Planowanie wdrożenia uwierzytelniania wieloskładnikowego firmy Microsoft

Uwierzytelnianie wieloskładnikowe firmy Microsoft pomaga chronić dostęp do danych i aplikacji, zapewniając kolejną warstwę zabezpieczeń przy użyciu drugiej formy uwierzytelniania. Organizacje mogą włączyć uwierzytelnianie wieloskładnikowe z dostępem warunkowym, aby rozwiązanie pasowało do określonych potrzeb.

W tym przewodniku wdrażania pokazano, jak zaplanować i wdrożyć wdrożenie uwierzytelniania wieloskładnikowego firmy Microsoft.

Wymagania wstępne dotyczące wdrażania uwierzytelniania wieloskładnikowego firmy Microsoft

Przed rozpoczęciem wdrażania upewnij się, że spełnisz następujące wymagania wstępne dotyczące odpowiednich scenariuszy.

Scenariusz Warunek wstępny
Środowisko tożsamości tylko w chmurze z nowoczesnym uwierzytelnianiem Brak zadań wstępnych
Scenariusze tożsamości hybrydowej Wdrażanie usługi Microsoft Entra Połączenie i synchronizowanie tożsamości użytkowników między usługami lokalna usługa Active Directory Domain Services (AD DS) i identyfikatorem Entra firmy Microsoft.
Starsze aplikacje lokalne opublikowane na potrzeby dostępu do chmury Wdrażanie serwera proxy aplikacji Microsoft Entra

Wybieranie metod uwierzytelniania dla uwierzytelniania wieloskładnikowego

Istnieje wiele metod, które mogą służyć do uwierzytelniania dwuskładnikowego. Możesz wybrać spośród listy dostępnych metod uwierzytelniania, oceniając je pod względem zabezpieczeń, użyteczności i dostępności.

Ważne

Włącz więcej niż jedną metodę uwierzytelniania wieloskładnikowego, aby użytkownicy mieli dostępną metodę tworzenia kopii zapasowej, jeśli ich metoda podstawowa jest niedostępna. Metody obejmują:

Podczas wybierania metod uwierzytelniania, które będą używane w dzierżawie, należy wziąć pod uwagę zabezpieczenia i użyteczność tych metod:

Choose the right authentication method

Aby dowiedzieć się więcej na temat siły i bezpieczeństwa tych metod oraz sposobu ich działania, zobacz następujące zasoby:

Ten skrypt programu PowerShell umożliwia analizowanie konfiguracji uwierzytelniania wieloskładnikowego użytkowników i sugerowanie odpowiedniej metody uwierzytelniania wieloskładnikowego.

Aby uzyskać najlepszą elastyczność i użyteczność, użyj aplikacji Microsoft Authenticator. Ta metoda uwierzytelniania zapewnia najlepsze środowisko użytkownika i wiele trybów, takich jak bez hasła, powiadomienia wypychane MFA i kody OATH. Aplikacja Microsoft Authenticator spełnia również wymagania National Institute of Standards and Technology (NIST) Authenticator Assurance Level 2.

Możesz kontrolować metody uwierzytelniania dostępne w dzierżawie. Na przykład możesz zablokować niektóre z najmniej bezpiecznych metod, takich jak sms.

Metoda uwierzytelniania Zarządzaj z Określanie zakresu
Microsoft Authenticator (wysyłanie powiadomień wypychanych i logowanie za pomocą telefonu bez hasła) Ustawienia uwierzytelniania wieloskładnikowego lub zasady metod uwierzytelniania Logowanie bez hasła do aplikacji Authenticator może być ograniczone do użytkowników i grup
Klucz zabezpieczeń FIDO2 Zasady metod uwierzytelniania Zakres można ograniczyć do użytkowników i grup
Tokeny OATH oprogramowania lub sprzętu Ustawienia uwierzytelniania wieloskładnikowego
Weryfikacja wiadomości SMS Ustawienia uwierzytelniania wieloskładnikowego
Zarządzanie logowaniem sms na potrzeby uwierzytelniania podstawowego w zasadach uwierzytelniania
Logowanie sms może być ograniczone do użytkowników i grup.
Połączenia głosowe Zasady metod uwierzytelniania

Planowanie zasad dostępu warunkowego

Uwierzytelnianie wieloskładnikowe firmy Microsoft jest wymuszane przy użyciu zasad dostępu warunkowego. Te zasady umożliwiają monitowanie użytkowników o uwierzytelnianie wieloskładnikowe w razie potrzeby w celu zapewnienia bezpieczeństwa i trzymać się poza sposobem korzystania z użytkowników, gdy nie jest to konieczne.

Conceptual Conditional Access process flow

W centrum administracyjnym firmy Microsoft Entra skonfigurujesz zasady dostępu warunkowego w obszarze Ochrona>dostępu warunkowego.

Aby dowiedzieć się więcej na temat tworzenia zasad dostępu warunkowego, zobacz Zasady dostępu warunkowego w celu monitowania o uwierzytelnianie wieloskładnikowe firmy Microsoft podczas logowania użytkownika. Ułatwia to:

  • Zapoznanie się z interfejsem użytkownika
  • Zapoznaj się z pierwszym wrażeniem działania dostępu warunkowego

Aby uzyskać kompleksowe wskazówki dotyczące wdrażania dostępu warunkowego firmy Microsoft Entra, zobacz plan wdrożenia dostępu warunkowego.

Typowe zasady uwierzytelniania wieloskładnikowego firmy Microsoft

Typowe przypadki użycia wymagające uwierzytelniania wieloskładnikowego firmy Microsoft obejmują:

Nazwane lokalizacje

Aby zarządzać zasadami dostępu warunkowego, warunek lokalizacji zasad dostępu warunkowego umożliwia powiązanie ustawień kontroli dostępu z lokalizacjami sieciowymi użytkowników. Zalecamy używanie nazwanych lokalizacji , aby można było tworzyć logiczne grupowania zakresów adresów IP lub krajów i regionów. Spowoduje to utworzenie zasad dla wszystkich aplikacji, które blokują logowanie z tej nazwanej lokalizacji. Pamiętaj, aby wykluczyć administratorów z tych zasad.

Zasady oparte na ryzyku

Jeśli organizacja używa Ochrona tożsamości Microsoft Entra do wykrywania sygnałów o podwyższonym ryzyku, rozważ użycie zasad opartych na ryzyku zamiast nazwanych lokalizacji. Zasady można utworzyć, aby wymusić zmiany hasła w przypadku zagrożenia naruszenia tożsamości lub wymagać uwierzytelniania wieloskładnikowego, gdy logowanie jest uznawane za zagrożone , takie jak wyciek poświadczeń, logowania z anonimowych adresów IP i nie tylko.

Zasady ryzyka obejmują:

Konwertowanie użytkowników z uwierzytelniania wieloskładnikowego dla użytkownika na uwierzytelnianie wieloskładnikowe oparte na dostępie warunkowym

Jeśli użytkownicy zostali włączeni przy użyciu uwierzytelniania wieloskładnikowego dla poszczególnych użytkowników i wymusili uwierzytelnianie wieloskładnikowe firmy Microsoft, zalecamy włączenie dostępu warunkowego dla wszystkich użytkowników, a następnie ręczne wyłączenie uwierzytelniania wieloskładnikowego dla poszczególnych użytkowników. Aby uzyskać więcej informacji, zobacz Tworzenie zasad dostępu warunkowego.

Planowanie okresu istnienia sesji użytkownika

Podczas planowania wdrożenia uwierzytelniania wieloskładnikowego ważne jest, aby zastanowić się, jak często chcesz monitować użytkowników. Prośba użytkowników o poświadczenia często wydaje się rozsądną rzeczą do zrobienia, ale może backfire. Jeśli użytkownicy są przeszkoleni w celu wprowadzania poświadczeń bez myślenia, mogą przypadkowo dostarczyć je do złośliwego monitu o poświadczenia. Identyfikator Entra firmy Microsoft ma wiele ustawień, które określają, jak często trzeba ponownie uwierzytelnić. Poznaj potrzeby firmy i użytkowników oraz skonfiguruj ustawienia, które zapewniają najlepszą równowagę dla danego środowiska.

Zalecamy używanie urządzeń z podstawowymi tokenami odświeżania (PRT) w celu zwiększenia środowiska użytkownika końcowego i zmniejszenia okresu istnienia sesji przy użyciu zasad częstotliwości logowania tylko w określonych przypadkach użycia biznesowego.

Aby uzyskać więcej informacji, zobacz Optymalizowanie monitów o ponowne uwierzytelnianie i omówienie okresu istnienia sesji dla uwierzytelniania wieloskładnikowego firmy Microsoft.

Planowanie rejestracji użytkowników

Głównym krokiem w każdym wdrożeniu uwierzytelniania wieloskładnikowego jest zarejestrowani użytkownicy zarejestrowani w celu korzystania z uwierzytelniania wieloskładnikowego firmy Microsoft Entra. Metody uwierzytelniania, takie jak Voice i SMS, umożliwiają wstępną rejestrację, podczas gdy inne, takie jak aplikacja Authenticator, wymagają interakcji z użytkownikiem. Administracja istratorzy muszą określić, w jaki sposób użytkownicy będą rejestrować swoje metody.

Rejestracja połączona na potrzeby samoobsługowego resetowania hasła i uwierzytelniania wieloskładnikowego firmy Microsoft

Połączone środowisko rejestracji dla uwierzytelniania wieloskładnikowego firmy Microsoft i samoobsługowego resetowania hasła (SSPR) umożliwia użytkownikom rejestrowanie się zarówno w celu korzystania z uwierzytelniania wieloskładnikowego, jak i samoobsługowego resetowania hasła w ujednoliconym środowisku. Samoobsługowe resetowanie hasła umożliwia użytkownikom bezpieczne resetowanie hasła przy użyciu tych samych metod, które używają do uwierzytelniania wieloskładnikowego firmy Microsoft Entra. Aby upewnić się, że rozumiesz funkcje i środowisko użytkownika końcowego, zobacz Połączone pojęcia dotyczące rejestracji informacji o zabezpieczeniach.

Ważne jest, aby poinformować użytkowników o nadchodzących zmianach, wymaganiach dotyczących rejestracji i wszelkich niezbędnych działaniach użytkownika. Udostępniamy szablony komunikacji i dokumentację użytkownika, aby przygotować użytkowników do nowego środowiska i pomóc w zapewnieniu pomyślnego wdrożenia. Wyślij użytkowników do rejestracji https://myprofile.microsoft.com , wybierając link Informacje zabezpieczające na tej stronie.

Rejestracja przy użyciu usługi Identity Protection

Ochrona tożsamości Microsoft Entra przyczynia się zarówno do zasad rejestracji, jak i zautomatyzowanych zasad wykrywania ryzyka i korygowania w scenariuszu uwierzytelniania wieloskładnikowego firmy Microsoft. Zasady można utworzyć, aby wymusić zmiany hasła w przypadku zagrożenia naruszenia tożsamości lub wymagać uwierzytelniania wieloskładnikowego, gdy logowanie zostanie uznane za ryzykowne. Jeśli używasz Ochrona tożsamości Microsoft Entra, skonfiguruj zasady rejestracji uwierzytelniania wieloskładnikowego firmy Microsoft, aby monitować użytkowników o zarejestrowanie się przy następnym logowaniu interakcyjnym.

Rejestracja bez usługi Identity Protection

Jeśli nie masz licencji, które umożliwiają Ochrona tożsamości Microsoft Entra, użytkownicy będą monitowani o zarejestrowanie przy następnym użyciu uwierzytelniania wieloskładnikowego podczas logowania. Aby wymagać od użytkowników korzystania z uwierzytelniania wieloskładnikowego, można użyć zasad dostępu warunkowego i docelowych często używanych aplikacji, takich jak systemy HR. Jeśli hasło użytkownika zostało naruszone, może służyć do rejestrowania się w usłudze MFA, przejęcie kontroli nad kontem. Dlatego zalecamy zabezpieczenie procesu rejestracji zabezpieczeń przy użyciu zasad dostępu warunkowego wymagających zaufanych urządzeń i lokalizacji. Proces można dodatkowo zabezpieczyć, wymagając również tymczasowego dostępu. Ograniczony czasowo kod dostępu wystawiony przez administratora, który spełnia silne wymagania uwierzytelniania i może służyć do dołączania innych metod uwierzytelniania, w tym bez hasła.

Zwiększanie bezpieczeństwa zarejestrowanych użytkowników

Jeśli masz użytkowników zarejestrowanych w usłudze MFA przy użyciu wiadomości SMS lub połączeń głosowych, możesz przenieść je do bezpieczniejszych metod, takich jak aplikacja Microsoft Authenticator. Firma Microsoft oferuje teraz publiczną wersję zapoznawcza funkcji, która umożliwia monit użytkowników o skonfigurowanie aplikacji Microsoft Authenticator podczas logowania. Te monity można ustawić według grupy, kontrolując, kto jest monitowany, umożliwiając ukierunkowanym kampaniom przenoszenie użytkowników do bezpieczniejszej metody.

Planowanie scenariuszy odzyskiwania

Jak wspomniano wcześniej, upewnij się, że użytkownicy są zarejestrowani dla więcej niż jednej metody uwierzytelniania wieloskładnikowego, aby w przypadku niedostępności, mieli kopię zapasową. Jeśli użytkownik nie ma dostępnej metody tworzenia kopii zapasowej, możesz:

  • Podaj im dostęp tymczasowy, aby mógł zarządzać własnymi metodami uwierzytelniania. Możesz również podać dostęp tymczasowy, aby umożliwić tymczasowy dostęp do zasobów.
  • Zaktualizuj swoje metody jako administrator. W tym celu wybierz użytkownika w centrum administracyjnym firmy Microsoft Entra, a następnie wybierz pozycję Metody uwierzytelniania ochrony>i zaktualizuj ich metody.

Planowanie integracji z systemami lokalnymi

Aplikacje, które uwierzytelniają się bezpośrednio przy użyciu identyfikatora Entra firmy Microsoft i mają nowoczesne uwierzytelnianie (WS-Fed, SAML, OAuth, OpenID Połączenie) mogą korzystać z zasad dostępu warunkowego. Niektóre starsze i lokalne aplikacje nie uwierzytelniają się bezpośrednio względem identyfikatora Entra firmy Microsoft i wymagają dodatkowych kroków w celu korzystania z uwierzytelniania wieloskładnikowego firmy Microsoft. Można je zintegrować przy użyciu serwera proxy aplikacji Firmy Microsoft lub usług zasad sieciowych.

Integracja z zasobami usług AD FS

Zalecamy migrowanie aplikacji zabezpieczonych za pomocą usług Active Directory Federation Services (AD FS) do identyfikatora entra firmy Microsoft. Jeśli jednak nie jesteś gotowy do migracji tych elementów do identyfikatora Entra firmy Microsoft, możesz użyć karty uwierzytelniania wieloskładnikowego platformy Azure z usługami AD FS 2016 lub nowszymi.

Jeśli Twoja organizacja jest federacyjna z identyfikatorem Entra firmy Microsoft, możesz skonfigurować uwierzytelnianie wieloskładnikowe firmy Microsoft jako dostawcę uwierzytelniania z zasobami usług AD FS zarówno lokalnie, jak i w chmurze.

Klienci usługi RADIUS i uwierzytelnianie wieloskładnikowe firmy Microsoft

W przypadku aplikacji korzystających z uwierzytelniania usługi RADIUS zalecamy przeniesienie aplikacji klienckich do nowoczesnych protokołów, takich jak SAML, OpenID Połączenie lub OAuth w usłudze Microsoft Entra ID. Jeśli nie można zaktualizować aplikacji, możesz wdrożyć serwer zasad sieciowych (NPS) za pomocą rozszerzenia usługi Azure MFA. Rozszerzenie serwera zasad sieciowych (NPS) działa jako karta między aplikacjami opartymi na usłudze RADIUS i uwierzytelnianiem wieloskładnikowym firmy Microsoft w celu zapewnienia drugiego czynnika uwierzytelniania.

Typowe integracje

Wielu dostawców obsługuje teraz uwierzytelnianie SAML dla swoich aplikacji. Jeśli to możliwe, zalecamy sfederowanie tych aplikacji z identyfikatorem Entra firmy Microsoft i wymuszanie uwierzytelniania wieloskładnikowego za pośrednictwem dostępu warunkowego. Jeśli dostawca nie obsługuje nowoczesnego uwierzytelniania, możesz użyć rozszerzenia NPS. Typowe integracje klientów usługi RADIUS obejmują aplikacje, takie jak bramy usług pulpitu zdalnego i serwery sieci VPN.

Inne mogą obejmować:

  • Citrix Gateway

    Usługa Citrix Gateway obsługuje integrację rozszerzeń RADIUS i NPS oraz integrację protokołu SAML.

  • Cisco VPN

    • Aplikacja Cisco VPN obsługuje zarówno uwierzytelnianie RADIUS, jak i SAML na potrzeby logowania jednokrotnego.
    • Przechodząc z uwierzytelniania usługi RADIUS do protokołu SAML, możesz zintegrować sieć VPN cisco bez wdrażania rozszerzenia serwera NPS.
  • Wszystkie sieci VPN

Wdrażanie uwierzytelniania wieloskładnikowego firmy Microsoft

Plan wdrożenia uwierzytelniania wieloskładnikowego firmy Microsoft powinien obejmować wdrożenie pilotażowe, a następnie fale wdrażania, które znajdują się w ramach twojej pojemności pomocy technicznej. Rozpocznij wdrażanie, stosując zasady dostępu warunkowego do małej grupy użytkowników pilotażowych. Po ocenie wpływu na użytkowników pilotażowych, używane procesy i zachowania rejestracji można dodać więcej grup do zasad lub dodać kolejnych użytkowników do istniejących grup.

Wykonaj poniższe kroki:

  1. Spełnianie niezbędnych wymagań wstępnych
  2. Konfigurowanie wybranych metod uwierzytelniania
  3. Konfigurowanie zasad dostępu warunkowego
  4. Konfigurowanie ustawień okresu istnienia sesji
  5. Konfigurowanie zasad rejestracji uwierzytelniania wieloskładnikowego firmy Microsoft

Zarządzanie uwierzytelnianiem wieloskładnikowymi firmy Microsoft

Ta sekcja zawiera informacje dotyczące raportowania i rozwiązywania problemów dotyczących uwierzytelniania wieloskładnikowego firmy Microsoft.

Raportowanie i monitorowanie

Identyfikator Entra firmy Microsoft zawiera raporty, które zapewniają szczegółowe informacje techniczne i biznesowe, postępuj zgodnie z postępem wdrażania i sprawdź, czy użytkownicy pomyślnie logują się przy użyciu uwierzytelniania wieloskładnikowego. Czy właściciele aplikacji biznesowych i technicznych zakładają własność tych raportów i korzystają z nich w oparciu o wymagania organizacji.

Rejestrację i użycie metod uwierzytelniania w całej organizacji można monitorować przy użyciu pulpitu nawigacyjnego Działania metody uwierzytelniania. Pomaga to zrozumieć, jakie metody są rejestrowane i jak są używane.

Raport logowania w celu przejrzenia zdarzeń uwierzytelniania wieloskładnikowego

Raporty logowania w usłudze Microsoft Entra zawierają szczegóły uwierzytelniania dla zdarzeń, gdy użytkownik jest monitowany o uwierzytelnianie wieloskładnikowe i czy są używane jakiekolwiek zasady dostępu warunkowego. Możesz również użyć programu PowerShell do raportowania użytkowników zarejestrowanych na potrzeby uwierzytelniania wieloskładnikowego firmy Microsoft.

Rozszerzenia serwera NPS i dzienniki usług AD FS dla działania uwierzytelniania wieloskładnikowego w chmurze są teraz uwzględniane w dziennikach logowania i nie są już publikowane w raporcie Aktywności.

Aby uzyskać więcej informacji i dodatkowe raporty uwierzytelniania wieloskładnikowego firmy Microsoft, zobacz Przeglądanie zdarzeń uwierzytelniania wieloskładnikowego firmy Microsoft Entra.

Rozwiązywanie problemów z uwierzytelnianiem wieloskładnikowy firmy Microsoft

Zobacz Rozwiązywanie problemów z uwierzytelnianiem wieloskładnikowego firmy Microsoft, aby zapoznać się z typowymi problemami.

Przewodnik z przewodnikiem

Aby zapoznać się z przewodnikiem dotyczącym wielu zaleceń w tym artykule, zobacz przewodnik z przewodnikiem Konfigurowanie uwierzytelniania wieloskładnikowego platformy Microsoft 365.

Następne kroki

Wdrażanie innych funkcji tożsamości