Samouczek: zabezpieczanie zdarzeń logowania użytkownika za pomocą usługi Azure AD Multi-Factor Authentication

Uwierzytelnianie wieloskładnikowe (MFA) to proces, w którym użytkownik jest monitowany o dodatkowe formy identyfikacji podczas zdarzenia logowania. Na przykład monitem może być wprowadzenie kodu na telefonie komórkowym lub potwierdzenie skanowania odciskiem palca. Jeśli potrzebujesz drugiej formy identyfikacji, bezpieczeństwo jest zwiększane, ponieważ ten dodatkowy czynnik nie jest łatwy dla osoby atakującej w celu uzyskania lub zduplikowania.

Azure AD zasady usługi Multi-Factor Authentication i dostępu warunkowego zapewniają elastyczność wymagania uwierzytelniania wieloskładnikowego od użytkowników w przypadku określonych zdarzeń logowania. Aby uzyskać omówienie uwierzytelniania wieloskładnikowego, zalecamy obejrzenie tego wideo: Jak skonfigurować i wymusić uwierzytelnianie wieloskładnikowe w dzierżawie.

Ważne

W tym samouczku pokazano administratorowi, jak włączyć Azure AD Multi-Factor Authentication.

Jeśli twój zespół IT nie włączył możliwości korzystania z usługi Azure AD Multi-Factor Authentication lub jeśli masz problemy podczas logowania, skontaktuj się z pomocą techniczną, aby uzyskać dodatkową pomoc.

Ten samouczek zawiera informacje na temat wykonywania następujących czynności:

  • Utwórz zasady dostępu warunkowego, aby włączyć usługę Azure AD Multi-Factor Authentication dla grupy użytkowników.
  • Skonfiguruj warunki zasad monitujące o uwierzytelnianie wieloskładnikowe.
  • Przetestuj konfigurowanie i używanie uwierzytelniania wieloskładnikowego jako użytkownik.

Wymagania wstępne

Do ukończenia tego samouczka potrzebne są następujące zasoby i uprawnienia:

  • Działająca dzierżawa Azure AD z włączonymi licencjami Azure AD — wersja Premium P1 lub wersji próbnej.

  • Konto z uprawnieniami administratora dostępu warunkowego, administratora zabezpieczeń lub administratora globalnego . Niektóre ustawienia uwierzytelniania wieloskładnikowego mogą być również zarządzane przez administratora zasad uwierzytelniania. Aby uzyskać więcej informacji, zobacz Administrator zasad uwierzytelniania.

  • Konto inne niż administrator z hasłem, które znasz. Na potrzeby tego samouczka utworzyliśmy takie konto o nazwie testuser. W tym samouczku przetestujesz środowisko użytkownika końcowego dotyczące konfigurowania i używania usługi Azure AD Multi-Factor Authentication.

  • Grupa, do którego należy użytkownik niebędący administratorem. Na potrzeby tego samouczka utworzyliśmy taką grupę o nazwie MFA-Test-Group. W tym samouczku włączysz Azure AD uwierzytelnianie wieloskładnikowe dla tej grupy.

Tworzenie zasad dostępu warunkowego

Zalecanym sposobem włączania i używania usługi Azure AD Multi-Factor Authentication jest użycie zasad dostępu warunkowego. Dostęp warunkowy umożliwia tworzenie i definiowanie zasad reagujących na zdarzenia logowania oraz żądających dodatkowych akcji przed udzieleniem użytkownikowi dostępu do aplikacji lub usługi.

Diagram przeglądowy przedstawiający sposób działania dostępu warunkowego w celu zabezpieczenia procesu logowania

Zasady dostępu warunkowego można stosować do określonych użytkowników, grup i aplikacji. Celem jest ochrona organizacji przy jednoczesnym zapewnieniu odpowiednich poziomów dostępu do użytkowników, którzy jej potrzebują.

W tym samouczku utworzymy podstawowe zasady dostępu warunkowego, aby monitować o uwierzytelnianie wieloskładnikowe, gdy użytkownik zaloguje się do Azure Portal. W późniejszym samouczku z tej serii skonfigurujemy Azure AD uwierzytelnianie wieloskładnikowe przy użyciu zasad dostępu warunkowego opartego na ryzyku.

Najpierw utwórz zasady dostępu warunkowego i przypisz grupę testową użytkowników w następujący sposób:

  1. Zaloguj się do Azure Portal przy użyciu konta z uprawnieniami administratora globalnego.

  2. Wyszukaj i wybierz pozycję Azure Active Directory. Następnie wybierz pozycję Zabezpieczenia z menu po lewej stronie.

  3. Wybierz pozycję Dostęp warunkowy, wybierz pozycję + Nowe zasady, a następnie wybierz pozycję Utwórz nowe zasady.

    Zrzut ekranu przedstawiający stronę Dostęp warunkowy, na której wybierzesz pozycję

  4. Wprowadź nazwę zasad, na przykład pilotaż usługi MFA.

  5. W obszarze Przypisania wybierz bieżącą wartość w obszarze Użytkownicy lub tożsamości obciążeń.

    Zrzut ekranu przedstawiający stronę Dostęp warunkowy, na której można wybrać bieżącą wartość w obszarze

  6. W obszarze Do czego mają zastosowanie te zasady?, sprawdź, czy wybrano opcję Użytkownicy i grupy .

  7. W obszarze Uwzględnij wybierz pozycję Wybierz użytkowników i grupy, a następnie wybierz pozycję Użytkownicy i grupy.

    Zrzut ekranu przedstawiający stronę tworzenia nowych zasad, na której można wybrać opcje umożliwiające określenie użytkowników i grup.

    Ponieważ nikt nie jest jeszcze przypisany, lista użytkowników i grup (pokazana w następnym kroku) zostanie otwarta automatycznie.

  8. Wyszukaj i wybierz grupę Azure AD, taką jak MFA-Test-Group, a następnie wybierz pozycję Wybierz.

    Zrzut ekranu przedstawiający listę użytkowników i grup z wynikami filtrowaną według liter M F A i

Wybraliśmy grupę, do których mają być stosowane zasady. W następnej sekcji skonfigurujemy warunki, w których mają być stosowane zasady.

Konfigurowanie warunków uwierzytelniania wieloskładnikowego

Po utworzeniu zasad dostępu warunkowego i przypisaniu grupy testowej użytkowników zdefiniuj aplikacje w chmurze lub akcje wyzwalające zasady. Te aplikacje lub akcje w chmurze to scenariusze, które decydujesz o konieczności dodatkowego przetwarzania, takich jak monitowanie o uwierzytelnianie wieloskładnikowe. Można na przykład zdecydować, że dostęp do aplikacji finansowej lub korzystanie z narzędzi do zarządzania wymaga dodatkowego monitu o uwierzytelnienie.

Konfigurowanie aplikacji wymagających uwierzytelniania wieloskładnikowego

Na potrzeby tego samouczka skonfiguruj zasady dostępu warunkowego, aby wymagać uwierzytelniania wieloskładnikowego, gdy użytkownik zaloguje się do Azure Portal.

  1. Wybierz bieżącą wartość w obszarze Aplikacje lub akcje w chmurze, a następnie w obszarze Wybierz, do czego mają zastosowanie te zasady, sprawdź, czy wybrano aplikacje w chmurze .

  2. W obszarze Uwzględnij wybierz pozycję Wybierz aplikacje.

    Ponieważ żadne aplikacje nie są jeszcze wybrane, lista aplikacji (pokazana w następnym kroku) zostanie otwarta automatycznie.

    Porada

    Możesz zastosować zasady dostępu warunkowego do wszystkich aplikacji w chmurze lub Wybierz aplikacje. Aby zapewnić elastyczność, można również wykluczyć niektóre aplikacje z zasad.

  3. Przejrzyj listę dostępnych zdarzeń logowania, których można użyć. Na potrzeby tego samouczka wybierz pozycję Microsoft Azure Management, aby zasady miały zastosowanie do zdarzeń logowania do Azure Portal. Następnie wybierz opcję Wybierz.

    Zrzut ekranu przedstawiający stronę Dostęp warunkowy, na której wybierzesz aplikację Microsoft Azure Management, do której zostaną zastosowane nowe zasady.

Konfigurowanie uwierzytelniania wieloskładnikowego na potrzeby dostępu

Następnie skonfigurujemy mechanizmy kontroli dostępu. Mechanizmy kontroli dostępu umożliwiają zdefiniowanie wymagań dotyczących udzielenia dostępu użytkownikowi. Może być wymagane użycie zatwierdzonej aplikacji klienckiej lub urządzenia dołączonego hybrydowo do Azure AD.

W tym samouczku skonfiguruj mechanizmy kontroli dostępu, aby wymagać uwierzytelniania wieloskładnikowego podczas logowania do Azure Portal.

  1. W obszarze Kontrole dostępu wybierz bieżącą wartość w obszarze Udziel, a następnie wybierz pozycję Udziel dostępu.

    Zrzut ekranu przedstawiający stronę Dostęp warunkowy, na której wybierzesz pozycję

  2. Wybierz pozycję Wymagaj uwierzytelniania wieloskładnikowego, a następnie wybierz pozycję Wybierz.

    Zrzut ekranu przedstawiający opcje udzielania dostępu, w których wybrano pozycję

Aktywowanie zasad

Zasady dostępu warunkowego można ustawić na tylko raport , jeśli chcesz zobaczyć, jak konfiguracja wpłynie na użytkowników, lub Wyłączone , jeśli nie chcesz teraz używać zasad. Ponieważ grupa testowa użytkowników jest przeznaczona dla tego samouczka, włączymy zasady, a następnie przetestujmy Azure AD Multi-Factor Authentication.

  1. W obszarze Włącz zasady wybierz pozycję na.

    Zrzut ekranu przedstawiający kontrolkę znajdującą się w dolnej części strony internetowej, w której określasz, czy zasady są włączone.

  2. Aby zastosować zasady dostępu warunkowego, wybierz pozycję Utwórz.

Testowanie Azure AD uwierzytelniania wieloskładnikowego

Przyjrzyjmy się zasadom dostępu warunkowego i Azure AD uwierzytelnianie wieloskładnikowe w działaniu.

Najpierw zaloguj się do zasobu, który nie wymaga uwierzytelniania wieloskładnikowego:

  1. Otwórz nowe okno przeglądarki w trybie InPrivate lub incognito i przejdź do https://account.activedirectory.windowsazure.comadresu .

    Korzystanie z trybu prywatnego w przeglądarce uniemożliwia wszelkim istniejącym poświadczenie wpływające na to zdarzenie logowania.

  2. Zaloguj się przy użyciu użytkownika testowego innego niż administrator, takiego jak użytkownik testowy. Pamiętaj, aby uwzględnić nazwę @ domeny i nazwę domeny dla konta użytkownika.

    Jeśli jest to pierwsze wystąpienie logowania przy użyciu tego konta, zostanie wyświetlony monit o zmianę hasła. Nie ma jednak monitu o skonfigurowanie lub użycie uwierzytelniania wieloskładnikowego.

  3. Zamknij okno przeglądarki.

Skonfigurowano zasady dostępu warunkowego, aby wymagać dodatkowego uwierzytelniania dla Azure Portal. W związku z tą konfiguracją zostanie wyświetlony monit o użycie usługi Azure AD Multi-Factor Authentication lub skonfigurowanie metody, jeśli jeszcze tego nie zrobiono. Przetestuj to nowe wymaganie, logując się do Azure Portal:

  1. Otwórz nowe okno przeglądarki w trybie InPrivate lub incognito i przejdź do https://portal.azure.comadresu .

  2. Zaloguj się przy użyciu użytkownika testowego innego niż administrator, takiego jak użytkownik testowy. Pamiętaj, aby uwzględnić nazwę @ domeny i nazwę domeny dla konta użytkownika.

    Musisz się zarejestrować i korzystać z usługi Azure AD Multi-Factor Authentication.

    Monit z komunikatem

  3. Wybierz przycisk Dalej , aby rozpocząć proces.

    Możesz skonfigurować telefon uwierzytelniania, telefon biurowy lub aplikację mobilną na potrzeby uwierzytelniania. Telefon uwierzytelniania obsługuje wiadomości SMS i połączenia telefoniczne, telefon biurowy obsługuje połączenia z numerami, które mają rozszerzenie, a aplikacja mobilna obsługuje używanie aplikacji mobilnej do odbierania powiadomień na potrzeby uwierzytelniania lub generowania kodów uwierzytelniania.

    Monit z komunikatem

  4. Wykonaj instrukcje na ekranie, aby skonfigurować wybraną metodę uwierzytelniania wieloskładnikowego.

  5. Zamknij okno przeglądarki i zaloguj się ponownie, https://portal.azure.com aby przetestować skonfigurowaną metodę uwierzytelniania. Jeśli na przykład skonfigurowano aplikację mobilną do uwierzytelniania, powinien zostać wyświetlony monit podobny do poniższego.

    Aby się zalogować, postępuj zgodnie z monitami w przeglądarce, a następnie monit na urządzeniu, które zostało zarejestrowane na potrzeby uwierzytelniania wieloskładnikowego.

  6. Zamknij okno przeglądarki.

Czyszczenie zasobów

Jeśli nie chcesz już używać zasad dostępu warunkowego skonfigurowanych w ramach tego samouczka, usuń zasady, wykonując następujące czynności:

  1. Zaloguj się w witrynie Azure Portal.

  2. Wyszukaj i wybierz pozycję Azure Active Directory, a następnie wybierz pozycję Zabezpieczenia z menu po lewej stronie.

  3. Wybierz pozycję Dostęp warunkowy, a następnie wybierz utworzone zasady, takie jak pilotaż usługi MFA.

  4. wybierz pozycję Usuń, a następnie potwierdź, że chcesz usunąć zasady.

    Aby usunąć otwarte zasady dostępu warunkowego, wybierz pozycję Usuń, która znajduje się pod nazwą zasad.

Następne kroki

W tym samouczku włączono Azure AD uwierzytelnianie wieloskładnikowe przy użyciu zasad dostępu warunkowego dla wybranej grupy użytkowników. W tym samouczku omówiono:

  • Utwórz zasady dostępu warunkowego, aby włączyć usługę Azure AD Multi-Factor Authentication dla grupy użytkowników Azure AD.
  • Skonfiguruj warunki zasad monitujące o uwierzytelnianie wieloskładnikowe.
  • Przetestuj konfigurowanie i używanie uwierzytelniania wieloskładnikowego jako użytkownik.