Zelfstudie: Aanmeldingen van gebruikers beveiligen met Azure AD Multi-Factor Authentication

Meervoudige verificatie (MFA) is een proces waarin een gebruiker wordt gevraagd om aanvullende vormen van identificatie tijdens een aanmeldingsgebeurtenis. De prompt kan bijvoorbeeld bestaan uit het invoeren van een code op hun mobiele telefoon of het geven van een vingerafdrukscan. Wanneer u een tweede vorm van identificatie nodig hebt, wordt de beveiliging verhoogd omdat deze extra factor niet eenvoudig is voor een aanvaller om te verkrijgen of dupliceren.

Azure AD Multi-Factor Authentication- en beleid voor voorwaardelijke toegang biedt u de flexibiliteit om MFA van gebruikers te vereisen voor specifieke aanmeldingsgebeurtenissen. Voor een overzicht van MFA raden we u aan deze video te bekijken: Multi-Factor Authentication configureren en afdwingen in uw tenant.

Belangrijk

Deze zelfstudie laat zien hoe een beheerder Azure AD Multi-Factor Authentication kan inschakelen.

Als uw IT-team de mogelijkheid niet heeft ingeschakeld om Azure AD Multi-Factor Authentication te gebruiken of als u problemen ondervindt tijdens het aanmelden, neemt u contact op met uw helpdesk voor aanvullende hulp.

In deze zelfstudie leert u het volgende:

  • Maak een beleid voor voorwaardelijke toegang om Azure AD Multi-Factor Authentication in te schakelen voor een groep gebruikers.
  • Configureer de beleidsvoorwaarden die vragen om MFA.
  • Test het configureren en gebruiken van meervoudige verificatie als gebruiker.

Vereisten

Voor het voltooien van deze zelfstudie hebt u de volgende resources en machtigingen nodig:

  • Een werkende Azure AD-tenant waarvoor Azure AD Premium P1 of proeflicenties zijn ingeschakeld.

  • Een account met beheerdersbevoegdheden voor voorwaardelijke toegang, beveiligingsbeheerder of globale beheerder . Sommige MFA-instellingen kunnen ook worden beheerd door een verificatiebeleidsbeheerder. Zie Verificatiebeleidsbeheerder voor meer informatie.

  • Een niet-beheerdersaccount met een wachtwoord dat u kent. Voor deze zelfstudie hebben we een dergelijk account gemaakt met de naam testuser. In deze zelfstudie test u de ervaring van de eindgebruiker bij het configureren en gebruiken van Azure AD Multi-Factor Authentication.

  • Een groep waarvan de niet-beheerder lid is. Voor deze zelfstudie hebben we een dergelijke groep gemaakt met de naam MFA-Test-Group. In deze zelfstudie schakelt u Azure AD Multi-Factor Authentication in voor deze groep.

Beleid voor voorwaardelijke toegang maken

De aanbevolen manier om Azure AD Multi-Factor Authentication in te schakelen is door middel van Conditional Access-beleid. Met voorwaardelijke toegang kunt u beleidsregels maken en definiëren die reageren op aanmeldingsgebeurtenissen en die aanvullende acties aanvragen voordat een gebruiker toegang krijgt tot een toepassing of service.

Overzichtsdiagram van de werking van voorwaardelijke toegang om het aanmeldingsproces te beveiligen

Beleidsregels voor voorwaardelijke toegang kunnen worden toegepast op specifieke gebruikers, groepen en apps. Het doel is om uw organisatie te beschermen en tegelijkertijd de juiste toegangsniveaus te bieden aan de gebruikers die deze nodig hebben.

In deze zelfstudie maken we een basisbeleid voor voorwaardelijke toegang om MFA te vragen wanneer een gebruiker zich aanmeldt bij de Azure Portal. In een latere zelfstudie in deze reeks configureren we Azure AD Multi-Factor Authentication met behulp van een beleid voor voorwaardelijke toegang op basis van risico's.

Maak eerst beleid voor voorwaardelijke toegang en wijs de testgroep met gebruikers als volgt toe:

  1. Meld u aan bij de Azure Portal met behulp van een account met globale beheerdersmachtigingen.

  2. Zoek en selecteer de optie Azure Active Directory. Selecteer vervolgens Beveiliging in het menu links.

  3. Selecteer Voorwaardelijke toegang, + Nieuw beleid en vervolgens Nieuw beleid maken.

    Een schermopname van de pagina Voorwaardelijke toegang, waarin u Nieuw beleid selecteert en vervolgens Nieuw beleid maken selecteert.

  4. Voer een naam in voor het beleid, bijvoorbeeld MFA-testfase.

  5. Selecteer onder Toewijzingen de huidige waarde onder Gebruikers- of workloadidentiteiten.

    Een schermopname van de pagina Voorwaardelijke toegang, waarin u de huidige waarde selecteert onder 'Gebruikers- of workloadidentiteiten'.

  6. Controleer onder Waarop dit beleid van toepassing is?, of Gebruikers en groepen zijn geselecteerd.

  7. Kies onder Opnemen de optie Gebruikers en groepen selecteren en selecteer vervolgens Gebruikers en groepen.

    Een schermopname van de pagina voor het maken van een nieuw beleid, waarin u opties selecteert om gebruikers en groepen op te geven.

    Omdat er nog niemand is toegewezen, wordt de lijst met gebruikers en groepen (weergegeven in de volgende stap) automatisch geopend.

  8. Selecteer uw Azure AD-groep, bijvoorbeeld MFA-Test-Group en kies vervolgens Selecteren.

    Een schermopname van de lijst met gebruikers en groepen, met resultaten gefilterd op de letters M F A en MFA-Test-Group geselecteerd.

We hebben de groep geselecteerd om het beleid toe te passen. In de volgende sectie configureren we de voorwaarden waaronder het beleid moet worden toegepast.

De voorwaarden voor Multi-Factor Authentication configureren

Nu het beleid voor voorwaardelijke toegang is gemaakt en er een testgroep gebruikers is toegewezen, definieert u de cloud-apps of acties die het beleid activeren. Deze cloud-apps of -acties zijn de scenario's die u besluit aanvullende verwerking te vereisen, zoals het vragen om meervoudige verificatie. U kunt bijvoorbeeld besluiten dat toegang tot een financiële toepassing of het gebruik van beheerhulpprogramma's een extra prompt voor verificatie vereist.

Configureren welke apps meervoudige verificatie vereisen

Voor deze zelfstudie configureert u het beleid voor voorwaardelijke toegang om meervoudige verificatie te vereisen wanneer een gebruiker zich aanmeldt bij de Azure Portal.

  1. Selecteer de huidige waarde onder Cloud-apps of -acties en controleer vervolgens onder Selecteren waarop dit beleid van toepassing is, of Cloud-apps zijn geselecteerd.

  2. Kies onder Opnemen de optie Apps selecteren.

    Omdat er nog geen apps zijn geselecteerd, wordt de lijst met apps (weergegeven in de volgende stap) automatisch geopend.

    Tip

    U kunt ervoor kiezen om het beleid voor voorwaardelijke toegang toe te passen op Alle cloud-apps of Apps selecteren. Als u flexibiliteit wilt bieden, kunt u ook bepaalde apps van het beleid uitsluiten.

  3. Blader door de lijst met beschikbare aanmeldingsgebeurtenissen die kunnen worden gebruikt. Voor deze zelfstudie selecteert u Microsoft Azure Management, zodat het beleid van toepassing is op aanmeldingsgebeurtenissen op de Azure Portal. Kies dan de optie Selecteren.

    Een schermopname van de pagina Voorwaardelijke toegang, waarin u de app, Microsoft Azure Management, selecteert waarop het nieuwe beleid van toepassing is.

Meervoudige verificatie configureren voor toegang

Vervolgens configureren we toegangsbeheer. Met toegangsbeheer kunt u de vereisten definiëren waaraan een gebruiker toegang moet krijgen. Mogelijk moeten ze een goedgekeurde client-app of een apparaat gebruiken dat hybride is gekoppeld aan Azure AD.

In deze zelfstudie configureert u de toegangsbeheer om meervoudige verificatie te vereisen tijdens een aanmeldingsgebeurtenis voor de Azure Portal.

  1. Selecteer onder Toegangsbeheer de huidige waarde onder Verlenen en selecteer vervolgens Toegang verlenen.

    Een schermopname van de pagina Voorwaardelijke toegang, waarin u 'Verlenen' selecteert en vervolgens 'Toegang verlenen' selecteert.

  2. Selecteer Meervoudige verificatie vereisen en kies Vervolgens Selecteren.

    Een schermopname van de opties voor het verlenen van toegang, waarbij u Meervoudige verificatie vereisen selecteert.

Het beleid activeren

Beleidsregels voor voorwaardelijke toegang kunnen alleen worden ingesteld op Rapport als u wilt zien hoe de configuratie van invloed is op gebruikers, of Uit als u het beleid momenteel niet wilt gebruiken. Omdat een testgroep van gebruikers is gericht op deze zelfstudie, gaan we het beleid inschakelen en vervolgens Azure AD Multi-Factor Authentication testen.

  1. Onder Beleid inschakelen selecteert u Aan.

    Een schermopname van het besturingselement dat zich onder aan de webpagina bevindt, waar u opgeeft of het beleid is ingeschakeld.

  2. Selecteer Maken om het beleid voor voorwaardelijke toegang toe te passen.

Azure AD Multi-Factor Authentication testen

U gaat nu uw beleid voor Conditional Access en Azure AD Multi-Factor Authentication in werking zien.

Meld u eerst aan bij een resource waarvoor geen MFA is vereist:

  1. Open een nieuw browservenster in de InPrivate- of incognitomodus en blader naar https://account.activedirectory.windowsazure.com.

    Als u een privémodus gebruikt voor uw browser, voorkomt u dat bestaande referenties van invloed zijn op deze aanmeldingsgebeurtenis.

  2. Meld u aan als testgebruiker die geen beheerder is, bijvoorbeeld testuser. Zorg ervoor dat u de domeinnaam voor het gebruikersaccount opneemt @ .

    Als dit het eerste exemplaar is van aanmelden met dit account, wordt u gevraagd het wachtwoord te wijzigen. Er is echter geen prompt om meervoudige verificatie te configureren of te gebruiken.

  3. Sluit het browservenster.

U hebt het beleid voor voorwaardelijke toegang geconfigureerd om aanvullende verificatie voor de Azure Portal te vereisen. Vanwege deze configuratie wordt u gevraagd om Azure AD Multi-Factor Authentication te gebruiken of om een methode te configureren als u dit nog niet hebt gedaan. Test deze nieuwe vereiste door u aan te melden bij de Azure Portal:

  1. Open een nieuw browservenster in de InPrivate- of incognitomodus en blader naar https://portal.azure.com.

  2. Meld u aan als testgebruiker die geen beheerder is, bijvoorbeeld testuser. Zorg ervoor dat u de domeinnaam voor het gebruikersaccount opneemt @ .

    U moet zich registreren voor Azure AD Multi-Factor Authentication en het gaan gebruiken.

    Een prompt met de tekst 'Meer informatie vereist'. Dit is een prompt om een methode voor meervoudige verificatie voor deze gebruiker te configureren.

  3. Selecteer Volgende om het proces te starten.

    U kunt ervoor kiezen om een verificatietelefoon, een kantoortelefoon of een mobiele app te configureren voor verificatie. Verificatietelefoon ondersteunt sms-berichten en telefoongesprekken, kantoortelefoon ondersteunt oproepen naar nummers met een extensie en mobiele app ondersteunt het gebruik van een mobiele app voor het ontvangen van meldingen voor verificatie of het genereren van verificatiecodes.

    Een prompt met de tekst 'Aanvullende beveiligingsverificatie'. Dit is een prompt om een methode voor meervoudige verificatie voor deze gebruiker te configureren. U kunt kiezen als de methode voor een verificatietelefoon, een telefoon op kantoor of een mobiele app.

  4. Voltooi de instructies op het scherm om de methode voor meervoudige verificatie te configureren die u hebt geselecteerd.

  5. Sluit het browservenster en meld u opnieuw aan om https://portal.azure.com de verificatiemethode te testen die u hebt geconfigureerd. Als u bijvoorbeeld een mobiele app hebt geconfigureerd voor verificatie, ziet u een prompt zoals hieronder.

    Als u zich wilt aanmelden, volgt u de aanwijzingen in uw browser en vervolgens de prompt op het apparaat dat u hebt geregistreerd voor meervoudige verificatie.

  6. Sluit het browservenster.

Resources opschonen

Als u het beleid voor voorwaardelijke toegang dat u hebt geconfigureerd als onderdeel van deze zelfstudie niet meer wilt gebruiken, verwijdert u het beleid met behulp van de volgende stappen:

  1. Meld u aan bij de Azure-portal.

  2. Zoek en selecteer Azure Active Directory en selecteer vervolgens Beveiliging in het menu aan de linkerkant.

  3. Selecteer Voorwaardelijke toegang en selecteer vervolgens het beleid dat u hebt gemaakt, zoals MFA Pilot.

  4. selecteer Verwijderen en bevestig vervolgens dat u het beleid wilt verwijderen.

    Als u het beleid voor voorwaardelijke toegang wilt verwijderen dat u hebt geopend, selecteert u Verwijderen onder de naam van het beleid.

Volgende stappen

In deze zelfstudie hebt u Azure AD Multi-Factor Authentication ingeschakeld met behulp van beleid voor voorwaardelijke toegang voor een geselecteerde groep gebruikers. U hebt geleerd hoe u:

  • Maak beleid voor voorwaardelijke toegang om Azure AD Multi-Factor Authentication in te schakelen voor een groep Azure AD gebruikers.
  • Configureer de beleidsvoorwaarden die vragen om meervoudige verificatie.
  • Test het configureren en gebruiken van meervoudige verificatie als gebruiker.