Planowanie wdrożenia uwierzytelniania wieloskładnikowego firmy Microsoft

Uwierzytelnianie wieloskładnikowe firmy Microsoft pomaga chronić dostęp do danych i aplikacji, zapewniając kolejną warstwę zabezpieczeń przy użyciu drugiej formy uwierzytelniania. Organizacje mogą włączyć uwierzytelnianie wieloskładnikowe z dostępem warunkowym, aby rozwiązanie pasowało do określonych potrzeb.

W tym przewodniku wdrażania pokazano, jak zaplanować i wdrożyć wdrożenie uwierzytelniania wieloskładnikowego firmy Microsoft.

Wymagania wstępne dotyczące wdrażania uwierzytelniania wieloskładnikowego firmy Microsoft

Przed rozpoczęciem wdrażania upewnij się, że spełnisz następujące wymagania wstępne dotyczące odpowiednich scenariuszy.

Scenariusz	Warunek wstępny
Środowisko tożsamości tylko w chmurze z nowoczesnym uwierzytelnianiem	Brak zadań wstępnych
Scenariusze tożsamości hybrydowej	Wdrażanie programu Microsoft Entra Connect i synchronizowanie tożsamości użytkowników między usługami lokalna usługa Active Directory Domain Services (AD DS) i Microsoft Entra ID.
Starsze aplikacje lokalne opublikowane na potrzeby dostępu do chmury	Wdrażanie serwera proxy aplikacji Microsoft Entra

Wybieranie metod uwierzytelniania dla uwierzytelniania wieloskładnikowego

Istnieje wiele metod, które mogą służyć do uwierzytelniania dwuskładnikowego. Możesz wybrać spośród listy dostępnych metod uwierzytelniania, oceniając je pod względem zabezpieczeń, użyteczności i dostępności.

Ważne

Włącz więcej niż jedną metodę uwierzytelniania wieloskładnikowego, aby użytkownicy mieli dostępną metodę tworzenia kopii zapasowej, jeśli ich metoda podstawowa jest niedostępna. Metody obejmują:

• Windows Hello for Business
• Aplikacja Microsoft Authenticator
• Klucz zabezpieczeń FIDO2
• Tokeny sprzętowe OATH (wersja zapoznawcza)
• Tokeny oprogramowania OATH
• Weryfikacja wiadomości SMS
• Weryfikacja połączeń głosowych

Podczas wybierania metod uwierzytelniania, które będą używane w dzierżawie, należy wziąć pod uwagę zabezpieczenia i użyteczność tych metod:

Aby dowiedzieć się więcej na temat siły i bezpieczeństwa tych metod oraz sposobu ich działania, zobacz następujące zasoby:

• Jakie metody uwierzytelniania i weryfikacji są dostępne w usłudze identyfikatora Microsoft Entra?
• Wideo: Wybierz odpowiednie metody uwierzytelniania, aby zapewnić bezpieczeństwo organizacji

Ten skrypt programu PowerShell umożliwia analizowanie konfiguracji uwierzytelniania wieloskładnikowego użytkowników i sugerowanie odpowiedniej metody uwierzytelniania wieloskładnikowego.

Aby uzyskać najlepszą elastyczność i użyteczność, użyj aplikacji Microsoft Authenticator. Ta metoda uwierzytelniania zapewnia najlepsze środowisko użytkownika i wiele trybów, takich jak bez hasła, powiadomienia wypychane MFA i kody OATH. Aplikacja Microsoft Authenticator spełnia również wymagania National Institute of Standards and Technology (NIST) Authenticator Assurance Level 2.

Możesz kontrolować metody uwierzytelniania dostępne w dzierżawie. Na przykład możesz zablokować niektóre z najmniej bezpiecznych metod, takich jak sms.

Metoda uwierzytelniania	Zarządzaj z	Określanie zakresu
Microsoft Authenticator (wysyłanie powiadomień wypychanych i logowanie za pomocą telefonu bez hasła)	Ustawienia uwierzytelniania wieloskładnikowego lub zasady metod uwierzytelniania	Logowanie bez hasła do aplikacji Authenticator może być ograniczone do użytkowników i grup
Klucz zabezpieczeń FIDO2	Zasady metod uwierzytelniania	Zakres można ograniczyć do użytkowników i grup
Tokeny OATH oprogramowania lub sprzętu	Ustawienia uwierzytelniania wieloskładnikowego
Weryfikacja wiadomości SMS	Ustawienia uwierzytelniania wieloskładnikowego Zarządzanie logowaniem sms na potrzeby uwierzytelniania podstawowego w zasadach uwierzytelniania	Logowanie sms może być ograniczone do użytkowników i grup.
Połączenia głosowe	Zasady metod uwierzytelniania

Planowanie zasad dostępu warunkowego

Uwierzytelnianie wieloskładnikowe firmy Microsoft jest wymuszane przy użyciu zasad dostępu warunkowego. Te zasady umożliwiają monitowanie użytkowników o uwierzytelnianie wieloskładnikowe w razie potrzeby w celu zapewnienia bezpieczeństwa i trzymać się poza sposobem korzystania z użytkowników, gdy nie jest to konieczne.

W centrum administracyjnym firmy Microsoft Entra skonfigurujesz zasady dostępu warunkowego w obszarze Ochrona>dostępu warunkowego.

Aby dowiedzieć się więcej na temat tworzenia zasad dostępu warunkowego, zobacz Zasady dostępu warunkowego w celu monitowania o uwierzytelnianie wieloskładnikowe firmy Microsoft podczas logowania użytkownika. Ułatwia to:

• Zapoznanie się z interfejsem użytkownika
• Zapoznaj się z pierwszym wrażeniem działania dostępu warunkowego

Aby uzyskać kompleksowe wskazówki dotyczące wdrażania dostępu warunkowego firmy Microsoft Entra, zobacz plan wdrożenia dostępu warunkowego.

Typowe zasady uwierzytelniania wieloskładnikowego firmy Microsoft

Typowe przypadki użycia wymagające uwierzytelniania wieloskładnikowego firmy Microsoft obejmują:

• Dla administratorów
• Do określonych aplikacji
• Dla wszystkich użytkowników
• Zarządzanie platformą Azure
• Z lokalizacji sieciowych nie ufasz

Nazwane lokalizacje

Aby zarządzać zasadami dostępu warunkowego, warunek lokalizacji zasad dostępu warunkowego umożliwia powiązanie ustawień kontroli dostępu z lokalizacjami sieciowymi użytkowników. Zalecamy używanie nazwanych lokalizacji , aby można było tworzyć logiczne grupowania zakresów adresów IP lub krajów i regionów. Spowoduje to utworzenie zasad dla wszystkich aplikacji, które blokują logowanie z tej nazwanej lokalizacji. Pamiętaj, aby wykluczyć administratorów z tych zasad.

Zasady oparte na ryzyku

Jeśli organizacja używa Ochrona tożsamości Microsoft Entra do wykrywania sygnałów o podwyższonym ryzyku, rozważ użycie zasad opartych na ryzyku zamiast nazwanych lokalizacji. Zasady można utworzyć, aby wymusić zmiany hasła w przypadku zagrożenia naruszenia tożsamości lub wymagać uwierzytelniania wieloskładnikowego, gdy logowanie jest uznawane za zagrożone , takie jak wyciek poświadczeń, logowania z anonimowych adresów IP i nie tylko.

Zasady ryzyka obejmują:

• Wymagaj od wszystkich użytkowników zarejestrowania się na potrzeby uwierzytelniania wieloskładnikowego firmy Microsoft
• Wymaganie zmiany hasła dla użytkowników, którzy są narażeni na wysokie ryzyko
• Wymaganie uwierzytelniania wieloskładnikowego dla użytkowników o średnim lub wysokim ryzyku logowania

Konwertowanie użytkowników z uwierzytelniania wieloskładnikowego dla użytkownika na uwierzytelnianie wieloskładnikowe oparte na dostępie warunkowym

Jeśli użytkownicy zostali włączeni przy użyciu uwierzytelniania wieloskładnikowego dla poszczególnych użytkowników i wymusili uwierzytelnianie wieloskładnikowe firmy Microsoft, zalecamy włączenie dostępu warunkowego dla wszystkich użytkowników, a następnie ręczne wyłączenie uwierzytelniania wieloskładnikowego dla poszczególnych użytkowników. Aby uzyskać więcej informacji, zobacz Tworzenie zasad dostępu warunkowego.

Planowanie okresu istnienia sesji użytkownika

Podczas planowania wdrożenia uwierzytelniania wieloskładnikowego ważne jest, aby zastanowić się, jak często chcesz monitować użytkowników. Prośba użytkowników o poświadczenia często wydaje się rozsądną rzeczą do zrobienia, ale może backfire. Jeśli użytkownicy są przeszkoleni w celu wprowadzania poświadczeń bez myślenia, mogą przypadkowo dostarczyć je do złośliwego monitu o poświadczenia. Identyfikator Entra firmy Microsoft ma wiele ustawień, które określają, jak często trzeba ponownie uwierzytelnić. Poznaj potrzeby firmy i użytkowników oraz skonfiguruj ustawienia, które zapewniają najlepszą równowagę dla danego środowiska.

Zalecamy używanie urządzeń z podstawowymi tokenami odświeżania (PRT) w celu zwiększenia środowiska użytkownika końcowego i zmniejszenia okresu istnienia sesji przy użyciu zasad częstotliwości logowania tylko w określonych przypadkach użycia biznesowego.

Aby uzyskać więcej informacji, zobacz Optymalizowanie monitów o ponowne uwierzytelnianie i omówienie okresu istnienia sesji dla uwierzytelniania wieloskładnikowego firmy Microsoft.

Planowanie rejestracji użytkowników

Głównym krokiem w każdym wdrożeniu uwierzytelniania wieloskładnikowego jest zarejestrowani użytkownicy zarejestrowani w celu korzystania z uwierzytelniania wieloskładnikowego firmy Microsoft Entra. Metody uwierzytelniania, takie jak Voice i SMS, umożliwiają wstępną rejestrację, podczas gdy inne, takie jak aplikacja Authenticator, wymagają interakcji z użytkownikiem. Administratorzy muszą określić, w jaki sposób użytkownicy będą rejestrować swoje metody.

Rejestracja połączona na potrzeby samoobsługowego resetowania hasła i uwierzytelniania wieloskładnikowego firmy Microsoft

Połączone środowisko rejestracji dla uwierzytelniania wieloskładnikowego firmy Microsoft i samoobsługowego resetowania hasła (SSPR) umożliwia użytkownikom rejestrowanie się zarówno w celu korzystania z uwierzytelniania wieloskładnikowego, jak i samoobsługowego resetowania hasła w ujednoliconym środowisku. Samoobsługowe resetowanie hasła umożliwia użytkownikom bezpieczne resetowanie hasła przy użyciu tych samych metod, które używają do uwierzytelniania wieloskładnikowego firmy Microsoft Entra. Aby upewnić się, że rozumiesz funkcje i środowisko użytkownika końcowego, zobacz Połączone pojęcia dotyczące rejestracji informacji o zabezpieczeniach.

Ważne jest, aby poinformować użytkowników o nadchodzących zmianach, wymaganiach dotyczących rejestracji i wszelkich niezbędnych działaniach użytkownika. Udostępniamy szablony komunikacji i dokumentację użytkownika, aby przygotować użytkowników do nowego środowiska i pomóc w zapewnieniu pomyślnego wdrożenia. Wyślij użytkowników do rejestracji https://myprofile.microsoft.com , wybierając link Informacje zabezpieczające na tej stronie.

Rejestracja przy użyciu Ochrona tożsamości Microsoft Entra

Ochrona tożsamości Microsoft Entra przyczynia się zarówno do zasad rejestracji, jak i zautomatyzowanych zasad wykrywania ryzyka i korygowania w scenariuszu uwierzytelniania wieloskładnikowego firmy Microsoft. Zasady można utworzyć, aby wymusić zmiany hasła w przypadku zagrożenia naruszenia tożsamości lub wymagać uwierzytelniania wieloskładnikowego, gdy logowanie zostanie uznane za ryzykowne. Jeśli używasz Ochrona tożsamości Microsoft Entra, skonfiguruj zasady rejestracji uwierzytelniania wieloskładnikowego firmy Microsoft, aby monitować użytkowników o zarejestrowanie się przy następnym logowaniu interakcyjnym.

Rejestracja bez Ochrona tożsamości Microsoft Entra

Jeśli nie masz licencji, które umożliwiają Ochrona tożsamości Microsoft Entra, użytkownicy będą monitowani o zarejestrowanie przy następnym użyciu uwierzytelniania wieloskładnikowego podczas logowania. Aby wymagać od użytkowników korzystania z uwierzytelniania wieloskładnikowego, można użyć zasad dostępu warunkowego i docelowych często używanych aplikacji, takich jak systemy HR. Jeśli hasło użytkownika zostało naruszone, może służyć do rejestrowania się w usłudze MFA, przejęcie kontroli nad kontem. Dlatego zalecamy zabezpieczenie procesu rejestracji zabezpieczeń przy użyciu zasad dostępu warunkowego wymagających zaufanych urządzeń i lokalizacji. Proces można dodatkowo zabezpieczyć, wymagając również tymczasowego dostępu. Ograniczony czasowo kod dostępu wystawiony przez administratora, który spełnia silne wymagania uwierzytelniania i może służyć do dołączania innych metod uwierzytelniania, w tym bez hasła.

Zwiększanie bezpieczeństwa zarejestrowanych użytkowników

Jeśli masz użytkowników zarejestrowanych w usłudze MFA przy użyciu wiadomości SMS lub połączeń głosowych, możesz przenieść je do bezpieczniejszych metod, takich jak aplikacja Microsoft Authenticator. Firma Microsoft oferuje teraz publiczną wersję zapoznawcza funkcji, która umożliwia monit użytkowników o skonfigurowanie aplikacji Microsoft Authenticator podczas logowania. Te monity można ustawić według grupy, kontrolując, kto jest monitowany, umożliwiając ukierunkowanym kampaniom przenoszenie użytkowników do bezpieczniejszej metody.

Planowanie scenariuszy odzyskiwania

Jak wspomniano wcześniej, upewnij się, że użytkownicy są zarejestrowani dla więcej niż jednej metody uwierzytelniania wieloskładnikowego, aby w przypadku niedostępności, mieli kopię zapasową. Jeśli użytkownik nie ma dostępnej metody tworzenia kopii zapasowej, możesz:

• Podaj im dostęp tymczasowy, aby mógł zarządzać własnymi metodami uwierzytelniania. Możesz również podać dostęp tymczasowy, aby umożliwić tymczasowy dostęp do zasobów.
• Zaktualizuj swoje metody jako administrator. W tym celu wybierz użytkownika w centrum administracyjnym firmy Microsoft Entra, a następnie wybierz pozycję Metody uwierzytelniania ochrony>i zaktualizuj ich metody.

Planowanie integracji z systemami lokalnymi

Aplikacje, które uwierzytelniają się bezpośrednio przy użyciu identyfikatora Entra firmy Microsoft i mają nowoczesne uwierzytelnianie (WS-Fed, SAML, OAuth, OpenID Connect) może korzystać z zasad dostępu warunkowego. Niektóre starsze i lokalne aplikacje nie uwierzytelniają się bezpośrednio względem identyfikatora Entra firmy Microsoft i wymagają dodatkowych kroków w celu korzystania z uwierzytelniania wieloskładnikowego firmy Microsoft. Można je zintegrować przy użyciu serwera proxy aplikacji Firmy Microsoft lub usług zasad sieciowych.

Integracja z zasobami usług AD FS

Zalecamy migrowanie aplikacji zabezpieczonych za pomocą usług Active Directory Federation Services (AD FS) do identyfikatora entra firmy Microsoft. Jeśli jednak nie jesteś gotowy do migracji tych elementów do identyfikatora Entra firmy Microsoft, możesz użyć karty uwierzytelniania wieloskładnikowego platformy Azure z usługami AD FS 2016 lub nowszymi.

Jeśli Twoja organizacja jest federacyjna z identyfikatorem Entra firmy Microsoft, możesz skonfigurować uwierzytelnianie wieloskładnikowe firmy Microsoft jako dostawcę uwierzytelniania z zasobami usług AD FS zarówno lokalnie, jak i w chmurze.

Klienci usługi RADIUS i uwierzytelnianie wieloskładnikowe firmy Microsoft

W przypadku aplikacji korzystających z uwierzytelniania usługi RADIUS zalecamy przeniesienie aplikacji klienckich do nowoczesnych protokołów, takich jak SAML, OpenID Connect lub OAuth w usłudze Microsoft Entra ID. Jeśli nie można zaktualizować aplikacji, możesz wdrożyć rozszerzenie serwera zasad sieciowych (NPS). Rozszerzenie serwera zasad sieciowych (NPS) działa jako karta między aplikacjami opartymi na usłudze RADIUS i uwierzytelnianiem wieloskładnikowym firmy Microsoft w celu zapewnienia drugiego czynnika uwierzytelniania.

Typowe integracje

Wielu dostawców obsługuje teraz uwierzytelnianie SAML dla swoich aplikacji. Jeśli to możliwe, zalecamy sfederowanie tych aplikacji z identyfikatorem Entra firmy Microsoft i wymuszanie uwierzytelniania wieloskładnikowego za pośrednictwem dostępu warunkowego. Jeśli dostawca nie obsługuje nowoczesnego uwierzytelniania, możesz użyć rozszerzenia NPS. Typowe integracje klientów usługi RADIUS obejmują aplikacje, takie jak bramy usług pulpitu zdalnego i serwery sieci VPN.

Inne mogą obejmować:

• Citrix Gateway

  Usługa Citrix Gateway obsługuje integrację rozszerzeń RADIUS i NPS oraz integrację protokołu SAML.

• Cisco VPN

  • Aplikacja Cisco VPN obsługuje zarówno uwierzytelnianie RADIUS, jak i SAML na potrzeby logowania jednokrotnego.
  • Przechodząc z uwierzytelniania usługi RADIUS do protokołu SAML, możesz zintegrować sieć VPN cisco bez wdrażania rozszerzenia serwera NPS.

• Wszystkie sieci VPN

Wdrażanie uwierzytelniania wieloskładnikowego firmy Microsoft

Plan wdrożenia uwierzytelniania wieloskładnikowego firmy Microsoft powinien obejmować wdrożenie pilotażowe, a następnie fale wdrażania, które znajdują się w ramach twojej pojemności pomocy technicznej. Rozpocznij wdrażanie, stosując zasady dostępu warunkowego do małej grupy użytkowników pilotażowych. Po ocenie wpływu na użytkowników pilotażowych, używane procesy i zachowania rejestracji można dodać więcej grup do zasad lub dodać kolejnych użytkowników do istniejących grup.

Wykonaj poniższe kroki:

1. Spełnianie niezbędnych wymagań wstępnych
2. Konfigurowanie wybranych metod uwierzytelniania
3. Konfigurowanie zasad dostępu warunkowego
4. Konfigurowanie ustawień okresu istnienia sesji
5. Konfigurowanie zasad rejestracji uwierzytelniania wieloskładnikowego firmy Microsoft

Zarządzanie uwierzytelnianiem wieloskładnikowymi firmy Microsoft

Ta sekcja zawiera informacje dotyczące raportowania i rozwiązywania problemów dotyczących uwierzytelniania wieloskładnikowego firmy Microsoft.

Raportowanie i monitorowanie

Identyfikator Entra firmy Microsoft zawiera raporty, które zapewniają szczegółowe informacje techniczne i biznesowe, postępuj zgodnie z postępem wdrażania i sprawdź, czy użytkownicy pomyślnie logują się przy użyciu uwierzytelniania wieloskładnikowego. Czy właściciele aplikacji biznesowych i technicznych zakładają własność tych raportów i korzystają z nich w oparciu o wymagania organizacji.

Rejestrację i użycie metod uwierzytelniania w całej organizacji można monitorować przy użyciu pulpitu nawigacyjnego Działania metody uwierzytelniania. Pomaga to zrozumieć, jakie metody są rejestrowane i jak są używane.

Raport logowania w celu przejrzenia zdarzeń uwierzytelniania wieloskładnikowego

Raporty logowania w usłudze Microsoft Entra zawierają szczegóły uwierzytelniania dla zdarzeń, gdy użytkownik jest monitowany o uwierzytelnianie wieloskładnikowe i czy są używane jakiekolwiek zasady dostępu warunkowego. Możesz również użyć programu PowerShell do raportowania użytkowników zarejestrowanych na potrzeby uwierzytelniania wieloskładnikowego firmy Microsoft.

Rozszerzenia serwera NPS i dzienniki usług AD FS dla działania uwierzytelniania wieloskładnikowego w chmurze są teraz uwzględniane w dziennikach logowania i nie są już publikowane w raporcie Aktywności.

Aby uzyskać więcej informacji i dodatkowe raporty uwierzytelniania wieloskładnikowego firmy Microsoft, zobacz Przeglądanie zdarzeń uwierzytelniania wieloskładnikowego firmy Microsoft Entra.

Rozwiązywanie problemów z uwierzytelnianiem wieloskładnikowy firmy Microsoft

Zobacz Rozwiązywanie problemów z uwierzytelnianiem wieloskładnikowego firmy Microsoft, aby zapoznać się z typowymi problemami.

Przewodnik z przewodnikiem

Aby zapoznać się z przewodnikiem dotyczącym wielu zaleceń w tym artykule, zobacz przewodnik z przewodnikiem Konfigurowanie uwierzytelniania wieloskładnikowego platformy Microsoft 365.

Następne kroki

Wdrażanie innych funkcji tożsamości