Plánování nasazení vícefaktorového ověřování Microsoft Entra
Článek
Vícefaktorové ověřování Microsoft Entra pomáhá chránit přístup k datům a aplikacím a poskytuje další vrstvu zabezpečení pomocí druhé formy ověřování. Organizace můžou povolit vícefaktorové ověřování pomocí podmíněného přístupu , aby řešení vyhovovalo jejich konkrétním potřebám.
Existuje mnoho metod, které lze použít pro druhéfaktorové ověřování. Můžete si vybrat ze seznamu dostupných metod ověřování a vyhodnotit je z hlediska zabezpečení, použitelnosti a dostupnosti.
Důležité
Povolte více než jednu metodu MFA, aby uživatelé měli k dispozici metodu zálohování pro případ, že jejich primární metoda není k dispozici.
Mezi metody patří:
Pomocí tohoto skriptu PowerShellu můžete analyzovat konfigurace vícefaktorového ověřování uživatelů a navrhnout odpovídající metodu ověřování MFA.
K zajištění co nejlepší flexibility a použitelnosti použijte aplikaci Microsoft Authenticator. Tato metoda ověřování poskytuje nejlepší uživatelské prostředí a více režimů, jako jsou bez hesla, nabízená oznámení MFA a kódy OATH. Aplikace Microsoft Authenticator také splňuje požadavky standardu NIST (National Institute of Standards and Technology) Authenticator Assurance Úrovně 2.
Můžete řídit metody ověřování dostupné ve vašem tenantovi. Můžete například chtít blokovat některé z nejméně zabezpečených metod, například SMS.
Metoda ověřování
Spravovat z
Vymezení problému
Microsoft Authenticator (nabízené oznámení a přihlášení k telefonu bez hesla)
Nastavení vícefaktorového ověřování nebo zásady metod ověřování
Přihlášení k telefonu bez hesla pomocí ověřovacího hesla je možné nastavit na uživatele a skupiny.
Klíč zabezpečení FIDO2
Zásady metod ověřování
Rozsah je možné nastavit na uživatele a skupiny.
Tokeny OATH softwaru nebo hardwaru
Nastavení vícefaktorového ověřování
Ověření SMS
Nastavení vícefaktorového ověřování Správa přihlášení k serveru SMS pro primární ověřování v zásadách ověřování
Přihlášení přes SMS je možné nastavit na uživatele a skupiny.
hlasové hovory
Zásady metod ověřování
Plánování zásad podmíněného přístupu
Vícefaktorové ověřování Microsoft Entra se vynucuje pomocí zásad podmíněného přístupu. Tyto zásady umožňují vyzvat uživatele k vícefaktorové ověřování v případě potřeby zabezpečení a v případě potřeby zůstat mimo cestu uživatelů.
V Centru pro správu Microsoft Entra nakonfigurujete zásady podmíněného přístupu v rámci podmíněného přístupu ochrany>.
Pokud chcete spravovat zásady podmíněného přístupu, podmínka umístění zásady podmíněného přístupu umožňuje svázat nastavení řízení přístupu se síťovými umístěními uživatelů. Doporučujeme používat pojmenovaná umístění , abyste mohli vytvářet logické seskupení rozsahů IP adres nebo zemí a oblastí. Tím se vytvoří zásada pro všechny aplikace, které blokují přihlášení z tohoto pojmenovaného umístění. Nezapomeňte z této zásady vyloučit správce.
Zásady založené na rizicích
Pokud vaše organizace k detekci rizikových signálů používá Microsoft Entra ID Protection , zvažte použití zásad založených na rizicích místo pojmenovaných umístění. Zásady je možné vytvořit tak, aby vynutily změny hesel v případě ohrožení identity nebo vyžadování vícefaktorového ověřování, pokud je přihlášení považováno za ohrožené, jako jsou úniky přihlašovacích údajů, přihlášení z anonymních IP adres a další.
Převod uživatelů z vícefaktorového ověřování na základě podmíněného přístupu
Pokud uživatelé povolili vícefaktorové ověřování pro jednotlivé uživatele a vynucovali vícefaktorové ověřování Microsoft Entra, doporučujeme povolit podmíněný přístup pro všechny uživatele a pak ručně zakázat vícefaktorové ověřování pro jednotlivé uživatele. Další informace najdete v tématu Vytvoření zásad podmíněného přístupu.
Plánování životnosti relace uživatele
Při plánování nasazení vícefaktorového ověřování je důležité myslet na to, jak často byste chtěli uživatele vyzvat. Žádost uživatelů o přihlašovací údaje často vypadá jako rozumná věc, ale může to zase zastřelit. Pokud jsou uživatelé vytrénovaní tak, aby zadali své přihlašovací údaje bez myšlení, můžou jim neúmyslně poskytnout výzvu k zadání škodlivých přihlašovacích údajů. ID Microsoft Entra má několik nastavení, která určují, jak často potřebujete znovu ověřit. Seznamte se s potřebami vaší firmy a uživatelů a nakonfigurujte nastavení, která poskytují nejlepší rovnováhu pro vaše prostředí.
Pro lepší uživatelské prostředí doporučujeme používat zařízení s primárními obnovovacími tokeny (PRT) a zkrátit dobu života relace pomocí zásad frekvence přihlašování jenom u konkrétních obchodních případů použití.
Hlavním krokem při každém nasazení vícefaktorového ověřování je registrace uživatelů k používání vícefaktorového ověřování Microsoft Entra. Metody ověřování, jako je hlas a SMS, umožňují předběžné registrace, zatímco jiné, jako je aplikace Authenticator, vyžadují interakci uživatele. Správci musí určit, jak budou uživatelé registrovat své metody.
Kombinovaná registrace pro SSPR a vícefaktorové ověřování Microsoft Entra
Je důležité informovat uživatele o nadcházejících změnách, požadavcích na registraci a všech nezbytných akcích uživatelů. Poskytujeme komunikační šablony a uživatelskou dokumentaci , abychom připravili uživatele na nové prostředí a pomohli zajistit úspěšné zavedení. Pokud chcete uživatele zaregistrovat https://myprofile.microsoft.com , vyberte na této stránce odkaz Bezpečnostní údaje .
Registrace pomocí služby Microsoft Entra ID Protection
Microsoft Entra ID Protection přispívá k zásadám registrace i automatizovaným zásadám detekce rizik a nápravě do scénáře vícefaktorového ověřování Microsoft Entra. Zásady se dají vytvořit tak, aby vynutily změny hesel v případech, kdy existuje hrozba ohrožené identity, nebo vyžadovat vícefaktorové ověřování, když se přihlášení považuje za rizikové.
Pokud používáte Microsoft Entra ID Protection, nakonfigurujte zásady registrace vícefaktorového ověřování Microsoft Entra tak, aby uživatele vyzve k registraci při příštím přihlášení interaktivně.
Registrace bez služby Microsoft Entra ID Protection
Pokud nemáte licence, které umožňují microsoft Entra ID Protection, zobrazí se uživatelům výzva k registraci při příštím vyžadování vícefaktorového ověřování při přihlášení.
Pokud chcete vyžadovat, aby uživatelé používali vícefaktorové ověřování, můžete použít zásady podmíněného přístupu a cílit na často používané aplikace, jako jsou systémy hr.
Pokud dojde k ohrožení zabezpečení hesla uživatele, může se použít k registraci do vícefaktorového ověřování a převzetí kontroly nad jeho účtem. Proto doporučujeme zabezpečit proces registrace zabezpečení pomocí zásad podmíněného přístupu, které vyžadují důvěryhodná zařízení a umístění.
Proces můžete dále zabezpečit vyžadováním dočasného přístupového passu. Časově omezené heslo vydané správcem, které splňuje požadavky silného ověřování, a lze ho použít k onboardingu jiných metod ověřování, včetně bez hesel.
Zvýšení zabezpečení registrovaných uživatelů
Pokud máte uživatele zaregistrované pro vícefaktorové ověřování pomocí SMS nebo hlasových hovorů, můžete je přesunout do bezpečnějších metod, jako je aplikace Microsoft Authenticator. Microsoft teď nabízí verzi Public Preview funkcí, která umožňuje uživatelům při přihlašování zobrazit výzvu k nastavení aplikace Microsoft Authenticator. Tyto výzvy můžete nastavit podle skupin a určit, kdo se zobrazí, a umožnit tak cílovým kampaním přesunout uživatele do bezpečnější metody.
Plánování scénářů obnovení
Jak už jsme zmínili dříve, ujistěte se, že jsou uživatelé zaregistrovaní pro více než jednu metodu vícefaktorového ověřování, aby v případě nedostupnosti měli zálohu.
Pokud uživatel nemá k dispozici metodu zálohování, můžete:
Zadejte dočasné přístupové heslo, aby mohli spravovat vlastní metody ověřování. Můžete také poskytnout dočasný přístupový přístup, který povolí dočasný přístup k prostředkům.
Aktualizujte své metody jako správce. Uděláte to tak, že vyberete uživatele v Centru pro správu Microsoft Entra a pak vyberete Metody ověřování ochrany>a aktualizujete jejich metody.
Plánování integrace s místními systémy
Aplikace, které se ověřují přímo pomocí Microsoft Entra ID a mají moderní ověřování (WS-Fed, SAML, OAuth, OpenID Connect), můžou využívat zásady podmíněného přístupu.
Některé starší a místní aplikace se neověřují přímo vůči ID Microsoft Entra a vyžadují další kroky pro použití vícefaktorového ověřování Microsoft Entra. Můžete je integrovat pomocí proxy aplikací Microsoft Entra nebo služeb zásad sítě.
Integrace s prostředky služby AD FS
Doporučujeme migrovat aplikace zabezpečené pomocí Active Directory Federation Services (AD FS) (AD FS) na Microsoft Entra ID. Pokud ale nejste připraveni je migrovat na Microsoft Entra ID, můžete použít vícefaktorový ověřovací adaptér Azure se službou AD FS 2016 nebo novější.
Klienti RADIUS a vícefaktorové ověřování Microsoft Entra
U aplikací, které používají ověřování RADIUS, doporučujeme přesunout klientské aplikace do moderních protokolů, jako jsou SAML, OpenID Connect nebo OAuth v Microsoft Entra ID. Pokud aplikaci nejde aktualizovat, můžete nasadit rozšíření NPS (Network Policy Server). Rozšíření serveru NPS (Network Policy Server) funguje jako adaptér mezi aplikacemi založenými na protokolu RADIUS a vícefaktorovým ověřováním Microsoft Entra za účelem zajištění druhého faktoru ověřování.
Běžné integrace
Mnoho dodavatelů teď podporuje ověřování SAML pro své aplikace. Pokud je to možné, doporučujeme federovat tyto aplikace pomocí ID Microsoft Entra a vynucovat vícefaktorové ověřování prostřednictvím podmíněného přístupu. Pokud váš dodavatel nepodporuje moderní ověřování – můžete použít rozšíření NPS.
Mezi běžné integrace klientů RADIUS patří aplikace, jako jsou brány vzdálené plochy a servery VPN.
Mezi další můžou patřit:
Citrix Gateway
Citrix Gateway podporuje integraci rozšíření RADIUS i NPS a integraci SAML.
Přechodem z ověřování RADIUS na SAML můžete integrovat Cisco VPN bez nasazení rozšíření NPS.
Všechny sítě VPN
Nasazení vícefaktorového ověřování Microsoft Entra
Plán nasazení vícefaktorového ověřování Microsoft Entra by měl zahrnovat pilotní nasazení následované vlnami nasazení, které jsou v rámci vaší kapacity podpory. Zahajte zavádění tím, že použijete zásady podmíněného přístupu u malé skupiny pilotních uživatelů. Po vyhodnocení účinku na pilotní uživatele, použitý proces a chování registrace můžete do zásad přidat další skupiny, nebo přidat další uživatele do existujících skupin.
Postupujte následovně:
Splnění nezbytných požadavků
Konfigurace zvolených metod ověřování
Konfigurace zásad podmíněného přístupu
Konfigurace nastavení doby života relace
Konfigurace zásad registrace vícefaktorového ověřování Microsoft Entra
Správa vícefaktorového ověřování Microsoft Entra
Tato část obsahuje informace o vytváření sestav a řešení potíží pro vícefaktorové ověřování Microsoft Entra.
Vytváření sestav a monitorování
Microsoft Entra ID obsahuje sestavy, které poskytují technické a obchodní přehledy, sledují průběh nasazení a kontrolují, jestli jsou vaši uživatelé úspěšní při přihlášení pomocí vícefaktorového ověřování. Požádejte vlastníky obchodních a technických aplikací o vlastnictví a využívání těchto sestav na základě požadavků vaší organizace.
Pomocí řídicího panelu Aktivity metod ověřování můžete monitorovat registraci a využití metod ověřování v celé organizaci. To vám pomůže pochopit, jaké metody se registrují a jak se používají.
Sestava přihlášení pro kontrolu událostí vícefaktorového ověřování
Sestavy přihlášení Microsoft Entra obsahují podrobnosti o ověřování událostí, když se uživateli zobrazí výzva k vícefaktorovém ověřování a jestli se používaly nějaké zásady podmíněného přístupu. PowerShell můžete také použít k vytváření sestav uživatelů registrovaných pro vícefaktorové ověřování Microsoft Entra.
Rozšíření NPS a protokoly SLUŽBY AD FS pro cloudovou aktivitu MFA jsou teď součástí protokolů přihlašování a už se nepublikují do sestavy aktivit.
Další informace a další sestavy vícefaktorového ověřování Microsoft Entra naleznete v tématu Kontrola událostí vícefaktorového ověřování Microsoft Entra.
Řešení potíží s vícefaktorovým ověřováním Microsoft Entra
Multifactor authentication helps secure your environment and resources by requiring that your users confirm their identity by using multiple authentication methods, like a phone call, text message, mobile app notification, or one-time password. You can use multifactor authentication both on-premises and in the cloud to add security for accessing Microsoft online services, remote access applications, and more. This learning path provides an overview of how to use multifactor authentication as part of a cyber