Share via

Windows Azure Active Authentication:多重身份验证,以便安全和合规

  • Article

 

大家好!

今天,我们得到一些好消息!我们刚刚发布了新的 Windows Azure Active Authenticaton 服务的预览版。几个月前,我们向您展示了如何为您的 Azure AD 全局管理员启用多重身份验证。通过此预览版,我们使您能够为所有员工、客户和合作伙伴提供一组丰富的基于智能手机的双重身份验证选项。

从现在开始,公司可以使用该预览版为其所有 Windows Azure Active Directory 身份启用多重身份验证,以保护对 Office 365、Windows Azure、Windows Intune、Dynamics CRM Online 及与 Windows Azure AD 集成的许多其他应用程序的访问。此外,开发人员还可以使用 Active Authentication SDK 将多重身份验证构建到其自定义应用程序和目录中。

入门知识

要开始使您的 Windows Azure Active Directory 租户使用多重身份验证,您首先需要添加 Active Authentication 服务。为此:

  • 以管理员身份登录到 Windows Azure 门户。
  • 在 Active Directory 页面的顶部,选择 [Active Auth Providers] (Active Auth 提供程序)。
  • 在页面底部的任务栏中,单击 [New] (新建)。

图文块 1:Active Auth 提供程序选项卡

 

  • [App Services] (应用程序服务)下,选择 [Active Auth Providers] (Active Auth 提供程序),然后选择 [Quick Create] (快速创建)。

图文块 2:添加新的提供程序

  • 填写以下字段,并在完成后选择 [Create] (创建)。

a. [Name] (名称)– Active Auth 提供程序的名称,因此您可以出于计费目的进行关联,例如“Messaging DEMO”

b. [Usage Model] (使用模型)– 选择您喜欢的使用模型 - [Per Enabled User] (按启用的用户)或 [Per Authentication](按身份验证)。 这会将此身份验证提供程序的计费模型设置为按用户或按身份验证。

注意:您可以在此处了解有关这些使用模型和定价的更多信息。

c. [Directory] (目录)– 输入 Active Authentication 提供程序打算使用的 Windows Azure Active Directory 租户,例如,Contoso Demo

图文块 3:完成身份验证提供程序快速创建表格

  • 在您单击创建后,将创建 Active Authentication 提供程序,且您应看到一条消息,提示:[Successfully created Active Authentication Provider](已成功创建活动身份验证提供程序)。
  • 单击 [Ok] (确定)。

此时,您已设置好 Active Authentication 并且随时可以使用。现在要配置哪些用户将启用它。

为特定用户打开多重身份验证

  • 单击左侧的Active Directory选项卡。
  • 单击Active Directory 标题下方的 [Directory](目录)选项卡
  • 单击您的 Windows Azure AD 租户。
  • [Users] (用户)页面上,单击要启用的用户。
  • 选中 [Require Multi-factor Authentication] (需要多重身份验证)复选框。

图文块 4:为用户激活双重身份验证

您的管理员任务已全部完成。是不是很简单?

使用 Windows Azure Active Authentication 服务登录

在为某个用户启用了 Active Authentication 后,该用户在下次登录到使用 Windows Azure AD 的服务时,系统将要求他选择并配置以下多重身份验证方法之一:

  • 应用程序通知– 使用 Active Authentication 智能手机应用程序。
  • 应用程序一次性密码 (OTP) – 随其 Active Authentication 智能手机应用程序使用一次性密码。
  • 电话呼叫– 对其手机或固定电话进行电话呼叫。
  • 短信–发送至其手机的短信。

这一自动登记功能使 IT 专业人员可以简单、轻松地部署多重身份验证,同时为最终用户提供了配置符合其需要的主要方法的灵活性。用户稍后可以添加或更改方法。

虽然这四种身份验证方法都十分有效,但我最喜欢的是我们的 Active Authentication 应用程序(可用于Windows PhoneiOSAndroid智能手机和平板电脑)。您可以从设备应用商店下载免费的应用程序并激活。如果您像我一样是个小工具迷,这正是您想要使用的应用程序!

将您的帐户配置为使用 Windows Azure Active Authentication 智能手机应用程序:

  • 首先,如果您已登录到 Windows Azure、Office 365 或与 Windows Azure AD 集成的其他服务,请注销。
  • 使用您的浏览器,登录到 Windows Azure 或 Office 365
  • 系统将提示您配置多重身份验证选项。单击 [Set it up now] (立即设置)按钮。

 

图文块 5:首次登录时提示配置 Multi-Factor Auth。

 

  • 这将打开 [Additional Security Verification] (其他安全验证)设置页。在该页面加载完毕后,在 [mobile app] (移动应用程序)下,选中该复选框并单击 [Configure] (配置)。

 

图文块 6:其他验证页面

 

  • 这将打开 [App Configuration](应用程序配置)屏幕:

 

图文块 7:配置应用程序屏幕

  • 在安装了 Active Authentication 应用程序的手机上,启动该应用程序。
  • 此时,单击应用程序中的加号 (+) 以添加新帐户。
  • 然后,单击应用程序最右侧的条码扫描程序按钮。这将启动相机。

图文块 8:Active Authentication 应用程序配置屏幕

  • 扫描配置手机应用程序屏幕上提供的条码图片
  • 几秒钟后,您应在应用程序屏幕上看到一个 6 位数的代码。在您看到此代码后,单击配置手机应用程序屏幕上的对勾按钮
  • 单击 [Save] (保存)。

您已全部设置完毕!

您下次登录到受 Windows Azure AD 保护的云应用程序或服务时,该应用程序将在您的手机上激活并要求您身份验证或拒绝登录。您也可以选择将登录尝试报告为欺诈。

 

当然,该应用程序只是我的个人喜好,但是您可能希望更好地接收电话呼叫,而且我们团队中的大多数人都喜欢短信选项。该服务的一个好处是用户可以选择其最喜欢的方法,而且无需您进行任何其他配置即可在各方法之间切换。

在不久的将来,我们将在该领域做出更多,敬请关注。往常一样,我们希望收到您的反馈。请前往 Windows Azure Active Authentication 论坛分享您的观点。

此致!

Alex Simons (Twitter:@Alex_A_Simons)

项目管理主管

Active Directory