A többtényezős hitelesítés üzembe helyezésének megtervezése
A Többtényezős Microsoft Entra-hitelesítés üzembe helyezése előtt több dolgot is el kell döntenie.
Elsőként fontolja meg az MFA hullámokban történő bevezetését. Elsőként tesztelje a szolgáltatást egy kisebb felhasználói csoporttal, így kiértékelheti a környezet összetettségét, és azonosíthatja a nem támogatott alkalmazások vagy eszközök beállításokkal kapcsolatos hibáit. Ezután bővítse ki ezt a csoportot az idő függvényében, és értékelje ki az eredményeket minden egyes lépéssel, amíg a teljes vállalat regisztrálva nem lesz.
Ezt követően készítsen egy teljes körű kommunikációs tervet. A Microsoft Entra többtényezős hitelesítésének számos felhasználói beavatkozási követelménye van, beleértve a regisztrációs folyamatot is. Minden lépésről tájékoztassa a felhasználókat. Tudassa velük, hogy mit kell tenniük, fontos dátumokat, és hogyan kaphatnak választ a kérdésekre, ha problémájuk van. A Microsoft kommunikációs sablonokat biztosít a kommunikáció elkészítéséhez, beleértve a plakátokat és az e-mail-sablonokat.
Microsoft Entra többtényezős hitelesítési szabályzatok
A Microsoft Entra többtényezős hitelesítés feltételes hozzáférési szabályzatokkal van kényszerítve. A feltételes hozzáférési szabályzatok IF-THEN utasítások. IF (Ha) egy felhasználó hozzá szeretne férni egy erőforráshoz, THEN (akkor) végre kell hajtania egy műveletet. Egy bérszámfejtés-kezelő például hozzá szeretne férni a bérszámfejtési alkalmazáshoz, és többtényezős hitelesítést kell végrehajtania a hozzáféréshez. MFA-t megkövetelő további hozzáférési kérések:
- Ha egy adott felhőalkalmazást próbálnak elérni
- Ha egy felhasználó egy adott hálózathoz próbál hozzáférni
- Ha egy felhasználó egy adott ügyfélalkalmazást próbál elérni
- Ha egy felhasználó új eszközt regisztrál
Támogatott hitelesítési módszerek kiválasztása
Ha bekapcsolja a Microsoft Entra többtényezős hitelesítést, kiválaszthatja azokat a hitelesítési módszereket, amelyeket elérhetővé szeretne tenni. Mindig célszerű egynél több módszert támogatnia, így a felhasználóknak számára elérhető lesz legalább egy másik lehetőség, ha az elsődleges módszer nem elérhető. Az alábbi módszerek közül választhat:
| Method | Leírás |
|---|---|
| Mobilalkalmazásbeli ellenőrző kód | Egy mobilhitelesítő alkalmazás, például a Microsoft Authenticator alkalmazás segítségével lekérheti az OATH ellenőrző kódot, amelyet aztán beír a bejelentkezési felületre. A kód 30 másodpercenként módosul, az alkalmazás pedig korlátozott kapcsolat esetén is működik. Ez a megközelítés Nem működik Kínában Android-eszközökön. |
| Mobilalkalmazás-értesítés | Az Azure leküldéses értesítést küldhet egy mobilhitelesítő alkalmazásnak, például a Microsoft Authenticatornak. A felhasználó kiválaszthatja a leküldéses értesítést, és ellenőrizheti a bejelentkezést. |
| Telefon hívása | Az Azure felhívhat egy megadott telefonszámot. A felhasználónak ezután a billentyűkkel kell jóváhagyja a hitelesítést. Ez a módszer a biztonsági mentések esetében ajánlott. |
| FIDO2 biztonsági kulcs | A FIDO2 biztonsági kulcsok a szabványokon alapuló jelszó nélküli hitelesítési módszerek. Ezek a kulcsok általában USB-eszközök, de Bluetooth vagy NFC is használható. |
| Vállalati Windows Hello | Vállalati Windows Hello a jelszavakat erős kéttényezős hitelesítésre cseréli az eszközökön. Ez a hitelesítés olyan felhasználói hitelesítő adatokból áll, amelyek egy eszközhöz kötődnek, és biometrikus vagy PIN-kódot használnak. |
| OATH-jogkivonatok | Az OATH-jogkivonatok lehetnek szoftveralkalmazások, például a Microsoft Authenticator alkalmazás és más hitelesítő alkalmazások, vagy hardveralapú jogkivonatok, amelyeket az ügyfelek különböző szállítóktól vásárolhatnak. |
Rendszergazda istratorok engedélyezhetik egy vagy több ilyen beállítást, majd a felhasználók minden használni kívánt támogatási hitelesítési módszert választhatnak.
Hitelesítési módszer kiválasztása
Végül el kell döntenie, hogy a felhasználók hogyan regisztrálják a kiválasztott metódusaikat. A legegyszerűbb módszer a Microsoft Entra ID-védelem használata. Ha a szervezet rendelkezik Identity Protection-licenccel, konfigurálhatja úgy, hogy a következő bejelentkezéskor kérje meg a felhasználókat, hogy regisztráljanak az MFA-ra.
Arra is megkérheti a felhasználókat, hogy regisztráljanak az MFA-ra, amikor többtényezős hitelesítést igénylő alkalmazást vagy szolgáltatást próbálnak használni. Végül egy, a szervezet összes felhasználóját tartalmazó Azure-csoportra alkalmazott feltételes hozzáférési szabályzattal is kényszerítheti a regisztrációt. Ehhez manuális felügyeletre is szükség van, mivel a csoportot rendszeresen át kell tekinteni, és el kell távolítani a regisztrált felhasználókat. A folyamat egy részének automatizálásához hasznos szkripteket a Microsoft Entra többtényezős hitelesítés üzembe helyezésének megtervezése című témakörben talál.