Azure Active Directory Multi-Factor Authentication üzembe helyezésének megtervezése

Az Azure Active Directory (Azure AD) Multi-Factor Authentication segít megvédeni az adatokhoz és alkalmazásokhoz való hozzáférést, egy másik biztonsági réteget biztosítva egy második hitelesítési formával. A szervezetek feltételes hozzáféréssel engedélyezhetik a többtényezős hitelesítést (MFA), hogy a megoldás megfeleljen az igényeiknek.

Ez az üzembe helyezési útmutató bemutatja, hogyan tervezhet és implementálhat Azure AD Multi-Factor Authentication bevezetést.

A Azure AD Multi-Factor Authentication üzembe helyezésének előfeltételei

Az üzembe helyezés megkezdése előtt győződjön meg arról, hogy megfelel a vonatkozó forgatókönyvek következő előfeltételeinek.

Eset Előfeltétel
Csak felhőalapú identitáskörnyezet modern hitelesítéssel Nincsenek előfeltételként szolgáló tevékenységek
Hibrid identitással kapcsolatos forgatókönyvek Telepítse Azure AD Connectet, és szinkronizálja a felhasználói identitásokat a helyi Active Directory Domain Services (AD DS) és a Azure AD között.
A felhőbeli hozzáféréshez közzétett helyszíni örökölt alkalmazások Azure AD alkalmazásproxy üzembe helyezése

Hitelesítési módszerek kiválasztása az MFA-hoz

A másodikfaktoros hitelesítéshez számos módszer használható. Az elérhető hitelesítési módszerek listájából választhat, amelyek mindegyiket a biztonság, a használhatóság és a rendelkezésre állás szempontjából értékeli.

Fontos

Engedélyezzen több MFA-metódust, hogy a felhasználók rendelkezzenek biztonsági mentési módszerrel, ha az elsődleges módszerük nem érhető el. A metódusok a következők:

A bérlőben használt hitelesítési módszerek kiválasztásakor vegye figyelembe az alábbi módszerek biztonságát és használhatóságát:

A megfelelő hitelesítési módszer kiválasztása

Ha többet szeretne megtudni ezeknek a módszereknek az erősségéről és biztonságáról, valamint azok működéséről, tekintse meg az alábbi forrásokat:

Ezzel a PowerShell-szkripttel elemezheti a felhasználók MFA-konfigurációit, és javaslatot tehet a megfelelő MFA-hitelesítési módszerre.

A lehető legnagyobb rugalmasság és használhatóság érdekében használja a Microsoft Authenticator alkalmazást. Ez a hitelesítési módszer biztosítja a legjobb felhasználói élményt és több módot, például a jelszó nélküli, az MFA leküldéses értesítéseket és az OATH-kódokat. A Microsoft Authenticator alkalmazás megfelel a National Institute of Standards and Technology (NIST) Authenticator Assurance Level 2 követelményeinek is.

Szabályozhatja a bérlőben elérhető hitelesítési módszereket. Előfordulhat például, hogy le szeretné tiltani a legkevésbé biztonságos módszereket, például az SMS-t.

Hitelesítési módszer Kezelés innen: Hatókörkezelés
Microsoft Authenticator (Leküldéses értesítés és jelszó nélküli telefonos bejelentkezés) MFA-beállítások vagy hitelesítési módszerek szabályzata A hitelesítő jelszó nélküli telefonos bejelentkezés hatóköre felhasználókra és csoportokra terjedhet ki
FIDO2 biztonsági kulcs Hitelesítési módszerek szabályzata Hatóköre felhasználókra és csoportokra terjedhet ki
Szoftveres vagy hardveres OATH-jogkivonatok MFA-beállítások
SMS-ellenőrzés MFA-beállítások
SMS-bejelentkezés kezelése az elsődleges hitelesítéshez a hitelesítési házirendben
Az SMS-bejelentkezés hatóköre felhasználókra és csoportokra terjedhet ki.
Hanghívások Hitelesítési módszerek szabályzata

Feltételes hozzáférési szabályzatok tervezése

Azure AD Többtényezős hitelesítés feltételes hozzáférési szabályzatokkal van kényszerítve. Ezek a szabályzatok lehetővé teszik, hogy szükség esetén kérje meg a felhasználóktól az MFA-t, és ha nincs rá szükség, ne használja a felhasználókat.

Fogalmi feltételes hozzáférési folyamat

A Azure Portal feltételes hozzáférési szabályzatokat konfigurál az Azure Active Directory>biztonsági>feltételes hozzáférése alatt.

A feltételes hozzáférési szabályzatok létrehozásával kapcsolatos további információkért tekintse meg a feltételes hozzáférési szabályzatot, amely Azure AD többtényezős hitelesítést kér, amikor egy felhasználó bejelentkezik a Azure Portal. Ez segít a következőkben:

  • Ismerkedés a felhasználói felülettel
  • Első benyomás a feltételes hozzáférés működéséről

A feltételes hozzáférés Azure AD üzembe helyezésével kapcsolatos teljes körű útmutatásért tekintse meg a feltételes hozzáférés üzembehelyezési tervét.

Gyakori szabályzatok a többtényezős hitelesítés Azure AD

Gyakori használati esetek a többtényezős hitelesítés Azure AD megköveteléséhez:

Nevesített helyek

A feltételes hozzáférési szabályzatok kezeléséhez a feltételes hozzáférési szabályzatok helyfeltétele lehetővé teszi, hogy a hozzáférés-vezérlési beállításokat a felhasználók hálózati helyéhez rendelje. Az elnevezett helyek használatát javasoljuk az IP-címtartományok vagy országok és régiók logikai csoportosításának létrehozásához. Ez létrehoz egy szabályzatot minden olyan alkalmazáshoz, amely letiltja a bejelentkezést az adott megnevezett helyről. Mindenképpen mentesítse a rendszergazdákat a szabályzat alól.

Kockázatalapú szabályzatok

Ha szervezete Azure AD Identity Protection használatával észleli a kockázati jeleket, fontolja meg a kockázatalapú szabályzatok használatát nevesített helyek helyett. Szabályzatok hozhatók létre a jelszómódosítás kényszerítésére, ha fennáll a veszélye a feltört identitásnak, vagy az MFA megkövetelése, ha a bejelentkezést veszélynek tekintik, például kiszivárgott hitelesítő adatokat, névtelen IP-címekről való bejelentkezéseket stb.

A kockázati szabályzatok a következők:

Felhasználók átalakítása felhasználónkénti MFA-ról feltételes hozzáférésen alapuló MFA-ra

Ha a felhasználók felhasználónként engedélyezett és kikényszerített MFA használatával lettek engedélyezve, az alábbi PowerShell segíthet a feltételes hozzáférésen alapuló MFA-ra való átalakításban.

Futtassa ezt a PowerShellt egy ISE-ablakban, vagy mentse fájlként .PS1 a helyi futtatáshoz. A művelet csak az MSOnline modullal hajtható végre.

# Sets the MFA requirement state
function Set-MfaState {
    [CmdletBinding()]
    param(
        [Parameter(ValueFromPipelineByPropertyName=$True)]
        $ObjectId,
        [Parameter(ValueFromPipelineByPropertyName=$True)]
        $UserPrincipalName,
        [ValidateSet("Disabled","Enabled","Enforced")]
        $State
    )
    Process {
        Write-Verbose ("Setting MFA state for user '{0}' to '{1}'." -f $ObjectId, $State)
        $Requirements = @()
        if ($State -ne "Disabled") {
            $Requirement =
                [Microsoft.Online.Administration.StrongAuthenticationRequirement]::new()
            $Requirement.RelyingParty = "*"
            $Requirement.State = $State
            $Requirements += $Requirement
        }
        Set-MsolUser -ObjectId $ObjectId -UserPrincipalName $UserPrincipalName `
                     -StrongAuthenticationRequirements $Requirements
    }
}
# Disable MFA for all users
Get-MsolUser -All | Set-MfaState -State Disabled

A felhasználói munkamenet élettartamának megtervezve

A többtényezős hitelesítés üzembe helyezésének tervezésekor fontos átgondolni, hogy milyen gyakran szeretné megkérni a felhasználókat. A felhasználók hitelesítő adatainak lekérése gyakran ésszerű dolognak tűnik, de visszaüthet. Ha a felhasználókat arra tanítják be, hogy gondolkodás nélkül adja meg a hitelesítő adataikat, akaratlanul is megadhatják őket egy rosszindulatú hitelesítőadat-kéréshez. Azure AD több beállítás is van, amelyek meghatározzák, hogy milyen gyakran kell újrahitelesíteni. Megismerheti a vállalat és a felhasználók igényeit, és konfigurálhatja azokat a beállításokat, amelyek a legjobb egyensúlyt biztosítják a környezet számára.

Javasoljuk, hogy elsődleges frissítési jogkivonatokkal (PRT) rendelkező eszközöket használjon a jobb végfelhasználói élmény érdekében, és csökkentse a munkamenet élettartamát a bejelentkezési gyakorisági szabályzattal csak bizonyos üzleti használati esetekben.

További információ: Újrahitelesítési kérések optimalizálása és a munkamenet-élettartam ismertetése Azure AD Multi-Factor Authentication esetében.

Felhasználói regisztráció tervezése

Minden többtényezős hitelesítés központi telepítésének egyik fő lépése a felhasználók regisztrálása a többtényezős hitelesítés Azure AD használatára. Az olyan hitelesítési módszerek, mint a Hang és az SMS, lehetővé teszik az előzetes regisztrációt, míg mások, például az Authenticator alkalmazás felhasználói beavatkozást igényelnek. A rendszergazdáknak meg kell határozniuk, hogy a felhasználók hogyan regisztrálják a metódusaikat.

SSPR és Azure AD MFA együttes regisztrációja

Megjegyzés

2020. augusztus 15-től az összes új Azure AD bérlő automatikusan engedélyezve lesz a kombinált regisztrációhoz. Az ezt a dátumot követően létrehozott bérlők nem fogják tudni használni az örökölt regisztrációs munkafolyamatokat. 2022. szeptember 30. után az összes meglévő Azure AD bérlő automatikusan engedélyezve lesz a kombinált regisztrációhoz.

Azt javasoljuk, hogy a szervezetek a kombinált regisztrációs felületet használják a Azure AD Multi-Factor Authentication és az önkiszolgáló jelszóátállítás (SSPR) használatához. Az SSPR lehetővé teszi a felhasználók számára, hogy biztonságos módon visszaállítsák a jelszavukat ugyanazokkal a módszerekkel, mint a multi-factor authentication Azure AD. A kombinált regisztráció egyetlen lépés a végfelhasználók számára. A funkciók és a végfelhasználói élmény megismeréséhez tekintse meg a kombinált biztonsági információregisztrációs fogalmakat.

Fontos, hogy tájékoztassa a felhasználókat a közelgő változásokról, a regisztrációs követelményekről és a szükséges felhasználói műveletekről. Kommunikációs sablonokat és felhasználói dokumentációt biztosítunk, amelyek felkészítik a felhasználókat az új felületre, és segítenek a sikeres bevezetésben. Küldje el a felhasználóknak, hogy https://myprofile.microsoft.com regisztráljanak az oldalon található Biztonsági adatok hivatkozásra kattintva.

Regisztráció az Identity Protection szolgáltatással

Azure AD Identity Protection a Azure AD Multi-Factor Authentication-történethez egy regisztrációs szabályzatot és egy automatikus kockázatészlelési és -szervizelési szabályzatot is biztosít. Szabályzatok hozhatók létre a jelszómódosítás kényszerítésére, ha az identitás biztonsága sérül, vagy MFA-t igényel, ha a bejelentkezés kockázatosnak minősül. Ha az Azure AD Identity Protectiont használja, konfigurálja a Azure AD MFA regisztrációs házirendet, hogy a felhasználók a következő interaktív bejelentkezéskor regisztráljanak.

Regisztráció Identity Protection nélkül

Ha nem rendelkezik olyan licencekkel, amelyek engedélyezik Azure AD Identity Protection szolgáltatást, a rendszer a felhasználókat arra kéri, hogy a következő bejelentkezéskor regisztrálják az MFA-t. Ahhoz, hogy megkövetelje a felhasználóktól az MFA használatát, feltételes hozzáférési szabályzatokat használhat, és megcélzhatja a gyakran használt alkalmazásokat, például a HR-rendszereket. Ha egy felhasználó jelszava sérült, akkor regisztrálhat az MFA-ra, és átveheti az irányítást a fiókja felett. Ezért azt javasoljuk , hogy a biztonsági regisztrációs folyamatot olyan feltételes hozzáférési szabályzatokkal biztosítsa , amelyek megbízható eszközöket és helyeket igényelnek. A folyamat biztonságossá tételéhez szükség van egy ideiglenes hozzáférési bérletre is. Egy rendszergazda által kiadott, időkorlátos pin-kód, amely megfelel az erős hitelesítési követelményeknek, és más hitelesítési módszerek, köztük jelszó nélküli hitelesítési módszerek előkészítésére is használható.

A regisztrált felhasználók biztonságának növelése

Ha sms-ben vagy hanghívásban regisztrált felhasználókat az MFA-hoz, érdemes lehet biztonságosabb módszerekre, például a Microsoft Authenticator alkalmazásba áthelyezni őket. A Microsoft mostantól nyilvános előzetes verziót biztosít a funkciókhoz, amelyekkel a felhasználókat megkérheti a Microsoft Authenticator alkalmazás beállítására a bejelentkezés során. Ezeket a kéréseket csoportonként állíthatja be, szabályozhatja, hogy ki kéri a kéréseket, és lehetővé teszi a célzott kampányok számára, hogy a felhasználókat a biztonságosabb módszerre helyezze át.

Helyreállítási forgatókönyvek tervezése

Ahogy korábban említettük, győződjön meg arról, hogy a felhasználók több MFA-módszerhez vannak regisztrálva, így ha nem érhető el, biztonsági másolatuk legyen. Ha a felhasználó nem rendelkezik elérhető biztonsági mentési módszerrel, a következő lehetőségek közül választhat:

  • Adjon meg nekik egy ideiglenes hozzáférési bérletet, hogy kezelni tudják a saját hitelesítési módszereiket. Az erőforrásokhoz való ideiglenes hozzáférés engedélyezéséhez ideiglenes hozzáférési bérletet is megadhat.
  • Frissítse a metódusokat rendszergazdaként. Ehhez válassza ki a felhasználót a Azure Portal, majd válassza ki a hitelesítési módszereket, és frissítse a metódusokat. Felhasználói kommunikáció

Integrálás tervezése helyszíni rendszerekkel

Azok az alkalmazások, amelyek közvetlenül Azure AD hitelesítik magukat, és modern hitelesítéssel (WS-Fed, SAML, OAuth, OpenID Connect) rendelkeznek, feltételes hozzáférési szabályzatokat használhatnak. Egyes örökölt és helyszíni alkalmazások nem hitelesíthetők közvetlenül Azure AD, és további lépésekre van szükség a Azure AD Multi-Factor Authentication használatához. Ezeket integrálhatja Azure AD alkalmazásproxyval vagy hálózati házirend-szolgáltatásokkal.

Integrálás AD FS-erőforrásokkal

Javasoljuk, hogy Active Directory összevonási szolgáltatások (AD FS) (AD FS) által védett alkalmazásokat migráljon Azure AD. Ha azonban még nem áll készen a Azure AD való migrálásra, az Azure Multi-Factor Authentication-adapterT használhatja az AD FS 2016-os vagy újabb verziójával.

Ha a szervezet Azure AD van összevonva, a helyszíni és a felhőbeli AD FS-erőforrásokkal rendelkező hitelesítésszolgáltatóként konfigurálhatja Azure AD Multi-Factor Authenticationt.

RADIUS-ügyfelek és Azure AD Multi-Factor Authentication

A RADIUS-hitelesítést használó alkalmazások esetében azt javasoljuk, hogy az ügyfélalkalmazásokat modern protokollokra, például SAML-, Open ID Connect- vagy OAuth-protokollokra helyezhesse át Azure AD. Ha az alkalmazás nem frissíthető, akkor üzembe helyezheti a Hálózati házirend-kiszolgálót (NPS) az Azure MFA-bővítménnyel. A hálózati házirend-kiszolgáló (NPS) bővítmény adapterként működik a RADIUS-alapú alkalmazások és Azure AD MFA között, hogy egy második hitelesítési tényezőt biztosítson.

Gyakori integrációk

Számos szállító támogatja az SAML-hitelesítést az alkalmazásaikhoz. Ha lehetséges, javasoljuk, hogy ezeket az alkalmazásokat Azure AD összevonja, és feltételes hozzáféréssel kényszerítse ki az MFA-t. Ha a szállító nem támogatja a modern hitelesítést, használhatja az NPS-bővítményt. A RADIUS-ügyfél gyakori integrációi közé tartoznak az olyan alkalmazások, mint a távoli asztali átjárók és a VPN-kiszolgálók.

Továbbiak lehetnek a következők:

  • Citrix-átjáró

    A Citrix Gateway támogatja a RADIUS- és az NPS-bővítmények integrációját, valamint az SAML-integrációt is.

  • Cisco VPN

  • Minden VPN

Azure AD Multi-Factor Authentication üzembe helyezése

A Azure AD Multi-Factor Authentication bevezetési tervének tartalmaznia kell egy próbatelepítést, amelyet a támogatási kapacitáson belüli üzembehelyezési hullámok követnek. A bevezetés megkezdéséhez alkalmazza a feltételes hozzáférési szabályzatokat a próbafelhasználók egy kis csoportjára. A próbafelhasználókra, a használt folyamatokra és a regisztráció viselkedésére gyakorolt hatás kiértékelése után további csoportokat adhat hozzá a szabályzathoz, vagy további felhasználókat adhat hozzá a meglévő csoportokhoz.

Kövesse az alábbi lépéseket:

  1. A szükséges előfeltételek teljesítése
  2. Kiválasztott hitelesítési módszerek konfigurálása
  3. A feltételes hozzáférési szabályzatok konfigurálása
  4. Munkamenet élettartam-beállításainak konfigurálása
  5. Azure AD MFA-regisztrációs szabályzatok konfigurálása

A többtényezős hitelesítés Azure AD kezelése

Ez a szakasz a többtényezős hitelesítés Azure AD jelentéskészítési és hibaelhárítási információiról nyújt tájékoztatást.

Jelentéskészítés és monitorozás

Azure AD olyan jelentésekkel rendelkezik, amelyek technikai és üzleti megállapításokat nyújtanak, nyomon követi az üzembe helyezés előrehaladását, és ellenőrzi, hogy a felhasználók sikeresen bejelentkeznek-e az MFA-val. Az üzleti és műszaki alkalmazástulajdonosoknak fel kell vállalniuk a jelentések tulajdonjogát, és a szervezet igényeinek megfelelően használhatják fel ezeket a jelentéseket.

A hitelesítési módszerek regisztrációját és használatát a szervezeten belül a Hitelesítési módszerek tevékenység irányítópultján figyelheti. Ez segít megérteni, hogy milyen metódusok vannak regisztrálva, és hogyan használják őket.

Bejelentkezési jelentés az MFA-események áttekintéséhez

A Azure AD bejelentkezési jelentések tartalmazzák azoknak az eseményeknek a hitelesítési adatait, amikor egy felhasználó MFA-t kér, és hogy vannak-e feltételes hozzáférési szabályzatok használatban. A PowerShellt a többtényezős hitelesítés Azure AD regisztrált felhasználók jelentésére is használhatja.

Az NPS-bővítmény és az AD FS-naplók megtekinthetők a biztonsági>MFA-tevékenységjelentésből>. A tevékenység felvétele a bejelentkezési naplókba jelenleg előzetes verzióban érhető el.

További információkért és további Azure AD Multi-Factor Authentication-jelentésekért lásd: Azure AD Multi-Factor Authentication-események áttekintése.

A többtényezős hitelesítés Azure AD hibaelhárítása

Gyakori problémákat Azure AD többtényezős hitelesítés hibaelhárításával foglalkozó cikkben talál.

Következő lépések

Egyéb identitásfunkciók üzembe helyezése