State
            $Requirements += $Requirement
        }
        Set-MsolUser -ObjectId $ObjectId -UserPrincipalName $UserPrincipalName `
                     -StrongAuthenticationRequirements $Requirements
    }
}
# Disable MFA for all users
Get-MsolUser -All | Set-MfaState -State Disabled

Plánování životnosti uživatelských relací

Při plánování nasazení vícefaktorového ověřování je důležité zamyslet se nad tím, jak často chcete zobrazovat výzvy uživatelům. Požádat uživatele o přihlašovací údaje se často zdá být rozumné, ale může se vymstít. Pokud jsou uživatelé vycvičeni k zadávání přihlašovacích údajů bez přemýšlení, můžou je neúmyslně zadat do výzvy k zadání přihlašovacích údajů se zlými úmysly. Azure AD má několik nastavení, která určují, jak často je potřeba znovu ověřovat. Seznamte se s potřebami vaší firmy a uživatelů a nakonfigurujte nastavení, která zajistí nejlepší rovnováhu pro vaše prostředí.

Doporučujeme používat zařízení s primárními obnovovacími tokeny (PRT) pro lepší prostředí koncového uživatele a zkrátit dobu života relace pomocí zásad četnosti přihlašování pouze v konkrétních obchodních případech použití.

Další informace najdete v tématu Optimalizace výzev k opětovnému ověření a vysvětlení doby života relace pro Azure AD Multi-Factor Authentication.

Plánování registrace uživatelů

Hlavním krokem při každém nasazení vícefaktorového ověřování je registrace uživatelů pro použití Azure AD Multi-Factor Authentication. Metody ověřování, jako je hlas a SMS, umožňují předběžnou registraci, zatímco jiné metody, jako je aplikace Authenticator, vyžadují interakci uživatele. Správci musí určit, jak budou uživatelé registrovat své metody.

Kombinovaná registrace pro SSPR a Azure AD MFA

Kombinované prostředí registrace pro Azure AD Multi-Factor Authentication a samoobslužné resetování hesla (SSPR) umožňuje uživatelům registrovat se k MFA i SSPR v jednotném prostředí. SSPR umožňuje uživatelům resetovat heslo bezpečným způsobem pomocí stejných metod, které používají pro Azure AD Vícefaktorové ověřování. Pokud chcete mít jistotu, že rozumíte funkcím a prostředí pro koncové uživatele, přečtěte si téma Koncepty kombinované registrace informací o zabezpečení.

Je důležité informovat uživatele o chystaných změnách, požadavcích na registraci a všech nezbytných akcích uživatelů. Poskytujeme komunikační šablony a dokumentaci pro uživatele , abychom připravili uživatele na nové prostředí a pomohli zajistit úspěšné zavedení. Výběrem odkazu Bezpečnostní údaje na této stránce odešlete uživatele na adresu , na https://myprofile.microsoft.com které se zaregistrují.

Registrace s využitím Identity Protection

Azure AD Identity Protection přispívá k Azure AD Multi-Factor Authentication zásadami registrace a zásadami automatizované detekce rizik a nápravy. Zásady je možné vytvořit tak, aby vynutily změny hesla v případě, že hrozí ohrožení identity, nebo aby vyžadovaly vícefaktorové ověřování, když se přihlášení považuje za rizikové. Pokud používáte Azure AD Identity Protection, nakonfigurujte zásadu registrace vícefaktorového ověřování Azure AD tak, aby se uživatelé při příštím interaktivním přihlášení zaregistrovali.

Registrace bez služby Identity Protection

Pokud nemáte licence, které umožňují Azure AD Identity Protection, zobrazí se uživatelům výzva k registraci při příštím vyžadování vícefaktorového ověřování při přihlášení. Pokud chcete vyžadovat, aby uživatelé používali vícefaktorové ověřování, můžete použít zásady podmíněného přístupu a zaměřit se na často používané aplikace, jako jsou systémy personálního oddělení. Pokud dojde k ohrožení zabezpečení hesla uživatele, může se použít k registraci vícefaktorového ověřování a převzetí kontroly nad jeho účtem. Proto doporučujeme zabezpečit proces registrace zabezpečení pomocí zásad podmíněného přístupu , které vyžadují důvěryhodná zařízení a umístění. Tento proces můžete ještě více zabezpečit tím, že budete potřebovat také dočasné heslo Access Pass. Časově omezené heslo vydané správcem, které splňuje požadavky na silné ověřování a dá se použít k onboardingu dalších metod ověřování, včetně těch bez hesla.

Zvýšení zabezpečení registrovaných uživatelů

Pokud máte uživatele zaregistrované k vícefaktorovém ověřování pomocí SMS nebo hlasových hovorů, můžete je přesunout na bezpečnější metody, jako je například aplikace Microsoft Authenticator. Microsoft teď nabízí funkci ve verzi Public Preview, která umožňuje vyzvat uživatele, aby během přihlašování nastavili aplikaci Microsoft Authenticator. Tyto výzvy můžete nastavit podle skupiny, řídit, kdo se bude dotazovat, a umožnit cílené kampaně, které uživatele přesunou na bezpečnější metodu.

Scénáře plánování obnovení

Jak už bylo zmíněno dříve, ujistěte se, že jsou uživatelé zaregistrovaní pro více než jednu metodu vícefaktorového ověřování, aby v případě nedostupnosti měli zálohu. Pokud uživatel nemá k dispozici metodu zálohování, můžete:

  • Poskytněte mu dočasné přístupové heslo, aby mohli spravovat své vlastní metody ověřování. Můžete také poskytnout dočasné přístupové heslo, které umožní dočasný přístup k prostředkům.
  • Aktualizujte své metody jako správce. Uděláte to tak, že vyberete uživatele v Azure Portal, pak vyberete Metody ověřování a aktualizujete jeho metody.

Plánování integrace s místními systémy

Aplikace, které se ověřují přímo pomocí Azure AD a mají moderní ověřování (WS-Fed, SAML, OAuth, OpenID Connect), můžou využívat zásady podmíněného přístupu. Některé starší a místní aplikace se neověřují přímo proti Azure AD a vyžadují další kroky pro použití Azure AD Multi-Factor Authentication. Můžete je integrovat pomocí Azure AD proxy aplikací nebo služby Síťové zásady.

Integrace s prostředky služby AD FS

Doporučujeme migrovat aplikace zabezpečené pomocí služby Active Directory Federation Services (AD FS) (AD FS) na Azure AD. Pokud ale nejste připravení migrovat je do Azure AD, můžete použít adaptér Azure Multi-Factor Authentication se službou AD FS 2016 nebo novější.

Pokud je vaše organizace federovaná s Azure AD, můžete Azure AD Multi-Factor Authentication nakonfigurovat jako zprostředkovatele ověřování s prostředky služby AD FS v místním prostředí i v cloudu.

Klienti RADIUS a Azure AD Multi-Factor Authentication

Pro aplikace, které používají ověřování radius, doporučujeme přesunout klientské aplikace na moderní protokoly, jako jsou SAML, Open ID Connect nebo OAuth na Azure AD. Pokud aplikaci nejde aktualizovat, můžete nasadit server NPS (Network Policy Server) s rozšířením Azure MFA. Rozšíření serveru NPS (Network Policy Server) funguje jako adaptér mezi aplikacemi založenými na protokolu RADIUS a Azure AD MFA, které poskytuje druhý faktor ověřování.

Běžné integrace

Mnoho dodavatelů teď u svých aplikací podporuje ověřování SAML. Pokud je to možné, doporučujeme federovat tyto aplikace pomocí Azure AD a vynucovat vícefaktorové ověřování prostřednictvím podmíněného přístupu. Pokud váš dodavatel moderní ověřování nepodporuje, můžete použít rozšíření NPS. Mezi běžné integrace klientů radius patří aplikace, jako jsou brány vzdálené plochy a servery VPN.

Mezi další můžou patřit:

  • Citrix Gateway

    Citrix Gateway podporuje integraci rozšíření RADIUS a NPS a integraci SAML.

  • Cisco VPN

    • Cisco VPN podporuje ověřování PROTOKOLU RADIUS i SAML pro jednotné přihlašování.
    • Přechodem z ověřování RADIUS na SAML můžete integrovat cisco VPN bez nasazení rozšíření NPS.

  • Všechny sítě VPN

Nasazení vícefaktorového ověřování Azure AD

Plán nasazení Azure AD Multi-Factor Authentication by měl zahrnovat pilotní nasazení následované vlnami nasazení, které jsou v rámci vaší kapacity podpory. Zahajte zavádění použitím zásad podmíněného přístupu u malé skupiny pilotních uživatelů. Po vyhodnocení vlivu na pilotní uživatele, použitý proces a chování registrace můžete do zásad přidat další skupiny nebo do existujících skupin přidat další uživatele.

Postupujte následovně:

  1. Splnění nezbytných požadavků
  2. Konfigurace zvolených metod ověřování
  3. Konfigurace zásad podmíněného přístupu
  4. Konfigurace nastavení životnosti relace
  5. Konfigurace zásad registrace vícefaktorového ověřování Azure AD

Správa vícefaktorového ověřování Azure AD

Tato část obsahuje informace o vytváření sestav a řešení potíží s vícefaktorovým ověřováním Azure AD.

Vytváření sestav a monitorování

Azure AD obsahují sestavy, které poskytují technické a obchodní přehledy, sledujte průběh nasazení a zkontrolujte, jestli se vaši uživatelé úspěšně přihlásí pomocí MFA. Požádejte vlastníky vašich obchodních a technických aplikací, aby převzali vlastnictví těchto sestav a využívali je na základě požadavků vaší organizace.

Registraci a využití metod ověřování v celé organizaci můžete monitorovat pomocí řídicího panelu Aktivity metod ověřování. To vám pomůže pochopit, jaké metody se registrují a jak se používají.

Přihlášení sestavy a kontrola událostí MFA

Sestavy Azure AD přihlášení obsahují podrobnosti o ověřování událostí, kdy je uživatel vyzván k vícefaktorovému ověřování a jestli se používaly nějaké zásady podmíněného přístupu. PowerShell můžete také použít k vytváření sestav uživatelů zaregistrovaných k Azure AD Multi-Factor Authentication.

Rozšíření NPS a protokoly SLUŽBY AD FS pro aktivitu cloudového vícefaktorového ověřování jsou teď součástí protokolů přihlášení a už se nepublikují dosestavy Aktivita vícefaktorového ověřování zabezpečení>>.

Další informace a další Azure AD sestavách služby Multi-Factor Authentication najdete v tématu Kontrola Azure AD událostí služby Multi-Factor Authentication.

Řešení potíží s vícefaktorovým ověřováním Azure AD

Informace o běžných problémech najdete v tématu Řešení potíží s vícefaktorovým ověřováním Azure AD.

Další kroky

Nasazení dalších funkcí identit