Megosztás a következőn keresztül:

Oktatóanyag: Felhasználói bejelentkezési események biztonságossá tétele a Microsoft Entra többtényezős hitelesítésével

  • Cikk

A többtényezős hitelesítés olyan folyamat, amelyben a rendszer további azonosítási formákat kér a felhasználótól a bejelentkezési esemény során. A kérdés például az lehet, hogy be kell írnia egy kódot a mobiltelefonján, vagy ujjlenyomat-vizsgálatot kell adnia. Ha egy második azonosítási formára van szüksége, a biztonság megnő, mert ez a további tényező nem könnyű a támadó számára a beszerzése vagy duplikálása.

A Microsoft Entra többtényezős hitelesítési és feltételes hozzáférési szabályzatai rugalmasan követelik meg a felhasználóktól az MFA-t adott bejelentkezési eseményekhez.

Fontos

Ez az oktatóanyag bemutatja a rendszergazdáknak, hogyan engedélyezhetik a Microsoft Entra többtényezős hitelesítést. Ha felhasználóként szeretné végigvezetni a többtényezős hitelesítésen, olvassa el a munkahelyi vagy iskolai fiókba való bejelentkezést a kétlépéses ellenőrzési módszerrel.

Ha az informatikai csapat nem engedélyezte a Microsoft Entra többtényezős hitelesítés használatát, vagy ha a bejelentkezés során problémákat tapasztal, további segítségért forduljon az ügyfélszolgálathoz.

Ezen oktatóanyag segítségével megtanulhatja a következőket:

  • Hozzon létre egy feltételes hozzáférési szabályzatot a Microsoft Entra többtényezős hitelesítésének engedélyezéséhez egy felhasználói csoport számára.
  • Konfigurálja az MFA-t kérő házirendfeltételeket.
  • Tesztelje a többtényezős hitelesítés felhasználóként való konfigurálását és használatát.

Előfeltételek

Az oktatóanyag elvégzéséhez a következő erőforrásokra és jogosultságokra van szüksége:

  • Egy működő Microsoft Entra-bérlő p1-azonosítóval vagy engedélyezett próbaverziós licencekkel.

  • Legalább feltételes hozzáférés-rendszergazdai szerepkörrel rendelkező fiók. Néhány MFA-beállítást a hitelesítési házirend rendszergazdája is kezelhet.

  • Egy nem rendszergazdai fiók, amely rendelkezik egy ön által ismert jelszóval. Ebben az oktatóanyagban létrehoztunk egy ilyen fiókot testuser néven. Ebben az oktatóanyagban teszteli a Microsoft Entra többtényezős hitelesítés konfigurálásának és használatának végfelhasználói élményét.

    • Ha a felhasználói fiók létrehozásával kapcsolatos információkra van szüksége, olvassa el a Felhasználók hozzáadása vagy törlése a Microsoft Entra-azonosítóval című témakört.

  • Olyan csoport, amelynek a nem rendszergazda felhasználó tagja. Ebben az oktatóanyagban létrehoztunk egy MFA-Test-Group nevű csoportot. Ebben az oktatóanyagban engedélyezi a Microsoft Entra többtényezős hitelesítést ehhez a csoporthoz.

    • Ha további információra van szüksége egy csoport létrehozásáról, olvassa el az Alapszintű csoport létrehozása és tagok hozzáadása a Microsoft Entra-azonosítóval című témakört.

Feltételes hozzáférési házirend létrehozása

Tipp.

A cikkben szereplő lépések a portáltól függően kissé eltérhetnek.

A Microsoft Entra többtényezős hitelesítés engedélyezésének és használatának ajánlott módja a feltételes hozzáférési szabályzatok használata. A feltételes hozzáféréssel olyan szabályzatokat hozhat létre és határozhat meg, amelyek reagálnak a bejelentkezési eseményekre, és további műveleteket igényelnek, mielőtt a felhasználó hozzáférést kap egy alkalmazáshoz vagy szolgáltatáshoz.

A feltételes hozzáférés működésének áttekintése a bejelentkezési folyamat biztonságossá tételéhez

A feltételes hozzáférési szabályzatok adott felhasználókra, csoportokra és alkalmazásokra alkalmazhatók. A cél a szervezet védelme, ugyanakkor a megfelelő szintű hozzáférés biztosítása azoknak a felhasználóknak, akiknek szükségük van rá.

Ebben az oktatóanyagban létrehozunk egy alapszintű feltételes hozzáférési szabályzatot, amely az MFA megadását kéri, amikor egy felhasználó bejelentkezik. A sorozat egy későbbi oktatóanyagában a Microsoft Entra többtényezős hitelesítését egy kockázatalapú feltételes hozzáférési szabályzat használatával konfiguráljuk.

Először hozzon létre egy feltételes hozzáférési szabályzatot, és rendelje hozzá a felhasználók tesztcsoportját az alábbiak szerint:

  1. Jelentkezzen be a Microsoft Entra felügyeleti központbafeltételeshozzáférés-adminisztrátorként.

  2. Keresse meg a feltételes védelem>elérését, válassza az + Új szabályzat lehetőséget, majd az Új szabályzat létrehozása lehetőséget.

    A Feltételes hozzáférés oldal képernyőképe, amelyen ki van választva az „Új szabályzat”, majd az „Új szabályzat létrehozása” lehetőség.

  3. Adja meg a szabályzat nevét, például az MFA próbaüzemét.

  4. A Hozzárendelések csoportban válassza ki az aktuális értéket a Felhasználók vagy számítási feladatok identitása csoportban.

    Képernyőkép a Feltételes hozzáférés lapról, ahol kiválasztja az aktuális értéket a

  5. A Mire vonatkozik ez a szabályzat? területen ellenőrizze, hogy a Felhasználók és csoportok ki van-e jelölve.

  6. A Belefoglalás csoportban válassza a Felhasználók és csoportok kijelölése, majd a Felhasználók és csoportok lehetőséget.

    Képernyőkép egy új szabályzat létrehozására szolgáló oldalról, ahol megadhatja a felhasználók és csoportok megadására szolgáló beállításokat.

    Mivel még senki sincs hozzárendelve, a felhasználók és csoportok listája (a következő lépésben látható) automatikusan megnyílik.

  7. Keresse meg és válassza ki a Microsoft Entra-csoportot(például MFA-Test-Group), majd válassza a Kiválasztás lehetőséget.

    Képernyőkép a felhasználók és csoportok listájáról, az eredményeket pedig az M F A és az MFA-Test-Group betűk szűrik.

Kiválasztottuk azt a csoportot, amelyre alkalmazni szeretné a szabályzatot. A következő szakaszban konfiguráljuk a szabályzat alkalmazásának feltételeit.

A többtényezős hitelesítés feltételeinek konfigurálása

Most, hogy létrejött a feltételes hozzáférési szabályzat, és hozzárendelt egy tesztcsoportot a felhasználókhoz, határozza meg a szabályzatot kiváltó felhőalkalmazásokat vagy műveleteket. Ezek a felhőalapú alkalmazások vagy műveletek olyan forgatókönyvek, amelyek további feldolgozást igényelnek, például többtényezős hitelesítés kérése. Dönthet például úgy, hogy egy pénzügyi alkalmazáshoz való hozzáféréshez vagy a felügyeleti eszközök használatához további hitelesítésre van szükség.

A többtényezős hitelesítést igénylő alkalmazások konfigurálása

Ebben az oktatóanyagban konfigurálja a feltételes hozzáférési szabályzatot úgy, hogy többtényezős hitelesítést igényeljen, amikor egy felhasználó bejelentkezik.

  1. Válassza ki az aktuális értéket a Felhőalkalmazások vagy -műveletek területen, majd válassza ki, hogy a szabályzat mire vonatkozik, ellenőrizze, hogy a felhőalkalmazások ki van-e választva.

  2. A Belefoglalás csoportban válassza az Alkalmazások kiválasztása lehetőséget.

    Mivel még nincs kijelölve alkalmazás, az alkalmazások listája (a következő lépésben látható) automatikusan megnyílik.

    Tipp.

    Dönthet úgy, hogy a feltételes hozzáférési szabályzatot az Összes felhőalkalmazásra vagy a Select appsre alkalmazza. A rugalmasság biztosítása érdekében bizonyos alkalmazásokat is kizárhat a szabályzatból.

  3. Tallózzon a használható bejelentkezési események listájában. Ebben az oktatóanyagban válassza a Windows Azure Service Management API-t , hogy a szabályzat a bejelentkezési eseményekre vonatkozjon. Ezután válassza a Kijelölés lehetőséget.

    Képernyőkép a Feltételes hozzáférés lapról, ahol kiválasztja azt az alkalmazást, a Windows Azure Service Management API-t, amelyre az új szabályzat érvényes lesz.

Többtényezős hitelesítés konfigurálása hozzáféréshez

Ezután konfiguráljuk a hozzáférés-vezérlést. A hozzáférés-vezérlésekkel meghatározhatja a hozzáféréshez való hozzáférésre vonatkozó követelményeket. Előfordulhat, hogy egy jóváhagyott ügyfélalkalmazást vagy a Microsoft Entra ID azonosítóhoz hibriden csatlakoztatott eszközt kell használniuk.

Ebben az oktatóanyagban úgy konfigurálja a hozzáférési vezérlőket, hogy többtényezős hitelesítést igényeljenek egy bejelentkezési esemény során.

  1. A Hozzáférés-vezérlés csoportban válassza ki az aktuális értéket a Támogatás területen, majd válassza a Hozzáférés engedélyezése lehetőséget.

    Képernyőkép a Feltételes hozzáférés lapról, ahol a

  2. Válassza a Többtényezős hitelesítés megkövetelése, majd a Kiválasztás lehetőséget.

    Képernyőkép a hozzáférés megadásának lehetőségeiről, ahol a

A szabályzat aktiválása

A feltételes hozzáférési szabályzatok csak jelentésre állíthatók be, ha látni szeretné, hogy a konfiguráció hogyan érintené a felhasználókat, vagy ki, ha jelenleg nem szeretné használni a használati szabályzatot. Mivel ebben az oktatóanyagban a felhasználók egy tesztcsoportja van megcélzva, engedélyezze a szabályzatot, majd tesztelje a Microsoft Entra többtényezős hitelesítését.

  1. A Szabályzat engedélyezése alatt válassza a Be lehetőséget.

    Képernyőkép a weblap alján található vezérlőelemről, amelyen megadhatja, hogy engedélyezve van-e a szabályzat.

  2. A feltételes hozzáférési szabályzat alkalmazásához válassza a Létrehozás lehetőséget.

A Microsoft Entra többtényezős hitelesítésének tesztelése

Tekintse meg a feltételes hozzáférési szabályzatot és a Microsoft Entra többtényezős hitelesítést működés közben.

Először jelentkezzen be olyan erőforrásba, amely nem igényel MFA-t:

  1. Nyisson meg egy új böngészőablakot InPrivate vagy inkognitó módban, és lépjen a következő oldalra: https://account.activedirectory.windowsazure.com.

    A böngésző privát módjának használata megakadályozza, hogy a meglévő hitelesítő adatok befolyásolják ezt a bejelentkezési eseményt.

  2. Jelentkezzen be a nem rendszergazdai tesztfelhasználóval, például a testuserrel. Ügyeljen arra, hogy tartalmazza @ a felhasználói fiók tartománynevét és tartománynevét.

    Ha ez a fiókba való bejelentkezés első példánya, a rendszer kéri a jelszó módosítását. A többtényezős hitelesítés konfigurálására vagy használatára azonban nincs szükség.

  3. Zárja be a böngészőablakot.

A feltételes hozzáférési szabályzatot úgy konfigurálta, hogy további hitelesítést igényeljen a bejelentkezéshez. A konfiguráció miatt a rendszer kérni fogja, hogy használja a Microsoft Entra többtényezős hitelesítést, vagy konfiguráljon egy metódust, ha még nem tette meg. Tesztelje ezt az új követelményt a Microsoft Entra felügyeleti központba való bejelentkezéssel:

  1. Nyisson meg egy új böngészőablakot InPrivate vagy inkognitó módban, és jelentkezzen be a Microsoft Entra felügyeleti központjába.

  2. Jelentkezzen be a nem rendszergazdai tesztfelhasználóval, például a testuserrel. Ügyeljen arra, hogy tartalmazza @ a felhasználói fiók tartománynevét és tartománynevét.

    Regisztrálnia kell a Microsoft Entra többtényezős hitelesítésére és használatára.

  3. A folyamat megkezdéséhez válassza a Tovább gombot.

    Beállíthatja, hogy hitelesítési telefont, irodai telefont vagy mobilalkalmazást konfiguráljon a hitelesítéshez. A hitelesítési telefon támogatja a szöveges üzeneteket és a telefonhívásokat, az Office Phone támogatja a kiterjesztéssel rendelkező számok hívásait, a mobilalkalmazás pedig támogatja a mobilalkalmazások használatát a hitelesítésre vonatkozó értesítések fogadásához vagy hitelesítési kódok létrehozásához.

  4. Adja meg a képernyőn megjelenő utasításokat a kiválasztott többtényezős hitelesítés módszerének konfigurálásához.

  5. Zárja be a böngészőablakot, és jelentkezzen be ismét a Microsoft Entra felügyeleti központba a konfigurált hitelesítési módszer teszteléséhez. Ha például egy mobilalkalmazást konfigurált hitelesítésre, az alábbihoz hasonló üzenetnek kell megjelennie.

    A bejelentkezéshez kövesse a böngészőben megjelenő utasításokat, majd a többtényezős hitelesítésre regisztrált eszközön megjelenő utasításokat.

  6. Zárja be a böngészőablakot.

Az erőforrások eltávolítása

Ha már nem szeretné használni az oktatóanyag részeként konfigurált feltételes hozzáférési szabályzatot, törölje a szabályzatot az alábbi lépésekkel:

  1. Jelentkezzen be a Microsoft Entra felügyeleti központbafeltételeshozzáférés-adminisztrátorként.

  2. Keresse meg a Feltételes védelem>elérését, majd válassza ki a létrehozott szabályzatot, például az MFA próbaüzemét.

  3. válassza a Törlés lehetőséget, majd erősítse meg, hogy törölni szeretné a szabályzatot.

    A megnyitott feltételes hozzáférési szabályzat törléséhez válassza a Szabályzat neve alatt található Törlés lehetőséget.

Következő lépések

Ebben az oktatóanyagban engedélyezte a Microsoft Entra többtényezős hitelesítését feltételes hozzáférési szabályzatok használatával egy kiválasztott felhasználói csoport számára. Megtanulta végrehajtani az alábbi műveleteket:

  • Hozzon létre egy feltételes hozzáférési szabályzatot a Microsoft Entra többtényezős hitelesítésének engedélyezéséhez a Microsoft Entra-felhasználók egy csoportjához.
  • Konfigurálja a többtényezős hitelesítést kérő házirendfeltételeket.
  • Tesztelje a többtényezős hitelesítés felhasználóként való konfigurálását és használatát.

Jelszóvisszaírás engedélyezése az önkiszolgáló jelszó-visszaállításhoz (SSPR)