Samouczek: zabezpieczanie zdarzeń logowania użytkownika za pomocą uwierzytelniania wieloskładnikowego firmy Microsoft
Uwierzytelnianie wieloskładnikowe to proces, w którym użytkownik jest monitowany o dodatkowe formy identyfikacji podczas zdarzenia logowania. Na przykład może pojawić się monit o wprowadzenie kodu na telefonie komórkowym lub dostarczenie skanowania odciskiem palca. Jeśli potrzebujesz drugiej formy identyfikacji, bezpieczeństwo jest zwiększane, ponieważ ten dodatkowy czynnik nie jest łatwy do uzyskania lub duplikatu przez osobę atakującą.
Zasady uwierzytelniania wieloskładnikowego i dostępu warunkowego firmy Microsoft umożliwiają elastyczne wymaganie uwierzytelniania wieloskładnikowego od użytkowników w przypadku określonych zdarzeń logowania.
Ważne
W tym samouczku pokazano administratorowi, jak włączyć uwierzytelnianie wieloskładnikowe firmy Microsoft. Aby przejść przez uwierzytelnianie wieloskładnikowe jako użytkownik, zobacz Logowanie się do konta służbowego przy użyciu metody weryfikacji dwuetapowej.
Jeśli twój zespół IT nie włączył możliwości korzystania z uwierzytelniania wieloskładnikowego firmy Microsoft lub jeśli masz problemy podczas logowania, skontaktuj się z pomocą techniczną, aby uzyskać dodatkową pomoc.
Ten samouczek zawiera informacje na temat wykonywania następujących czynności:
- Utwórz zasady dostępu warunkowego, aby włączyć uwierzytelnianie wieloskładnikowe firmy Microsoft dla grupy użytkowników.
- Skonfiguruj warunki zasad monitujące o uwierzytelnianie wieloskładnikowe.
- Przetestuj konfigurowanie i używanie uwierzytelniania wieloskładnikowego jako użytkownika.
Wymagania wstępne
Do ukończenia tego samouczka potrzebne są następujące zasoby i uprawnienia:
Działająca dzierżawa firmy Microsoft Entra z włączonym identyfikatorem Entra ID P1 lub licencjami wersji próbnej firmy Microsoft.
- Jeśli chcesz, utwórz go bezpłatnie.
Konto z co najmniej rolą administratora dostępu warunkowego. Niektóre ustawienia uwierzytelniania wieloskładnikowego mogą być również zarządzane przez administratora zasad uwierzytelniania.
Konto inne niż administrator z hasłem, które znasz. Na potrzeby tego samouczka utworzyliśmy takie konto o nazwie testuser. W tym samouczku przetestujesz środowisko użytkownika końcowego dotyczące konfigurowania i używania uwierzytelniania wieloskładnikowego firmy Microsoft.
- Jeśli potrzebujesz informacji na temat tworzenia konta użytkownika, zobacz Dodawanie lub usuwanie użytkowników przy użyciu identyfikatora Entra firmy Microsoft.
Grupa, do którego należy użytkownik niebędący administratorem. Na potrzeby tego samouczka utworzyliśmy taką grupę o nazwie MFA-Test-Group. W tym samouczku włączysz uwierzytelnianie wieloskładnikowe firmy Microsoft dla tej grupy.
- Jeśli potrzebujesz więcej informacji na temat tworzenia grupy, zobacz Tworzenie podstawowej grupy i dodawanie członków przy użyciu identyfikatora Entra firmy Microsoft.
Tworzenie zasady dostępu warunkowego
Napiwek
Kroki opisane w tym artykule mogą się nieznacznie różnić w zależności od portalu, od którego zaczynasz.
Zalecanym sposobem włączania i używania uwierzytelniania wieloskładnikowego firmy Microsoft jest użycie zasad dostępu warunkowego. Dostęp warunkowy umożliwia tworzenie i definiowanie zasad, które reagują na zdarzenia logowania oraz żądają dodatkowych akcji przed przyznaniem użytkownikowi dostępu do aplikacji lub usługi.
Zasady dostępu warunkowego można stosować do określonych użytkowników, grup i aplikacji. Celem jest ochrona organizacji przy jednoczesnym zapewnieniu odpowiednich poziomów dostępu do użytkowników, którzy jej potrzebują.
W tym samouczku utworzymy podstawowe zasady dostępu warunkowego w celu wyświetlenia monitu o uwierzytelnianie wieloskładnikowe podczas logowania użytkownika. W kolejnym samouczku z tej serii skonfigurujemy uwierzytelnianie wieloskładnikowe firmy Microsoft przy użyciu zasad dostępu warunkowego opartego na ryzyku.
Najpierw utwórz zasady dostępu warunkowego i przypisz grupę testową użytkowników w następujący sposób:
Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej Administrator dostępu warunkowego.
Przejdź do pozycji Ochrona>dostępu warunkowego, wybierz pozycję + Nowe zasady, a następnie wybierz pozycję Utwórz nowe zasady.
Wprowadź nazwę zasad, na przykład pilotaż usługi MFA.
W obszarze Przypisania wybierz bieżącą wartość w obszarze Użytkownicy lub tożsamości obciążenia.
W obszarze Co mają zastosowanie te zasady?, sprawdź, czy wybrano opcję Użytkownicy i grupy .
W obszarze Uwzględnij wybierz pozycję Wybierz użytkowników i grupy, a następnie wybierz pozycję Użytkownicy i grupy.
Ponieważ nikt nie jest jeszcze przypisany, lista użytkowników i grup (pokazana w następnym kroku) zostanie otwarta automatycznie.
Wyszukaj i wybierz grupę Microsoft Entra, taką jak MFA-Test-Group, a następnie wybierz pozycję Wybierz.
Wybraliśmy grupę, do których mają być stosowane zasady. W następnej sekcji skonfigurujemy warunki, w których mają być stosowane zasady.
Konfigurowanie warunków uwierzytelniania wieloskładnikowego
Po utworzeniu zasad dostępu warunkowego i przypisaniu grupy testowej użytkowników zdefiniuj aplikacje w chmurze lub akcje wyzwalające zasady. Te aplikacje lub akcje w chmurze to scenariusze, które decydujesz o konieczności dodatkowego przetwarzania, takich jak monitowanie o uwierzytelnianie wieloskładnikowe. Możesz na przykład zdecydować, że dostęp do aplikacji finansowej lub korzystanie z narzędzi do zarządzania wymaga dodatkowego monitu o uwierzytelnienie.
Konfigurowanie aplikacji wymagających uwierzytelniania wieloskładnikowego
Na potrzeby tego samouczka skonfiguruj zasady dostępu warunkowego, aby wymagać uwierzytelniania wieloskładnikowego, gdy użytkownik się zaloguje.
Wybierz bieżącą wartość w obszarze Aplikacje lub akcje w chmurze, a następnie w obszarze Wybierz, do czego mają zastosowanie te zasady, sprawdź, czy wybrano aplikacje w chmurze.
W obszarze Dołącz wybierz pozycję Wybierz zasoby.
Ponieważ żadne aplikacje nie są jeszcze wybrane, lista aplikacji (pokazana w następnym kroku) zostanie otwarta automatycznie.
Napiwek
Możesz zastosować zasady dostępu warunkowego do wszystkich zasobów (dawniej "Wszystkie aplikacje w chmurze") lub Wybierz zasoby. Aby zapewnić elastyczność, możesz również wykluczyć niektóre aplikacje z zasad.
Przejrzyj listę dostępnych zdarzeń logowania, których można użyć. Na potrzeby tego samouczka wybierz pozycję Interfejs API zarządzania usługami platformy Windows Azure, aby zasady miały zastosowanie do zdarzeń logowania. Następnie naciśnij przycisk Wybierz.
Konfigurowanie uwierzytelniania wieloskładnikowego na potrzeby dostępu
Następnie skonfigurujemy mechanizmy kontroli dostępu. Mechanizmy kontroli dostępu umożliwiają zdefiniowanie wymagań dotyczących udzielenia dostępu użytkownikowi. Może być wymagane użycie zatwierdzonej aplikacji klienckiej lub urządzenia dołączonego hybrydowo do identyfikatora Entra firmy Microsoft.
W tym samouczku skonfiguruj mechanizmy kontroli dostępu, aby wymagać uwierzytelniania wieloskładnikowego podczas zdarzenia logowania.
W obszarze Kontrola dostępu wybierz bieżącą wartość w obszarze Udziel, a następnie wybierz pozycję Udziel dostępu.
Wybierz pozycję Wymagaj uwierzytelniania wieloskładnikowego, a następnie wybierz pozycję Wybierz.
Aktywowanie zasad
Zasady dostępu warunkowego można ustawić na tylko raport, jeśli chcesz zobaczyć, jak konfiguracja wpłynie na użytkowników, lub Wyłączone , jeśli nie chcesz teraz używać zasad. Ponieważ grupa testowa użytkowników jest przeznaczona dla tego samouczka, włączmy zasady, a następnie przetestujmy uwierzytelnianie wieloskładnikowe firmy Microsoft.
W obszarze Włączanie zasad wybierz pozycję Włączone.
Aby zastosować zasady dostępu warunkowego, wybierz pozycję Utwórz.
Testowanie uwierzytelniania wieloskładnikowego firmy Microsoft
Zobaczmy zasady dostępu warunkowego i uwierzytelnianie wieloskładnikowe firmy Microsoft w działaniu.
Najpierw zaloguj się do zasobu, który nie wymaga uwierzytelniania wieloskładnikowego:
Otwórz nowe okno przeglądarki w trybie incognito lub InPrivate i przejdź do adresu https://account.activedirectory.windowsazure.com.
Korzystanie z trybu prywatnego w przeglądarce uniemożliwia wszelkim istniejącym poświadczenie wpływające na to zdarzenie logowania.
Zaloguj się przy użyciu użytkownika testowego innego niż administrator, takiego jak testuser. Pamiętaj, aby uwzględnić
@
nazwę domeny i nazwę domeny dla konta użytkownika.Jeśli jest to pierwsze wystąpienie logowania przy użyciu tego konta, zostanie wyświetlony monit o zmianę hasła. Nie ma jednak monitu o skonfigurowanie lub użycie uwierzytelniania wieloskładnikowego.
Zamknij okno przeglądarki.
Skonfigurowano zasady dostępu warunkowego, aby wymagać dodatkowego uwierzytelniania na potrzeby logowania. W związku z tą konfiguracją zostanie wyświetlony monit o użycie uwierzytelniania wieloskładnikowego firmy Microsoft lub skonfigurowanie metody, jeśli jeszcze tego nie zrobiono. Przetestuj to nowe wymaganie, logując się do centrum administracyjnego firmy Microsoft Entra:
Otwórz nowe okno przeglądarki w trybie InPrivate lub incognito i zaloguj się do centrum administracyjnego firmy Microsoft Entra.
Zaloguj się przy użyciu użytkownika testowego innego niż administrator, takiego jak testuser. Pamiętaj, aby uwzględnić
@
nazwę domeny i nazwę domeny dla konta użytkownika.Musisz zarejestrować się na potrzeby uwierzytelniania wieloskładnikowego firmy Microsoft i korzystać z niego.
Wybierz przycisk Dalej , aby rozpocząć proces.
Możesz skonfigurować telefon uwierzytelniania, telefon biurowy lub aplikację mobilną na potrzeby uwierzytelniania. Telefon uwierzytelniania obsługuje wiadomości SMS i połączenia telefoniczne, telefon biurowy obsługuje połączenia z numerami, które mają rozszerzenie, a aplikacja mobilna obsługuje używanie aplikacji mobilnej do odbierania powiadomień na potrzeby uwierzytelniania lub generowania kodów uwierzytelniania.
Wykonaj instrukcje na ekranie, aby skonfigurować wybraną metodę uwierzytelniania wieloskładnikowego.
Zamknij okno przeglądarki i zaloguj się ponownie do centrum administracyjnego firmy Microsoft Entra, aby przetestować skonfigurowaną metodę uwierzytelniania. Jeśli na przykład skonfigurowano aplikację mobilną do uwierzytelniania, powinien zostać wyświetlony monit podobny do poniższego.
Zamknij okno przeglądarki.
Czyszczenie zasobów
Jeśli nie chcesz już używać zasad dostępu warunkowego skonfigurowanego w ramach tego samouczka, usuń zasady, wykonując następujące czynności:
Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej Administrator dostępu warunkowego.
Przejdź do pozycji Ochrona>dostępu warunkowego, a następnie wybierz utworzone zasady, takie jak pilotaż usługi MFA.
wybierz pozycję Usuń, a następnie potwierdź, że chcesz usunąć zasady.
Następne kroki
W tym samouczku włączono uwierzytelnianie wieloskładnikowe firmy Microsoft przy użyciu zasad dostępu warunkowego dla wybranej grupy użytkowników. W tym samouczku omówiono:
- Utwórz zasady dostępu warunkowego, aby włączyć uwierzytelnianie wieloskładnikowe firmy Microsoft dla grupy użytkowników firmy Microsoft Entra.
- Skonfiguruj warunki zasad, które monituje o uwierzytelnianie wieloskładnikowe.
- Przetestuj konfigurowanie i używanie uwierzytelniania wieloskładnikowego jako użytkownika.