Планирование развертывания многофакторной проверки подлинности Microsoft Entra

Microsoft Entra многофакторная проверка подлинности помогает защитить доступ к данным и приложениям, обеспечивая еще один уровень безопасности с помощью второй формы проверки подлинности. Организации могут включить многофакторную проверку подлинности с условным доступом, чтобы решение соответствовало их нуждам.

В этом руководстве по развертыванию показано, как спланировать и реализовать Microsoft Entra развертывания многофакторной проверки подлинности.

Предварительные требования для развертывания Microsoft Entra многофакторной проверки подлинности

Прежде чем приступать к развертыванию, убедитесь в том, чтоб соблюдены следующие условия для соответствующих сценариев.

Сценарий	Предварительные требования
Среда только облачных удостоверений с современной проверкой подлинности	Действия не требуются
Гибридные сценарии идентификации	Развертывание Microsoft Entra Connect и синхронизация удостоверений пользователей между доменными службами локальная служба Active Directory (AD DS) и идентификатором Microsoft Entra.
Локальные устаревшие приложения, опубликованные для облачного доступа	Развертывание прокси приложения Microsoft Entra

Выбор методов проверки подлинности для многофакторной проверки подлинности

Существует множество методов, которые можно использовать для добавления второго уровня проверки подлинности. Вы можете выбрать любой из доступных методов проверки подлинности, оценивая их с точки зрения безопасности, удобства использования и доступности.

Важно!

Включите несколько методов проверки подлинности, чтобы пользователи имели доступ к резервному методу, если основной метод проверки подлинности окажется недоступен. Ниже перечислены используемые методы.

• Windows Hello для бизнеса
• Приложение Microsoft Authenticator
• Ключ безопасности FIDO2 (ознакомительная версия)
• Аппаратные маркеры OATH (предварительная версия)
• Программные маркеры OATH
• Верификация с помощи текстового сообщения
• Проверка голосовой связи

При выборе методов проверки подлинности, которые будут использоваться в арендаторе, учитывайте безопасность и удобство использования этих методов.

Дополнительные сведения о надежности и безопасности этих методов и принципах их работы см. в следующих ресурсах.

• Какие методы проверки подлинности и проверки доступны в идентификаторе Microsoft Entra?
• Видеоролик. Выбор соответствующих методов проверки подлинности для защиты вашей организации

Этот скрипт PowerShell можно использовать для анализа конфигураций многофакторной проверки подлинности для пользователей и рекомендации соответствующего метода проверки подлинности.

Чтобы обеспечить гибкость и удобство использования, рекомендуется использовать приложение Microsoft Authenticator. Данный метод проверки подлинности обеспечивает лучшее взаимодействие с пользователем и несколько режимов, таких как доступ без пароля, Push-уведомления MFA и OATH-коды. Приложение Microsoft Authenticator также соответствует 2 уровню безопасности проверки подлинности, установленным Национальным институтом стандартов и технологий (NIST).

Вы можете самостоятельно управлять методами проверки подлинности, доступными в клиенте. Например, можно заблокировать некоторые из наименее защищенных методов, таких как проверка подлинности с использованием SMS-сообщений.

Метод проверки подлинности	Управление из	Scoping
Microsoft Authenticator (Push-уведомления и мобильный вход без пароля)	Параметры многофакторной проверки подлинности или политика для методов проверки подлинности	Мобильный вход в систему без пароля через Authenticator можно ограничить конкретными пользователями и группами.
Ключ безопасности FIDO2	Политика для методов проверки подлинности	Область действия может быть ограничена для пользователей и групп
Программные и аппаратные токены OATH	Параметры многофакторной проверки подлинности
Верификация с помощи текстового сообщения	Параметры многофакторной проверки подлинности Управление входом в систему по SMS для первичной проверки подлинности в политике проверки подлинности	Область действия входа по SMS может быть ограничена конкретными пользователями и группами.
голосовые звонки;	Политика для методов проверки подлинности

Планирование политики условного доступа

Microsoft Entra многофакторная проверка подлинности применяется с помощью политик условного доступа. Эти политики позволяют предлагать пользователям MFA, когда это необходимо для обеспечения безопасности, и не вмешиваться в работу пользователей, когда это не требуется.

В центре администрирования Microsoft Entra настройте политики условного доступа в разделе Защита>условного доступа.

Дополнительные сведения о создании политик условного доступа см. в статье Политика условного доступа для запроса Microsoft Entra многофакторной проверки подлинности при входе пользователя. Этот пример поможет вам:

• ознакомиться с пользовательским интерфейсом;
• получить первое впечатление о работе условного доступа.

Комплексные рекомендации по развертыванию Microsoft Entra условного доступа см. в разделе План развертывания условного доступа.

Общие политики для Microsoft Entra многофакторной проверки подлинности

Распространенные варианты использования, требующие Microsoft Entra многофакторной проверки подлинности:

• вход администраторов;
• вход конкретных приложений;
• вход всех пользователей;
• вход для управления Azure;
• вход из сетевых расположений, которым вы не доверяете.

Именованные расположения

Для управления политиками условного доступа условие расположения политики условного доступа позволяет привязать параметры управления доступом к расположениям пользователей в сети. Мы рекомендуем использовать именованные расположения, чтобы создать логические группы диапазонов IP-адресов, стран и регионов. При этом создается политика для всех приложений, которая блокирует вход из этого именованного расположения. Обязательно исключите администраторов из этой политики.

Политики на основе рисков

Если ваша организация использует Защита идентификации Microsoft Entra для обнаружения сигналов риска, рассмотрите возможность использования политик на основе рисков вместо именованных расположений. Можно создавать политики для принудительного изменения пароля при наличии угрозы компрометации удостоверения или для обязательного прохождения MFA, если вход в систему считается подверженным риску, например в случае утечки учетных данных, входа с анонимных IP-адресов и т. д.

К политикам на основе рисков относятся:

• Требовать, чтобы все пользователи зарегистрировались для Microsoft Entra многофакторной проверки подлинности
• Требование изменения пароля для пользователей с высоким риском
• Требование прохождения MFA для пользователей со средним или высоким уровнем риска при входе

Преобразование пользователей из MFA для каждого пользователя в MFA на основе условного доступа

Если пользователи были активированы индивидуально с использованием MFA, при помощи PowerShell можно перейти на условный доступ, основанный на MFA.

Запустите PowerShell в окне интегрированной среды сценариев или сохраните его как файл .PS1 для локального запуска. Эту операцию можно выполнить только с помощью модуля MSOnline.

# Sets the MFA requirement state
function Set-MfaState {
    [CmdletBinding()]
    param(
        [Parameter(ValueFromPipelineByPropertyName=$True)]
        $ObjectId,
        [Parameter(ValueFromPipelineByPropertyName=$True)]
        $UserPrincipalName,
        [ValidateSet("Disabled","Enabled","Enforced")]
        $State
    )
    Process {
        Write-Verbose ("Setting MFA state for user '{0}' to '{1}'." -f $ObjectId, $State)
        $Requirements = @()
        if ($State -ne "Disabled") {
            $Requirement =
                [Microsoft.Online.Administration.StrongAuthenticationRequirement]::new()
            $Requirement.RelyingParty = "*"
            $Requirement.State = $State
            $Requirements += $Requirement
        }
        Set-MsolUser -ObjectId $ObjectId -UserPrincipalName $UserPrincipalName `
                     -StrongAuthenticationRequirements $Requirements
    }
}
# Disable MFA for all users
Get-MsolUser -All | Set-MfaState -State Disabled

Планирование времени существования сеанса пользователя

При планировании развертывания многофакторной проверки подлинности важно подумать о том, как часто потребуется отображать запрос для пользователей. Частые запросы на ввод учетных данных может быть разумным подходом, но у него есть и обратная сторона. Если приучить пользователей вводить учетные данные снова и снова, может произойти так, что они непреднамеренно введут свои данные при появлении вредоносного запроса. Microsoft Entra id имеет несколько параметров, определяющих частоту повторной проверки подлинности. Необходимо учитывать бизнес-потребности и запросы пользователей и настраивать параметры так, чтобы создать оптимальный баланс для вашей среды.

Мы рекомендуем использовать устройства с основными токенами обновления (PRT), чтобы повысить удобство работы конечных пользователей и сократить время существования сеанса за счет политики частоты входа только для конкретных бизнес-сценариев использования.

Дополнительные сведения см. в статье Оптимизация запросов повторной проверки подлинности и сведения о времени существования сеанса для Microsoft Entra многофакторной проверки подлинности.

Планирование регистрации пользователей

Важным шагом в каждом развертывании многофакторной проверки подлинности является получение регистрации пользователей для использования Microsoft Entra многофакторной проверки подлинности. Такие методы проверки подлинности, как проверка подлинности с помощью голосовой связи или SMS, допускают предварительную регистрацию, а другие, например, через приложение Authenticator, требует взаимодействия напрямую с пользователем. Администраторы должны определить, как пользователи будут регистрировать свои методы.

Объединенная регистрация для SSPR и Microsoft Entra многофакторной проверки подлинности

Объединенный процесс регистрации для Microsoft Entra многофакторной проверки подлинности и самостоятельного сброса пароля (SSPR) позволяет пользователям зарегистрироваться как для MFA, так и для SSPR в едином интерфейсе. SSPR позволяет пользователям безопасно сбрасывать пароль, используя те же методы, которые они используют для Microsoft Entra многофакторной проверки подлинности. Чтобы хорошо разобраться в этих возможностях и взаимодействии с пользователем, изучите статью Общие сведения об объединенной регистрации сведений о безопасности.

Очень важно информировать пользователей о предстоящих изменениях, требованиях к регистрации и обо всех действиях, которые пользователю необходимо будет предпринять. Мы предоставляем шаблоны сообщений и документацию для пользователей, чтобы подготовить пользователей к новым возможностям и обеспечить успешный выпуск. Отправьте пользователей в https://myprofile.microsoft.com для регистрации, выбрав ссылку Сведения о безопасности на этой странице.

Регистрация с помощью Защиты идентификации

Защита идентификации Microsoft Entra вносит как политику регистрации, так и автоматические политики обнаружения и исправления рисков в Microsoft Entra многофакторной проверки подлинности. Можно создавать политики для принудительного изменения пароля при возникновении угрозы компрометации идентификатора или при необходимости использования MFA, когда вход считается рискованным. Если вы используете Защита идентификации Microsoft Entra, настройте политику регистрации Microsoft Entra многофакторной проверки подлинности, чтобы предложить пользователям зарегистрироваться при следующем интерактивном входе.

Регистрация без Защиты идентификации

Если у вас нет лицензий, которые позволяют Защита идентификации Microsoft Entra, пользователям будет предложено зарегистрироваться в следующий раз, когда потребуется многофакторная проверка подлинности при входе. Чтобы обязать пользователей использовать MFA, можно использовать политики условного доступа и целевые часто используемые приложения, такие как системы отдела кадров. Если пароль пользователя скомпрометирован, его можно использовать при регистрации для проведения MFA и контроля учетной записи. Поэтому мы рекомендуем защитить процесс регистрации безопасности с помощью политик условного доступа , требующих доверенных устройств и расположений. Кроме того, для дополнительной защиты можно также затребовать временный секретный код. Временный секретный код — это секретный код, действующий ограниченное время, которые выдается администратором, удовлетворяет требованиям строгой проверки подлинности и может использоваться для подключения других методов проверки подлинности, включая беcпарольные.

Дополнительная защита зарегистрированных пользователей

Если у вас есть пользователи, зарегистрированные для MFA посредством SMS или голосовой связи, вам, возможно, потребуется выбрать для них более безопасные методы, такие как приложение Microsoft Authenticator. Теперь корпорация Microsoft предлагает общедоступную предварительную версию функции, которая позволяют предлагать пользователям настроить приложение Microsoft Authenticator во время входа. Вы можете настроить эти запросы по группам, чтобы указать, кто будет получать запрос. Это позволит перемещать пользователей в более безопасный метод с помощью целевых кампаний.

Планирование сценариев восстановления

Как уже говорилось ранее, необходимо убедиться в том, что пользователи зарегистрированы для использования нескольких методов MFA, чтобы обеспечить наличие резервного метода при недоступности основного. Если пользователю недоступен резервный метод, можно:

• предоставить временный секретный код, чтобы пользователи могли управлять собственными методами проверки подлинности. Кроме того, можно также предоставить временный секретный код, чтобы разрешить временный доступ к ресурсам;
• обновить их методы, используя права администратора. Для этого выберите пользователя в центре администрирования Microsoft Entra, а затем выберитеМетоды проверки подлинностизащиты> и обновите их методы.

Планирование интеграции журналов с локальными системами

Приложения, которые проходят проверку подлинности напрямую с помощью идентификатора Microsoft Entra и имеют современную проверку подлинности (WS-Fed, SAML, OAuth, OpenID Connect), могут использовать политики условного доступа. Некоторые устаревшие и локальные приложения не проходят проверку подлинности непосредственно по идентификатору Microsoft Entra и требуют дополнительных действий для использования Microsoft Entra многофакторной проверки подлинности. Их можно интегрировать с помощью Microsoft Entra прокси приложения или служб политики сети.

Интеграция с ресурсами AD FS

Рекомендуется перенести приложения, защищенные с помощью службы федерации Active Directory (AD FS) (AD FS), в Microsoft Entra идентификатор. Однако если вы не готовы перенести их в Microsoft Entra id, можно использовать адаптер многофакторной проверки подлинности Azure с AD FS 2016 или более поздней версии.

Если ваша организация является федеративной с Microsoft Entra id, вы можете настроить Microsoft Entra многофакторной проверки подлинности в качестве поставщика проверки подлинности с ресурсами AD FS как локально, так и в облаке.

Клиенты RADIUS и Microsoft Entra многофакторная проверка подлинности

Для приложений, использующих проверку подлинности RADIUS, рекомендуется переместить клиентские приложения на современные протоколы, такие как SAML, OpenID Connect или OAuth по Microsoft Entra id. Если приложение нельзя обновить, можно развернуть сервер сетевой политики (NPS) с расширением Azure MFA. Расширение сервера политики сети (NPS) выступает в качестве адаптера между приложениями на основе RADIUS и Microsoft Entra многофакторной проверкой подлинности для обеспечения второго фактора проверки подлинности.

Общие интеграции

Многие поставщики теперь поддерживают проверку подлинности SAML для своих приложений. По возможности рекомендуется настроить федерацию этих приложений с идентификатором Microsoft Entra и применить MFA с помощью условного доступа. Если поставщик не поддерживает современные методы проверки подлинности, можно использовать расширение NPS. Обычные интеграции клиентов RADIUS включают такие приложения, как шлюзы удаленного рабочего стола и VPN-серверы.

Другие интеграции:

• Шлюз Citrix

  Шлюз Citrix поддерживает интеграцию расширений RADIUS и NPS, а также интеграцию SAML.

• Cisco VPN

  • Cisco VPN поддерживает проверку подлинности RADIUS и SAML для единого входа.
  • Переход от проверки подлинности RADIUS к SAML позволяет интегрировать Cisco VPN без развертывания расширения NPS.

• Все виртуальные частные сети

Развертывание Microsoft Entra многофакторной проверки подлинности

Ваш Microsoft Entra план развертывания многофакторной проверки подлинности должен включать пилотное развертывание, а затем волны развертывания, которые находятся в пределах вашей емкости поддержки. Начните развертывание, применив политики условного доступа к небольшой группе пилотных пользователей. После оценки влияния на пилотных пользователей, используемого процесса и вариантов поведения при регистрации можно добавить дополнительные группы в политику или дополнительных пользователей в существующие группы.

Выполните инструкции, описанные ниже.

1. Обеспечьте соблюдение необходимых предварительных требований
2. Настройте выбранные методы проверки подлинности.
3. Настройте политики условного доступа.
4. Настройте параметры времени существования сеанса
5. Настройка Microsoft Entra политик регистрации многофакторной проверки подлинности

Управление многофакторной проверкой подлинности Microsoft Entra

В этом разделе содержатся отчеты и сведения об устранении неполадок для Microsoft Entra многофакторной проверки подлинности.

Создание отчетов и мониторинг

Microsoft Entra id содержит отчеты, предоставляющие техническую и бизнес-аналитику, следите за ходом развертывания и проверка, если пользователи успешно выполняют вход с помощью MFA. Предложите владельцам технических и бизнес-приложений принять на себя ответственность за эти отчеты и использовать их в соответствии с требованиями вашей организации.

Вы можете отслеживать регистрацию и использование метода проверки подлинности в своей организации с помощью панели мониторинга действий для методов проверки подлинности. Это поможет понять, какие методы зарегистрированы и как они используются.

Отчет о входе для просмотра событий MFA

Отчеты о Microsoft Entra входа содержат сведения о проверке подлинности для событий, когда пользователю предлагается MFA, а также о том, использовались ли какие-либо политики условного доступа. PowerShell также можно использовать для создания отчетов о пользователях, зарегистрированных для Microsoft Entra многофакторной проверки подлинности.

Журналы расширения NPS и AD FS для действий облачной MFA теперь включаются в журналы входа и больше не публикуются в отчете о действиях.

Дополнительные сведения и дополнительные Microsoft Entra отчеты о многофакторной проверке подлинности см. в статье Проверка Microsoft Entra событий многофакторной проверки подлинности.

Устранение неполадок Microsoft Entra многофакторной проверки подлинности

Распространенные проблемы см. в статье Устранение неполадок Microsoft Entra многофакторной проверки подлинности.

Пошаговое руководство

Пошаговое руководство по многим рекомендациям, приведенным в этой статье, см. в пошаговом руководстве по настройке многофакторной проверки подлинности Microsoft 365.

Следующие шаги

Развертывание других функций удостоверений