Självstudie: Skydda användarinloggningshändelser med Azure AD Multi-Factor Authentication

Multifaktorautentisering (MFA) är en process där en användare uppmanas att ange ytterligare former av identifiering under en inloggningshändelse. Uppmaningen kan till exempel vara att ange en kod på sin mobiltelefon eller att tillhandahålla en fingeravtryckssökning. När du behöver en andra form av identifiering ökar säkerheten eftersom den här ytterligare faktorn inte är lätt för en angripare att hämta eller duplicera.

Azure AD multifaktorautentisering och principer för villkorsstyrd åtkomst ger dig flexibiliteten att kräva MFA från användare för specifika inloggningshändelser. För en översikt över MFA rekommenderar vi att du tittar på den här videon: Så här konfigurerar och framtvingar du multifaktorautentisering i din klientorganisation.

Viktigt

Den här självstudien visar en administratör hur du aktiverar Azure AD Multi-Factor Authentication.

Om IT-teamet inte har aktiverat möjligheten att använda Azure AD Multi-Factor Authentication, eller om du har problem vid inloggningen, kan du kontakta supportavdelningen för ytterligare hjälp.

I den här guiden får du lära du dig hur man:

  • Skapa en princip för villkorlig åtkomst för att aktivera Azure AD Multi-Factor Authentication för en grupp användare.
  • Konfigurera de principvillkor som frågar efter MFA.
  • Testa att konfigurera och använda multifaktorautentisering som användare.

Förutsättningar

För att slutföra den här självstudien behöver du följande resurser och behörigheter:

  • En fungerande Azure AD klientorganisation med Azure AD Premium P1- eller utvärderingslicenser aktiverade.

  • Ett konto med behörighet som administratör för villkorlig åtkomst, säkerhetsadministratör eller global administratör . Vissa MFA-inställningar kan också hanteras av en administratör för autentiseringsprinciper. Mer information finns i Administratör för autentiseringsprincip.

  • Ett konto som inte är administratör med ett lösenord som du känner till. I den här självstudien skapade vi ett sådant konto med namnet testuser. I den här självstudien testar du slutanvändarens upplevelse av att konfigurera och använda Azure AD Multi-Factor Authentication.

  • En grupp som användaren som inte är administratör är medlem i. I den här självstudien skapade vi en sådan grupp med namnet MFA-Test-Group. I den här självstudien aktiverar du Azure AD Multi-Factor Authentication för den här gruppen.

Skapa en princip för villkorlig åtkomst

Det rekommenderade sättet att aktivera och använda Azure AD Multi-Factor Authentication är med principer för villkorsstyrd åtkomst. Med villkorsstyrd åtkomst kan du skapa och definiera principer som reagerar på inloggningshändelser och som begär ytterligare åtgärder innan en användare beviljas åtkomst till ett program eller en tjänst.

Översiktsdiagram över hur villkorlig åtkomst fungerar för att skydda inloggningsprocessen

Principer för villkorlig åtkomst kan tillämpas på specifika användare, grupper och appar. Målet är att skydda din organisation samtidigt som du ger rätt åtkomstnivåer till de användare som behöver den.

I den här självstudien skapar vi en grundläggande princip för villkorsstyrd åtkomst för att fråga efter MFA när en användare loggar in på Azure Portal. I en senare självstudie i den här serien konfigurerar vi Azure AD Multi-Factor Authentication med hjälp av en riskbaserad princip för villkorsstyrd åtkomst.

Skapa först en princip för villkorsstyrd åtkomst och tilldela testgruppen med användare på följande sätt:

  1. Logga in på Azure Portal med hjälp av ett konto med behörighet som global administratör.

  2. Sök efter och välj Azure Active Directory. Välj sedan Säkerhet på menyn till vänster.

  3. Välj Villkorsstyrd åtkomst, välj Ny princip och välj sedan Skapa ny princip.

    En skärmbild av sidan Villkorsstyrd åtkomst där du väljer Ny princip och sedan Skapa ny princip.

  4. Ange ett namn för principen, till exempel MFA Pilot.

  5. Under Tilldelningar väljer du det aktuella värdet under Användare eller arbetsbelastningsidentiteter.

    En skärmbild av sidan Villkorsstyrd åtkomst där du väljer det aktuella värdet under

  6. Under Vad gäller den här principen för? kontrollerar du att Användare och grupper har valts.

  7. Under Inkludera väljer du Välj användare och grupper och sedan Användare och grupper.

    En skärmbild av sidan för att skapa en ny princip, där du väljer alternativ för att ange användare och grupper.

    Eftersom ingen har tilldelats ännu öppnas listan över användare och grupper (visas i nästa steg) automatiskt.

  8. Bläddra efter och välj din Azure AD grupp, till exempel MFA-Test-Group, och välj sedan Välj.

    En skärmbild av listan över användare och grupper, med resultat filtrerade efter bokstäverna M F A och MFA-Test-Group valda.

Vi har valt den grupp som principen ska tillämpas på. I nästa avsnitt konfigurerar vi de villkor under vilka principen ska tillämpas.

Konfigurera villkoren för multifaktorautentisering

Nu när principen för villkorsstyrd åtkomst har skapats och en testgrupp med användare har tilldelats definierar du de molnappar eller åtgärder som utlöser principen. Dessa molnappar eller åtgärder är de scenarier som du bestämmer dig för att kräva ytterligare bearbetning, till exempel att fråga efter multifaktorautentisering. Du kan till exempel bestämma att åtkomst till ett ekonomiskt program eller användning av hanteringsverktyg kräver ytterligare en uppmaning om autentisering.

Konfigurera vilka appar som kräver multifaktorautentisering

I den här självstudien konfigurerar du principen för villkorsstyrd åtkomst för att kräva multifaktorautentisering när en användare loggar in på Azure Portal.

  1. Välj det aktuella värdet under Molnappar eller åtgärder och under Välj vad den här principen gäller för kontrollerar du att Molnappar är valda.

  2. Under Inkludera väljer du Välj appar.

    Eftersom inga appar har valts ännu öppnas listan över appar (visas i nästa steg) automatiskt.

    Tips

    Du kan välja att tillämpa principen för villkorsstyrd åtkomst på Alla molnappar eller Välj appar. För att ge flexibilitet kan du även undanta vissa appar från principen.

  3. Bläddra i listan över tillgängliga inloggningshändelser som kan användas. I den här självstudien väljer du Microsoft Azure Management så att principen gäller för inloggningshändelser i Azure Portal. Välj sedan Välj.

    En skärmbild av sidan Villkorsstyrd åtkomst där du väljer den app, Microsoft Azure Management, som den nya principen ska gälla för.

Konfigurera multifaktorautentisering för åtkomst

Därefter konfigurerar vi åtkomstkontroller. Med åtkomstkontroller kan du definiera kraven för att en användare ska beviljas åtkomst. De kan behöva använda en godkänd klientapp eller en enhet som är hybrid-ansluten till Azure AD.

I den här självstudien konfigurerar du åtkomstkontrollerna så att de kräver multifaktorautentisering under en inloggningshändelse till Azure Portal.

  1. Under Åtkomstkontroller väljer du det aktuella värdet under Bevilja och väljer sedan Bevilja åtkomst.

    En skärmbild av sidan Villkorsstyrd åtkomst, där du väljer

  2. Välj Kräv multifaktorautentisering och välj sedan Välj.

    En skärmbild av alternativen för att bevilja åtkomst, där du väljer

Aktivera principen

Principer för villkorsstyrd åtkomst kan anges till Endast rapport om du vill se hur konfigurationen skulle påverka användare eller Av om du inte vill använda principen just nu. Eftersom en testgrupp med användare är mål för den här självstudien ska vi aktivera principen och sedan testa Azure AD Multi-Factor Authentication.

  1. Under Aktivera princip väljer du .

    En skärmbild av kontrollen som ligger längst ned på webbsidan där du anger om principen är aktiverad.

  2. Om du vill tillämpa principen för villkorsstyrd åtkomst väljer du Skapa.

Testa Azure AD multifaktorautentisering

Nu ska vi se din princip för villkorsstyrd åtkomst och Azure AD Multi-Factor Authentication i praktiken.

Logga först in på en resurs som inte kräver MFA:

  1. Öppna ett nytt webbläsarfönster i InPrivate- eller inkognitoläge och bläddra till https://account.activedirectory.windowsazure.com.

    Om du använder ett privat läge för webbläsaren förhindrar du att befintliga autentiseringsuppgifter påverkar den här inloggningshändelsen.

  2. Logga in med testanvändaren som inte är administratör, till exempel testanvändare. Se till att inkludera @ och domännamnet för användarkontot.

    Om det här är den första instansen av inloggning med det här kontot uppmanas du att ändra lösenordet. Du uppmanas dock inte att konfigurera eller använda multifaktorautentisering.

  3. Stäng webbläsarfönstret.

Du har konfigurerat principen för villkorsstyrd åtkomst för att kräva ytterligare autentisering för Azure Portal. På grund av den konfigurationen uppmanas du att använda Azure AD Multi-Factor Authentication eller konfigurera en metod om du inte har gjort det ännu. Testa det här nya kravet genom att logga in på Azure Portal:

  1. Öppna ett nytt webbläsarfönster i InPrivate- eller inkognitoläge och bläddra till https://portal.azure.com.

  2. Logga in med testanvändaren som inte är administratör, till exempel testanvändare. Se till att inkludera @ och domännamnet för användarkontot.

    Du måste registrera dig för och använda Azure AD Multi-Factor Authentication.

    En uppmaning där det står

  3. Välj Nästa för att påbörja processen.

    Du kan välja att konfigurera en autentiseringstelefon, en kontorstelefon eller en mobilapp för autentisering. Autentiseringstelefonen stöder sms och telefonsamtal, office phone stöder samtal till nummer som har ett tillägg och mobilappen stöder användning av en mobilapp för att ta emot meddelanden för autentisering eller för att generera autentiseringskoder.

    En uppmaning där det står

  4. Slutför anvisningarna på skärmen för att konfigurera metoden för multifaktorautentisering som du har valt.

  5. Stäng webbläsarfönstret och logga in igen på https://portal.azure.com för att testa den autentiseringsmetod som du har konfigurerat. Om du till exempel har konfigurerat en mobilapp för autentisering bör du se en uppmaning som liknar följande.

    Logga in genom att följa anvisningarna i webbläsaren och sedan uppmaningen på enheten som du registrerade för multifaktorautentisering.

  6. Stäng webbläsarfönstret.

Rensa resurser

Om du inte längre vill använda den princip för villkorsstyrd åtkomst som du konfigurerade som en del av den här självstudien tar du bort principen med hjälp av följande steg:

  1. Logga in på Azure-portalen.

  2. Sök efter och välj Azure Active Directory och välj sedan Säkerhet på menyn till vänster.

  3. Välj Villkorlig åtkomst och välj sedan den princip som du skapade, till exempel MFA Pilot.

  4. välj Ta bort och bekräfta sedan att du vill ta bort principen.

    Om du vill ta bort den princip för villkorsstyrd åtkomst som du har öppnat väljer du Ta bort som finns under namnet på principen.

Nästa steg

I den här självstudien har du aktiverat Azure AD Multi-Factor Authentication med hjälp av principer för villkorsstyrd åtkomst för en vald grupp användare. Du har lärt dig att:

  • Skapa en princip för villkorsstyrd åtkomst för att aktivera Azure AD Multi-Factor Authentication för en grupp med Azure AD användare.
  • Konfigurera de principvillkor som frågar efter multifaktorautentisering.
  • Testa att konfigurera och använda multifaktorautentisering som användare.