Samouczek: zabezpieczanie zdarzeń logowania użytkownika za pomocą usługi Azure AD Multi-Factor Authentication

Uwierzytelnianie wieloskładnikowe (MFA) to proces, w którym użytkownik jest monitowany o dodatkowe formy identyfikacji podczas zdarzenia logowania. Na przykład monitem może być wprowadzenie kodu na telefonie komórkowym lub dostarczenie skanowania odciskiem palca. Jeśli potrzebujesz drugiej formy identyfikacji, zabezpieczenia są zwiększane, ponieważ ten dodatkowy czynnik nie jest łatwy dla osoby atakującej w celu uzyskania lub zduplikowania.

Azure AD zasady usługi Multi-Factor Authentication i dostępu warunkowego zapewniają elastyczność wymagania uwierzytelniania wieloskładnikowego od użytkowników na potrzeby określonych zdarzeń logowania. Aby zapoznać się z omówieniem uwierzytelniania wieloskładnikowego, zalecamy obejrzenie tego wideo: Jak skonfigurować i wymusić uwierzytelnianie wieloskładnikowe w dzierżawie.

Ważne

W tym samouczku pokazano administratorowi, jak włączyć usługę Azure AD Multi-Factor Authentication.

Jeśli twój zespół IT nie włączył możliwości korzystania z usługi Azure AD Multi-Factor Authentication lub jeśli masz problemy podczas logowania, skontaktuj się z pomocą techniczną, aby uzyskać dodatkową pomoc.

Ten samouczek zawiera informacje na temat wykonywania następujących czynności:

  • Utwórz zasady dostępu warunkowego, aby włączyć usługę Azure AD Multi-Factor Authentication dla grupy użytkowników.
  • Skonfiguruj warunki zasad, które monituje o uwierzytelnianie wieloskładnikowe.
  • Przetestuj konfigurowanie i używanie uwierzytelniania wieloskładnikowego jako użytkownik.

Wymagania wstępne

Do ukończenia tego samouczka potrzebne są następujące zasoby i uprawnienia:

  • Działająca dzierżawa Azure AD z włączonymi licencjami Azure AD — wersja Premium P1 lub wersji próbnej.

  • Konto z uprawnieniami administratora dostępu warunkowego, administratora zabezpieczeń lub administratora globalnego . Niektóre ustawienia uwierzytelniania wieloskładnikowego mogą być również zarządzane przez administratora zasad uwierzytelniania. Aby uzyskać więcej informacji, zobacz Administrator zasad uwierzytelniania.

  • Konto nieadministratora z hasłem, które znasz. Na potrzeby tego samouczka utworzyliśmy takie konto o nazwie testuser. W tym samouczku przetestujesz środowisko użytkownika końcowego dotyczące konfigurowania i używania usługi Azure AD Multi-Factor Authentication.

  • Grupa, do którego należy użytkownik niebędący administratorem. Na potrzeby tego samouczka utworzyliśmy taką grupę o nazwie MFA-Test-Group. W tym samouczku włączysz usługę Azure AD Multi-Factor Authentication dla tej grupy.

Tworzenie zasad dostępu warunkowego

Zalecanym sposobem włączania i używania usługi Azure AD Multi-Factor Authentication jest użycie zasad dostępu warunkowego. Dostęp warunkowy umożliwia tworzenie i definiowanie zasad reagujących na zdarzenia logowania oraz żądania dodatkowych akcji przed udzieleniem użytkownikowi dostępu do aplikacji lub usługi.

Diagram przeglądowy sposobu działania dostępu warunkowego w celu zabezpieczenia procesu logowania

Zasady dostępu warunkowego można stosować do określonych użytkowników, grup i aplikacji. Celem jest ochrona organizacji, a jednocześnie zapewnienie odpowiednich poziomów dostępu do użytkowników, którzy jej potrzebują.

W tym samouczku utworzymy podstawowe zasady dostępu warunkowego, aby wyświetlić monit o uwierzytelnianie wieloskładnikowe, gdy użytkownik zaloguje się do Azure Portal. W kolejnym samouczku z tej serii skonfigurujemy Azure AD Multi-Factor Authentication przy użyciu zasad dostępu warunkowego opartego na ryzyku.

Najpierw utwórz zasady dostępu warunkowego i przypisz grupę testową użytkowników w następujący sposób:

  1. Zaloguj się do Azure Portal przy użyciu konta z uprawnieniami administratora globalnego.

  2. Wyszukaj i wybierz pozycję Azure Active Directory. Następnie wybierz pozycję Zabezpieczenia z menu po lewej stronie.

  3. Wybierz pozycję Dostęp warunkowy, wybierz pozycję + Nowe zasady, a następnie wybierz pozycję Utwórz nowe zasady.

    Zrzut ekranu przedstawiający stronę Dostęp warunkowy, na której wybierzesz pozycję

  4. Wprowadź nazwę zasad, na przykład pilot usługi MFA.

  5. W obszarze Przypisania wybierz bieżącą wartość w obszarze Użytkownicy lub tożsamości obciążenia.

    Zrzut ekranu przedstawiający stronę Dostęp warunkowy, na której wybierasz bieżącą wartość w obszarze

  6. W obszarze Do czego mają zastosowanie te zasady?, sprawdź, czy wybrano pozycję Użytkownicy i grupy .

  7. W obszarze Dołącz wybierz pozycję Wybierz użytkowników i grupy, a następnie wybierz pozycję Użytkownicy i grupy.

    Zrzut ekranu przedstawiający stronę tworzenia nowych zasad, w których wybierasz opcje określania użytkowników i grup.

    Ponieważ nikt nie jest jeszcze przypisany, lista użytkowników i grup (pokazana w następnym kroku) zostanie otwarta automatycznie.

  8. Wyszukaj i wybierz grupę Azure AD, taką jak MFA-Test-Group, a następnie wybierz pozycję Wybierz.

    Zrzut ekranu przedstawiający listę użytkowników i grup z wybranymi wynikami filtrowaną według liter M F A i

Wybraliśmy grupę do zastosowania zasad. W następnej sekcji skonfigurujemy warunki, w których mają być stosowane zasady.

Konfigurowanie warunków uwierzytelniania wieloskładnikowego

Po utworzeniu zasad dostępu warunkowego i przypisaniu grupy testowej użytkowników zdefiniuj aplikacje w chmurze lub akcje, które wyzwalają zasady. Te aplikacje lub akcje w chmurze to scenariusze, które decydujesz o dodatkowym przetwarzaniu, takie jak monitowanie o uwierzytelnianie wieloskładnikowe. Możesz na przykład zdecydować, że dostęp do aplikacji finansowej lub korzystanie z narzędzi do zarządzania wymaga dodatkowego monitu o uwierzytelnienie.

Konfigurowanie aplikacji wymagających uwierzytelniania wieloskładnikowego

W tym samouczku skonfiguruj zasady dostępu warunkowego, aby wymagać uwierzytelniania wieloskładnikowego, gdy użytkownik zaloguje się do Azure Portal.

  1. Wybierz bieżącą wartość w obszarze Aplikacje lub akcje w chmurze, a następnie w obszarze Wybierz, do czego mają zastosowanie te zasady, sprawdź, czy wybrano aplikacje w chmurze .

  2. W obszarze Dołącz wybierz pozycję Wybierz aplikacje.

    Ponieważ żadne aplikacje nie są jeszcze wybrane, lista aplikacji (pokazana w następnym kroku) zostanie otwarta automatycznie.

    Porada

    Możesz zastosować zasady dostępu warunkowego do wszystkich aplikacji w chmurze lub wybierz aplikacje. Aby zapewnić elastyczność, możesz również wykluczyć niektóre aplikacje z zasad.

  3. Przejrzyj listę dostępnych zdarzeń logowania, których można użyć. Na potrzeby tego samouczka wybierz pozycję Microsoft Azure Management, aby zasady miały zastosowanie do zdarzeń logowania do Azure Portal. Następnie wybierz opcję Wybierz.

    Zrzut ekranu przedstawiający stronę Dostęp warunkowy, na której wybierzesz aplikację, Microsoft Azure Management, do której zostaną zastosowane nowe zasady.

Konfigurowanie uwierzytelniania wieloskładnikowego na potrzeby dostępu

Następnie skonfigurujemy mechanizmy kontroli dostępu. Mechanizmy kontroli dostępu umożliwiają zdefiniowanie wymagań dotyczących udzielenia dostępu użytkownikowi. Może być wymagane użycie zatwierdzonej aplikacji klienckiej lub urządzenia dołączonego hybrydowo do Azure AD.

W tym samouczku skonfiguruj mechanizmy kontroli dostępu, aby wymagać uwierzytelniania wieloskładnikowego podczas logowania do Azure Portal.

  1. W obszarze Kontrola dostępu wybierz bieżącą wartość w obszarze Udziel, a następnie wybierz pozycję Udziel dostępu.

    Zrzut ekranu przedstawiający stronę Dostęp warunkowy, na której wybierzesz pozycję

  2. Wybierz pozycję Wymagaj uwierzytelniania wieloskładnikowego, a następnie wybierz pozycję Wybierz.

    Zrzut ekranu przedstawiający opcje udzielania dostępu, w którym wybierzesz pozycję

Aktywowanie zasad

Zasady dostępu warunkowego można ustawić na wartość Tylko raport , jeśli chcesz zobaczyć, jak konfiguracja będzie miała wpływ na użytkowników, lub wyłączone , jeśli nie chcesz teraz używać zasad. Ponieważ grupa testowa użytkowników jest przeznaczona dla tego samouczka, włączmy zasady, a następnie przetestujmy usługę Azure AD Multi-Factor Authentication.

  1. W obszarze Włącz zasady wybierz pozycję na.

    Zrzut ekranu przedstawiający kontrolkę znajdującą się w dolnej części strony internetowej, na której określono, czy zasady są włączone.

  2. Aby zastosować zasady dostępu warunkowego, wybierz pozycję Utwórz.

Testowanie uwierzytelniania wieloskładnikowego Azure AD

Zobaczmy zasady dostępu warunkowego i Azure AD uwierzytelnianie wieloskładnikowe w działaniu.

Najpierw zaloguj się do zasobu, który nie wymaga uwierzytelniania wieloskładnikowego:

  1. Otwórz nowe okno przeglądarki w trybie InPrivate lub incognito i przejdź do https://account.activedirectory.windowsazure.comadresu .

    Korzystanie z trybu prywatnego przeglądarki uniemożliwia wszelkim istniejącym poświadczom wpływ na to zdarzenie logowania.

  2. Zaloguj się przy użyciu użytkownika testowego innego niż administrator, takiego jak testuser. Pamiętaj, aby uwzględnić @ nazwę domeny dla konta użytkownika.

    Jeśli jest to pierwsze wystąpienie logowania przy użyciu tego konta, zostanie wyświetlony monit o zmianę hasła. Nie ma jednak monitu o skonfigurowanie lub użycie uwierzytelniania wieloskładnikowego.

  3. Zamknij okno przeglądarki.

Skonfigurowano zasady dostępu warunkowego, aby wymagać dodatkowego uwierzytelniania dla Azure Portal. Ze względu na tę konfigurację zostanie wyświetlony monit o użycie usługi Azure AD Multi-Factor Authentication lub skonfigurowanie metody, jeśli jeszcze tego nie zrobiono. Przetestuj to nowe wymaganie, logując się do Azure Portal:

  1. Otwórz nowe okno przeglądarki w trybie InPrivate lub incognito i przejdź do https://portal.azure.comadresu .

  2. Zaloguj się przy użyciu użytkownika testowego innego niż administrator, takiego jak użytkownik testowy. Pamiętaj, aby uwzględnić nazwę @ domeny i nazwę domeny dla konta użytkownika.

    Musisz się zarejestrować i korzystać z usługi Azure AD Multi-Factor Authentication.

    Monit z komunikatem

  3. Wybierz przycisk Dalej , aby rozpocząć proces.

    Możesz skonfigurować telefon uwierzytelniania, telefon biurowy lub aplikację mobilną na potrzeby uwierzytelniania. Telefon uwierzytelniania obsługuje wiadomości SMS i połączenia telefoniczne, telefon biurowy obsługuje połączenia z numerami, które mają rozszerzenie, a aplikacja mobilna obsługuje używanie aplikacji mobilnej do odbierania powiadomień na potrzeby uwierzytelniania lub generowania kodów uwierzytelniania.

    Monit z komunikatem

  4. Wykonaj instrukcje na ekranie, aby skonfigurować wybraną metodę uwierzytelniania wieloskładnikowego.

  5. Zamknij okno przeglądarki i zaloguj się ponownie, https://portal.azure.com aby przetestować skonfigurowaną metodę uwierzytelniania. Jeśli na przykład skonfigurowano aplikację mobilną do uwierzytelniania, powinien zostać wyświetlony monit podobny do poniższego.

    Aby się zalogować, postępuj zgodnie z monitami w przeglądarce, a następnie monit na urządzeniu, które zostało zarejestrowane na potrzeby uwierzytelniania wieloskładnikowego.

  6. Zamknij okno przeglądarki.

Czyszczenie zasobów

Jeśli nie chcesz już używać zasad dostępu warunkowego skonfigurowanych w ramach tego samouczka, usuń zasady, wykonując następujące czynności:

  1. Zaloguj się w witrynie Azure Portal.

  2. Wyszukaj i wybierz pozycję Azure Active Directory, a następnie wybierz pozycję Zabezpieczenia z menu po lewej stronie.

  3. Wybierz pozycję Dostęp warunkowy, a następnie wybierz utworzone zasady, takie jak pilotaż usługi MFA.

  4. wybierz pozycję Usuń, a następnie potwierdź, że chcesz usunąć zasady.

    Aby usunąć otwarte zasady dostępu warunkowego, wybierz pozycję Usuń, która znajduje się pod nazwą zasad.

Następne kroki

W tym samouczku włączono Azure AD uwierzytelnianie wieloskładnikowe przy użyciu zasad dostępu warunkowego dla wybranej grupy użytkowników. W tym samouczku omówiono:

  • Utwórz zasady dostępu warunkowego, aby włączyć usługę Azure AD Multi-Factor Authentication dla grupy użytkowników Azure AD.
  • Skonfiguruj warunki zasad monitujące o uwierzytelnianie wieloskładnikowe.
  • Przetestuj konfigurowanie i używanie uwierzytelniania wieloskładnikowego jako użytkownik.