Udostępnij za pośrednictwem

Samouczek: migrowanie zasad logowania usługi Okta do usługi Microsoft Entra Conditional Access

W tym samouczku dowiesz się, jak migrować organizację z zasad logowania na poziomie globalnym lub aplikacji w usłudze Okta Conditional Access in Microsoft Entra ID (Dostęp warunkowy usługi Okta w usłudze Microsoft Entra ID). Zasady dostępu warunkowego zabezpieczają dostęp użytkowników w usłudze Microsoft Entra ID i połączonych aplikacjach.

Dowiedz się więcej: Co to jest dostęp warunkowy?

W tym samouczku założono, że masz następujące założenia:

  • Dzierżawa usługi Office 365 federacyjna do usługi Okta na potrzeby logowania i uwierzytelniania wieloskładnikowego
  • Serwer Microsoft Entra Connect lub agenci aprowizacji w chmurze Microsoft Entra Connect skonfigurowani do aprowizacji użytkowników w usłudze Microsoft Entra ID

Wymagania wstępne

Zapoznaj się z następującymi dwoma sekcjami dotyczącymi wymagań wstępnych dotyczących licencjonowania i poświadczeń.

Licencjonowanie

Istnieją wymagania dotyczące licencjonowania, jeśli przełączysz się z logowania usługi Okta na dostęp warunkowy. Proces wymaga licencji Microsoft Entra ID P1, aby włączyć rejestrację na potrzeby uwierzytelniania wieloskładnikowego firmy Microsoft.

Dowiedz się więcej: Przypisywanie lub usuwanie licencji w centrum administracyjnym firmy Microsoft Entra

Poświadczenia administratora przedsiębiorstwa

Aby skonfigurować rekord punktu połączenia usługi (SCP), upewnij się, że masz poświadczenia administratora przedsiębiorstwa w lesie lokalnym.

Ocena zasad logowania w usłudze Okta na potrzeby przejścia

Znajdź i oceń zasady logowania w usłudze Okta, aby określić, co zostanie przeniesione do identyfikatora Entra firmy Microsoft.

  1. W usłudze Okta przejdź do pozycji >.

    Zrzut ekranu przedstawiający wpisy zasad globalnego logowania wieloskładnikowego na stronie Uwierzytelnianie.

  2. Przejdź do pozycji Aplikacje.

  3. Z podmenu wybierz pozycję Aplikacje

  4. Z listy Aktywne aplikacje wybierz wystąpienie połączone z usługą Microsoft Office 365.

    Zrzut ekranu przedstawiający ustawienia w obszarze Logowanie w usłudze Microsoft Office 365.

  5. Wybierz pozycję Zaloguj.

  6. Przewiń stronę do dołu.

Zasady logowania aplikacji usługi Microsoft Office 365 mają cztery reguły:

  • Wymuszanie uwierzytelniania wieloskładnikowego dla sesji mobilnych — wymaga uwierzytelniania wieloskładnikowego podczas nowoczesnego uwierzytelniania lub sesji przeglądarki na systemach iOS lub Android
  • Zezwalaj na zaufane urządzenia z systemem Windows — zapobiega niepotrzebnej weryfikacji lub żądaniom dotyczącym czynników dla zaufanych urządzeń Okta
  • Wymaganie MFA z niezaufanych urządzeń z Windows — wymaga MFA podczas nowoczesnego uwierzytelniania lub sesji przeglądarki na niezaufanych urządzeniach z systemem Windows
  • Blokuj starsze uwierzytelnianie — uniemożliwia starszym klientom uwierzytelniania nawiązywanie połączenia z usługą

Poniższy zrzut ekranu zawiera warunki i akcje dla czterech reguł na ekranie Zasady logowania.

Zrzut ekranu przedstawiający warunki i akcje dla czterech reguł na ekranie Zasady logowania.

Konfigurowanie zasad dostępu warunkowego

Skonfiguruj zasady dostępu warunkowego, aby odpowiadały warunkom usługi Okta. Jednak w niektórych scenariuszach może być potrzebna większa konfiguracja:

  • Lokalizacje sieciowe usługi Okta do nazwanych lokalizacji w identyfikatorze Entra firmy Microsoft
  • Zaufanie urządzenia Okta do dostępu warunkowego opartego na urządzeniach (dwie opcje oceny urządzeń użytkowników):
    • Zobacz następującą sekcję, Konfiguracja przyłączania hybrydowego do usługi Microsoft Entra, aby zsynchronizować urządzenia z systemem Windows, takie jak Windows 10, Windows Server 2016 i 2019, z identyfikatorem Microsoft Entra ID.
    • Zobacz następującą sekcję Konfigurowanie zgodności urządzeń
    • Zobacz, jak użyć funkcji hybrydowego łączenia Microsoft Entra na serwerze Microsoft Entra Connect, która synchronizuje urządzenia z systemem Windows, takie jak Windows 10, Windows Server 2016 i Windows Server 2019, z Microsoft Entra ID.
    • Zobacz Rejestrowanie urządzenia w usłudze Microsoft Intune i przypisywanie zasad zgodności

Konfiguracja przyłączania hybrydowego firmy Microsoft Entra

Aby włączyć dołączanie hybrydowe firmy Microsoft Entra na serwerze Microsoft Entra Connect, uruchom kreatora konfiguracji. Po konfiguracji zarejestruj urządzenia.

Uwaga

Dołączanie hybrydowe firmy Microsoft Entra nie jest obsługiwane przez agentów aprowizacji w chmurze firmy Microsoft Entra Connect.

  1. Konfiguracja hybrydowego dołączenia Microsoft Entra.

  2. Na stronie Konfiguracja SCP wybierz listę rozwijaną Usługa uwierzytelniania.

    Zrzut ekranu przedstawiający listę rozwijaną usługi uwierzytelniania w oknie dialogowym Microsoft Entra Connect.

  3. Wybierz adres URL dostawcy federacyjnego Okta.

  4. Wybierz pozycję Dodaj.

  5. Wprowadź poświadczenia lokalnego administratora przedsiębiorstwa

  6. Wybierz pozycję Dalej.

    Napiwek

    Jeśli w zasadach logowania globalnego lub na poziomie aplikacji zablokowano starsze uwierzytelnianie na klientach systemu Windows, utwórz regułę umożliwiającą zakończenie procesu dołączania hybrydowego firmy Microsoft Entra. Zezwalaj na starszy stos uwierzytelniania dla klientów systemu Windows.
    Aby włączyć niestandardowe ciągi klienta w zasadach aplikacji, skontaktuj się z Centrum Pomocy Okta.

Konfigurowanie zgodności urządzeń

Dołączanie hybrydowe firmy Microsoft Entra jest zamiennikiem zaufania urządzenia Okta w systemie Windows. Zasady dostępu warunkowego rozpoznają zgodność urządzeń zarejestrowanych w usłudze Microsoft Intune.

Zasady zgodności urządzeń

Rejestracja w systemach Windows 10/11, iOS, iPadOS i Android

Jeśli wdrożono dołączenie hybrydowe firmy Microsoft Entra, możesz wdrożyć inne zasady grupy w celu ukończenia automatycznej rejestracji tych urządzeń w usłudze Intune.

Konfigurowanie ustawień dzierżawy uwierzytelniania wieloskładnikowego firmy Microsoft

Przed przejściem na dostęp warunkowy potwierdź podstawowe ustawienia dzierżawy usługi MFA dla organizacji.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako administrator tożsamości hybrydowej.

  2. Przejdź do Entra ID>Użytkownicy.

  3. Wybierz pozycję Uwierzytelnianie wieloskładnikowe dla poszczególnych użytkowników w górnym menu okienka Użytkownicy .

  4. Zostanie wyświetlony starszy portal uwierzytelniania wieloskładnikowego firmy Microsoft Entra. Możesz też wybrać portal uwierzytelniania wieloskładnikowego firmy Microsoft.

    Zrzut ekranu przedstawiający ekran uwierzytelniania wieloskładnikowego.

  5. Upewnij się, że nie ma włączonych użytkowników dla starego uwierzytelniania wieloskładnikowego: w menu Uwierzytelnianie wieloskładnikowe, w obszarze Stan uwierzytelniania wieloskładnikowego, wybierz pozycję Włączone i Wymuszone. Jeśli dzierżawa ma użytkowników w następujących widokach, wyłącz je w menu starszej wersji.

    Zrzut ekranu przedstawiający ekran uwierzytelniania wieloskładnikowego z wyróżnioną funkcją wyszukiwania.

  6. Upewnij się, że pole Wymuszone jest puste.

  7. Wybierz opcję Ustawienia usługi .

  8. Zmień opcję Hasła aplikacji na Nie zezwalaj użytkownikom na tworzenie haseł aplikacji w celu logowania się do aplikacji innych niż przeglądarki.

    Zrzut ekranu przedstawiający ekran uwierzytelniania wieloskładnikowego z wyróżnionymi ustawieniami usługi.

  9. Wyczyść pola wyboru Pomiń uwierzytelnianie wieloskładnikowe dla żądań od użytkowników federacyjnych w intranecie i Zezwalaj użytkownikom na zapamiętywanie uwierzytelniania wieloskładnikowego na zaufanych urządzeniach (od jednego do 365 dni).

  10. Wybierz pozycję Zapisz.

    Zrzut ekranu przedstawiający wyczyszczone pola wyboru na ekranie Wymagaj zaufanych urządzeń na potrzeby dostępu.

    Uwaga

    Zobacz Optymalizowanie monitów ponownego uwierzytelniania i zrozumienie żywotności sesji dla Microsoft Entra uwierzytelniania wieloskładnikowego.

Tworzenie zasad dostępu warunkowego

Aby skonfigurować zasady dostępu warunkowego, zobacz Najlepsze rozwiązania dotyczące wdrażania i projektowania dostępu warunkowego.

Po skonfigurowaniu wymagań wstępnych i ustalonych ustawieniach podstawowych można utworzyć zasady dostępu warunkowego. Zasady mogą być przeznaczone dla aplikacji, grupy testowej użytkowników lub obu tych zasad.

Przed rozpoczęciem pracy:

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra.

  2. Przejdź do adresu Entra ID>— dostęp warunkowy.

  3. Aby dowiedzieć się, jak utworzyć zasady w usłudze Microsoft Entra ID. Zobacz Typowe zasady dostępu warunkowego: Wymagaj uwierzytelniania wieloskładnikowego dla wszystkich użytkowników.

  4. Utwórz regułę dostępu warunkowego opartego na zaufaniu urządzenia.

    Zrzut ekranu przedstawiający wpisy dotyczące wymogu korzystania z zaufanych urządzeń w celu uzyskania dostępu w ramach Dostępu warunkowego.

    Zrzut ekranu przedstawiający okno dialogowe Utrzymuj swoje konto w bezpieczeństwie z komunikatem o powodzeniu.

  5. Po skonfigurowaniu zasad opartych na lokalizacji i zasad zaufania urządzeń zablokuj starsze uwierzytelnianie przy użyciu usługi Microsoft Entra ID za pomocą dostępu warunkowego.

Dzięki tym trzem zasadom dostępu warunkowego oryginalne środowisko zasad logowania w usłudze Okta jest replikowane w usłudze Microsoft Entra ID.

Rejestrowanie członków pilotażu w usłudze MFA

Użytkownicy rejestrują się na potrzeby metod uwierzytelniania wieloskładnikowego.

W przypadku rejestracji indywidualnej użytkownicy przechodzą do okienka Logowania Microsoft.

Aby zarządzać rejestracją, użytkownicy przechodzą do strony Microsoft My Sign-Ins | Informacje zabezpieczające.

Dowiedz się więcej: Włącz rejestrację połączonych informacji zabezpieczających w usłudze Microsoft Entra ID.

Uwaga

Jeśli użytkownicy są zarejestrowani, są przekierowywani do strony Moje zabezpieczenia po zaspokojeniu wymagań uwierzytelniania wieloskładnikowego.

Włączanie zasad dostępu warunkowego

  1. Aby przetestować, zmień utworzone zasady na Włączone logowanie użytkownika testowego.

    Zrzut ekranu przedstawiający zasady na ekranie Dostęp warunkowy i Zasady.

  2. W okienku Logowania w usłudze Office 365 użytkownik testowy John Smith jest monitowany o zalogowanie się przy użyciu usługi Okta MFA i uwierzytelniania wieloskładnikowego firmy Microsoft.

  3. Ukończ weryfikację uwierzytelniania wieloskładnikowego za pośrednictwem usługi Okta.

    Zrzut ekranu przedstawiający weryfikację uwierzytelniania wieloskładnikowego za pośrednictwem usługi Okta.

  4. Użytkownik jest monitowany o dostęp warunkowy.

  5. Upewnij się, że zasady zostały skonfigurowane do wyzwolenia dla uwierzytelniania wieloskładnikowego.

    Zrzut ekranu przedstawiający weryfikację uwierzytelniania wieloskładnikowego za pośrednictwem usługi Okta z monitem o dostęp warunkowy.

Dodawanie członków organizacji do zasad dostępu warunkowego

Po przeprowadzeniu testów na członkach pilotażu dodaj pozostałych członków organizacji do zasad dostępu warunkowego po rejestracji.

Aby uniknąć podwójnego monitowania między uwierzytelnianiem wieloskładnikowym firmy Microsoft i usługą MFA okta, zrezygnuj z uwierzytelniania wieloskładnikowego okta: modyfikowanie zasad logowania.

  1. Przejdź do konsoli administracyjnej usługi Okta

  2. Wybierz Zabezpieczenia>Uwierzytelnianie

  3. Przejdź do Zasady logowania.

    Uwaga

    Ustaw zasady globalne na Nieaktywne , jeśli wszystkie aplikacje z usługi Okta są chronione przez zasady logowania aplikacji.

  4. Ustaw politykę Wymuszanie MFA na Nieaktywne. Zasady można przypisać do nowej grupy, która nie obejmuje użytkowników firmy Microsoft Entra.

    Zrzut ekranu przedstawiający globalną politykę logowania MFA jako nieaktywną.

  5. W okienku zasad logowania na poziomie aplikacji wybierz opcję Wyłącz regułę.

  6. Wybierz pozycję Nieaktywne. Zasady można przypisać do nowej grupy, która nie obejmuje użytkowników firmy Microsoft Entra.

  7. Upewnij się, że dla aplikacji włączono co najmniej jedną zasadę logowania na poziomie aplikacji, która zezwala na dostęp bez uwierzytelniania wieloskładnikowego.

    Zrzut ekranu przedstawiający dostęp do aplikacji bez uwierzytelniania wieloskładnikowego.

  8. Podczas następnego logowania użytkownicy są monitowani o dostęp warunkowy.

Następne kroki