Руководство по Защита событий входа с помощью Многофакторной идентификации Azure AD

Многофакторная проверка подлинности (MFA) — это процесс, в котором пользователю предлагаются дополнительные варианты идентификации во время события входа. Например, может быть предложено ввести код с мобильного телефона или пройти сканирование отпечатка пальца. Требование второго варианта идентификации повышает безопасность, так как злоумышленнику будет нелегко получить или скопировать дополнительный фактор проверки.

Многофакторная проверка подлинности Azure AD и политики условного доступа обеспечивают гибкость при включении MFA для пользователей при определенных событиях входа. Общие сведения об MFA см. в этом видео: Как настраивать и применять многофакторную проверку подлинности в клиенте.

Важно!

В этом руководстве показано, как администраторы могут включить Многофакторную идентификацию Azure AD.

Если ваша ИТ-команда не включила возможность использования многофакторной проверки подлинности Azure AD или у вас возникли проблемы во время входа, обратитесь в службу технической поддержки за дополнительной помощью.

Из этого руководства вы узнаете, как выполнить следующие задачи:

  • Создание политики условного доступа для включения многофакторной проверки подлинности Azure AD для группы пользователей.
  • Настройка условий политики, запрашивающих MFA.
  • Проверка настройки и использования многофакторной проверки подлинности в качестве пользователя.

Предварительные требования

Для работы с этим учебником требуются следующие ресурсы и разрешения:

  • Рабочий арендатор Azure AD с включенной лицензией Azure AD Premium P1 или пробной лицензией.

  • Учетная запись с правами администратора условного доступа, администратора безопасности или глобального администратора. Некоторыми параметрами MFA также может управлять администратор политик проверки подлинности. Дополнительные сведения см. в статье Администратор политики проверки подлинности.

  • Учетная запись без прав администратора с известным вам паролем. Для этого учебника мы создали такую учетную запись под названием testuser. В этом учебнике вы протестируете пользовательский интерфейс настройки и использования многофакторной проверки подлинности Azure AD.

  • Группа, в которую входит пользователь без прав администратора. Для этого учебника мы создали такую группу под названием MFA-Test-Group. В этом учебнике вы включите многофакторную проверку подлинности Azure AD для этой группы.

Создание политики условного доступа

Рекомендуемый способ включения и использования Многофакторной идентификации Azure AD — с помощью политик условного доступа. Условный доступ позволяет создавать и определять политики, реагирующие на события входа, которые запрашивают дополнительные действия перед предоставлением пользователю доступа к приложению или службе.

Обзорная схема защиты процесса входа с помощью условного доступа

Политики условного доступа можно применять к конкретным пользователям, группам и приложениям. Их целью является защита вашей организации и одновременное обеспечение необходимых уровней доступа пользователей.

В этом учебнике мы создадим базовую политику условного доступа для запроса MFA при входе пользователя на портал Azure. В одном из следующих учебников этой серии мы настроим многофакторную проверку подлинности Azure AD с помощью политики условного доступа на основе рисков.

Сначала создайте политику условного доступа и назначьте тестовую группу пользователей следующим образом.

  1. Войдите на портал Azure с учетной записью с разрешениями глобального администратора.

  2. Найдите и выберите Azure Active Directory. Затем выберите Безопасность в левой части меню.

  3. Выберите Условный доступ, затем Новая политика и Создать политику.

    Снимок экрана: страница

  4. Введите имя политики, например MFA Pilot.

  5. В разделе Назначения выберите текущее значение в пункте Пользователи или удостоверения рабочей нагрузки.

    Снимок экрана: страница

  6. Убедитесь, что в пункте К кому применяется эта политика? выбрано Пользователи и группы.

  7. В пункте Включить выберите Выбрать пользователей или группы, а затем — Пользователи и группы.

    Снимок экрана страницы для создания новой политики, где выбираются параметры для указания пользователей и групп.

    Поскольку они еще не назначены, автоматически откроется список пользователей и групп (как показано на следующем этапе).

  8. Найдите и выберите соответствующую группу AAD, например MFA-Test-Group, а затем щелкните Выбрать.

    Снимок экрана: список пользователей и групп, где результаты отфильтрованы по строке M F A и выбран элемент MFA-Test-Group.

Мы выбрали группу, к которой необходимо применить политику. В следующем разделе мы настроим условия, при которых она будет применяться.

Настройка условий для многофакторной проверки подлинности

Создав политику условного доступа и назначив тестовую группу пользователей, определите облачные приложения или действия, активирующие политику. Эти облачные приложения или действия представляют собой сценарии, для которых вы хотите определить такую дополнительную обработку, как запрос многофакторной проверки подлинности. Например, вы могли решить, что для доступа к финансовому приложению или средствам управления требуется дополнительный запрос проверки подлинности.

Настройка приложений, для которых требуется многофакторная проверка подлинности

Для этого учебника настройте политику условного доступа, которая будет требовать многофакторную проверку подлинности при входе пользователя на портал Azure.

  1. Выберите текущее значение в разделе Облачные приложения или действия и убедитесь, что в пункте Выбрать объект, к которому будет применяться эта политика выбрано Облачные приложения.

  2. В списке Включить нажмите Выбрать приложения.

    Поскольку приложения еще не выбраны, автоматически откроется список приложений (как показано на следующем этапе).

    Совет

    Вы можете применить политику условного доступа ко всем облачным приложениям или только к выбранным приложениям. Для обеспечения гибкости можно также исключить определенные приложения из политики.

  3. Просмотрите список доступных событий входа, которые можно использовать. Для этого учебника выберите Управление Microsoft Azure, чтобы политика применялась к событиям входа на портал Azure. Затем щелкните Выбрать.

    Снимок экрана: страница условного доступа, на которой выбрано приложение Microsoft Azure Management, к которому будет применена новая политика.

Настройка многофакторной проверки подлинности для доступа

Теперь настроим элементы управления доступом. Они позволяют определять требования к пользователю для предоставления доступа. Они также необходимы для использования утвержденного клиентского приложения или устройства с гибридным подключением к Azure AD.

В этом учебнике вы настроите элементы управления доступом для требования многофакторной проверки подлинности во время событий входа на портал Azure.

  1. В разделе Элементы управления доступом выберите текущее значение в пункте Предоставление разрешения, а затем нажмите Предоставить доступ.

    Снимок экрана: страница условного доступа, на которой выбраны элементы

  2. Выберите Требовать многофакторную проверку подлинности, а затем нажмите Выбрать.

    Снимок экрана: параметры для предоставления доступа при выборе варианта

Активация политики

Для политик условного доступа можно задать параметр Только отчет, если вы хотите узнать, как эта конфигурация повлияет на пользователей, или Выключено, если вы не хотите сейчас ее использовать. Так как в этом учебнике используется тестовая группа пользователей, давайте включим политику и проверим многофакторную проверку подлинности Azure AD.

  1. В разделе Включить политику нажмите кнопку Вкл.

    Снимок экрана: элемент управления, расположенный в нижней части веб-страницы, где указывается, включена ли политика.

  2. Чтобы применить политику условного доступа, выберите Создать.

Проверка Многофакторной идентификации Azure AD

Давайте посмотрим на политику условного доступа и Многофакторную идентификацию Azure AD в действии.

Сначала войдите в ресурс, который не требует MFA:

  1. Откройте новое окно браузера в режиме InPrivate или в режиме инкогнито, а затем перейдите по адресу https://account.activedirectory.windowsazure.com.

    Приватный режим браузера защитит событие входа от влияния существующих учетных данных.

  2. Выполните вход с помощью тестового пользователя без прав администратора, например testuser. Не забудьте включить @ и доменное имя в учетной записи пользователя.

    При первом входе в эту учетную запись появится запрос на изменение пароля. Однако запросы на настройку или использование многофакторной проверки подлинности не появляются.

  3. Закройте окно браузера.

Вы настроили политику условного доступа на требование дополнительной проверки подлинности для портала Azure. Благодаря такой конфигурации у вас появится запрос на использование многофакторной проверки подлинности Azure AD или на настройку этого метода, если она у вас еще не подключена. Проверьте, как работает это новое требование, выполнив вход на портал Azure:

  1. Откройте новое окно браузера в анонимном режиме или в режиме InPrivate и перейдите по ссылке: https://portal.azure.com.

  2. Выполните вход с помощью тестового пользователя без прав администратора, например testuser. Не забудьте включить @ и доменное имя в учетной записи пользователя.

    Для использования Многофакторной идентификации Azure AD необходимо зарегистрироваться.

    Запрос с сообщением

  3. Нажмите Далее, чтобы запустить процесс.

    Для проверки подлинности можно настроить номер мобильного или рабочего телефона, а также мобильное приложение. Телефон для проверки подлинности поддерживает текстовые сообщения и звонки, рабочий телефон поддерживает звонки на номера с расширением, а мобильное приложение поддерживает получение уведомлений для проверки подлинности или создание кодов проверки подлинности в приложении.

    Запрос с сообщением

  4. Выполните инструкции на экране, чтобы настроить выбранный метод многофакторной проверки подлинности.

  5. Закройте окно браузера и выполните повторный вход по адресу https://portal.azure.com, чтобы проверить настроенный метод проверки подлинности. Например, если для проверки подлинности вы настроили мобильное приложение, вы увидите подсказку следующего типа.

    Чтобы войти, следуйте инструкциям в браузере, а затем на устройстве, зарегистрированном для многофакторной проверки подлинности.

  6. Закройте окно браузера.

Очистка ресурсов

Если вы больше не хотите использовать политику условного доступа, которую вы настроили в рамках этого учебника, удалите ее, выполнив следующие действия:

  1. Войдите на портал Azure.

  2. Найдите и выберите Azure Active Directory, а затем выберите Безопасность в левой части меню.

  3. Выберите Условный доступ, а затем — созданную политику, например MFA Pilot.

  4. Нажмите Удалить и подтвердите, что хотите удалить политику.

    Чтобы удалить открытую политику условного доступа, выберите действие

Дальнейшие действия

В этом учебнике вы включили многофакторную проверку подлинности Azure AD с помощью политик условного доступа для выбранной группы пользователей. Вы ознакомились с выполнением следующих задач:

  • Создание политики условного доступа для включения многофакторной проверки подлинности Azure AD для группы пользователей Azure AD.
  • Настройка условий политики, запрашивающих многофакторную проверку подлинности.
  • Проверка настройки и использования многофакторной проверки подлинности в качестве пользователя.