Planowanie wdrożenia uwierzytelniania wieloskładnikowego
Przed rozpoczęciem wdrażania uwierzytelniania wieloskładnikowego firmy Microsoft należy podjąć kilka decyzji.
Po pierwsze należy rozważyć wprowadzanie usługi MFA w falach. Zacznij od małej grupy użytkowników pilotażowych, aby oszacować złożoność środowiska i zidentyfikować wszelkie problemy z instalacją lub nieobsługiwane aplikacje bądź urządzenia. Następnie rozszerz grupę z upływem czasu i oceń wyniki z każdym przekazywaniem do momentu zarejestrowania całej firmy.
Pamiętaj, aby potem utworzyć pełny plan komunikacji. Uwierzytelnianie wieloskładnikowe firmy Microsoft ma kilka wymagań dotyczących interakcji użytkownika, w tym proces rejestracji. Informuj użytkowników o każdym kroku. Poinformuj ich, co są wymagane do zrobienia, ważnych dat i jak uzyskać odpowiedzi na pytania, jeśli mają problemy. Firma Microsoft udostępnia szablony komunikacji ułatwiające przygotowanie komunikacji, w tym plakaty i szablony wiadomości e-mail.
Zasady uwierzytelniania wieloskładnikowego firmy Microsoft
Uwierzytelnianie wieloskładnikowe firmy Microsoft jest wymuszane przy użyciu zasad dostępu warunkowego. Zasady dostępu warunkowego to instrukcje typu IF-THEN (JEŚLI-TO). JEŚLI użytkownik chce uzyskać dostęp do zasobu, TO musi wykonać akcję. Na przykład menedżer płac chce uzyskać dostęp do aplikacji płac i jest wymagany do przeprowadzenia uwierzytelniania wieloskładnikowego w celu uzyskania do niego dostępu. Inne typowe żądania dostępu, które mogą wymagać uwierzytelniania wieloskładnikowego:
- JEŚLI uzyskiwany jest dostęp do konkretnej aplikacji w chmurze
- JEŚLI użytkownik uzyskuje dostęp do określonej sieci
- JEŚLI użytkownik uzyskuje dostęp do określonej aplikacji klienckiej
- JEŚLI użytkownik rejestruje nowe urządzenie
Podejmowanie decyzji dotyczących obsługiwanych metod uwierzytelniania
Po włączeniu uwierzytelniania wieloskładnikowego firmy Microsoft możesz wybrać metody uwierzytelniania, które chcesz udostępnić. Zawsze należy wybierać obsługę więcej niż jednej metody, aby użytkownicy mieli zapasową opcję w przypadku, gdy ich podstawowa metoda będzie niedostępna. Dostępne są następujące metody:
| Metoda | opis |
|---|---|
| Kod weryfikacyjny aplikacji mobilnej | Aplikacja uwierzytelniania mobilnego, taka jak aplikacja Microsoft Authenticator, może służyć do pobierania kodu weryfikacyjnego OATH, który następnie jest wprowadzany w interfejsie logowania. Ten kod jest zmieniany co 30 sekund, a aplikacja działa nawet w przypadku ograniczonej łączności. Takie podejście nie działa w Chinach na urządzeniach z systemem Android. |
| Powiadomienie aplikacji mobilnej | Platforma Azure może wysyłać powiadomienie wypychane do aplikacji uwierzytelniania mobilnego, takiej jak Microsoft Authenticator. Użytkownik może wybrać powiadomienie wypychane i zweryfikować logowanie. |
| Połączenie telefoniczne | Platforma Azure może nawiązywać połączenie z podanym numerem telefonu. Następnie użytkownik zatwierdza uwierzytelnianie przy użyciu klawiatury. Ta metoda jest preferowana w przypadku kopii zapasowych. |
| Klucz zabezpieczeń FIDO2 | Klucze zabezpieczeń FIDO2 to niefeksowalna metoda uwierzytelniania bez hasła oparta na standardach. Te klucze są zazwyczaj urządzeniami USB, ale mogą również używać połączenia Bluetooth lub NFC. |
| Windows Hello for Business | Windows Hello dla firm zastępuje hasła silnym uwierzytelnianiem dwuskładnikowym na urządzeniach. To uwierzytelnianie składa się z typu poświadczeń użytkownika powiązanego z urządzeniem i używa biometrycznego lub numeru PIN. |
| Tokeny OATH | Tokeny OATH mogą być aplikacjami oprogramowania, takimi jak aplikacja Microsoft Authenticator i inne aplikacje uwierzytelniania, lub tokeny oparte na sprzęcie, które klienci mogą kupować od różnych dostawców. |
Administracja istratory mogą włączyć co najmniej jedną z tych opcji, a następnie użytkownicy mogą wyrazić zgodę na każdą metodę uwierzytelniania, której chcą użyć.
Wybieranie metody uwierzytelniania
Na koniec musisz zdecydować, w jaki sposób użytkownicy rejestrują wybrane metody. Najprostszym podejściem jest użycie Ochrona tożsamości Microsoft Entra. Jeśli Twoja organizacja ma licencję na usługę Identity Protection, możesz skonfigurować ją tak, aby monitował użytkowników o zarejestrowanie się w usłudze MFA przy następnym logowaniu.
Podczas próby użycia aplikacji lub usługi wymagającej uwierzytelniania wieloskładnikowego można również monitować użytkowników o zarejestrowanie się w celu skorzystania z uwierzytelniania wieloskładnikowego. W końcu można wymusić rejestrację za pomocą zasad dostępu warunkowego, które są stosowane do grupy platformy Azure zawierającej wszystkich użytkowników w organizacji. Takie podejście wymaga nieco ręcznej pracy, aby okresowo przeglądać grupę w celu usunięcia zarejestrowanych użytkowników. Aby zapoznać się z niektórymi przydatnymi skryptami automatyzujących niektóre z tych procesów, zobacz Planowanie wdrożenia uwierzytelniania wieloskładnikowego firmy Microsoft.