Planera distributionen av multifaktorautentisering
Innan du börjar distribuera Microsoft Entra multifaktorautentisering finns det flera saker du bör bestämma.
För det första bör du överväga att distribuera MFA flera faser. Börja med en liten grupp pilotanvändare för att utvärdera miljöns komplexitet och identifiera eventuella konfigurationsproblem eller appar eller enheter som inte stöds. Bredda sedan gruppen över tid och utvärdera resultatet med varje pass tills hela företaget har registrerats.
Skapa sedan en fullständig kommunikationsplan. Microsoft Entra multifaktorautentisering har flera krav på användarinteraktion, inklusive en registreringsprocess. Håll användarna informerade varje steg på vägen. Låt dem veta vad de måste göra, viktiga datum och hur du får svar på frågor om de har problem. Microsoft tillhandahåller kommunikationsmallar som hjälper dig att utarbeta din kommunikation, inklusive affischer och e-postmallar.
Autentiseringsprinciper för Microsoft Entra-multifaktor
Microsoft Entra multifaktorautentisering tillämpas med principer för villkorsstyrd åtkomst . Principer för villkorsstyrd åtkomst är IF-THEN-instruktioner. Om (IF) användare vill komma åt en resurs måste de (THEN) slutföra en åtgärd. En löneansvarig vill till exempel komma åt löneprogrammet och måste utföra multifaktorautentisering för att få åtkomst till det. Andra vanliga åtkomstbegäranden som kan kräva MFA är:
- OM ett visst molnprogram nås
- OM en användare kommer åt ett visst nätverk
- OM en användare kommer åt ett visst klientprogram
- OM en användare registrerar en ny enhet
Välja autentiseringsmetoder som stöds
När du aktiverar Microsoft Entra multifaktorautentisering kan du välja de autentiseringsmetoder som du vill göra tillgängliga. Du bör alltid stödja fler än en metod så att användarna har ett reservalternativ ifall deras primära metod inte är tillgänglig. Du kan välja bland följande metoder:
| Metod | Description |
|---|---|
| Verifieringskod till mobilapp | En mobilapp för autentisering, till exempel Microsoft Authenticator-appen, kan användas för att hämta en OATH-verifieringskod som sedan anges i inloggningsgränssnittet. Den här koden ändras var 30:e sekund och appen fungerar även om anslutningen är begränsad. Den här metoden fungerar inte i Kina på Android-enheter. |
| Avisering om mobilapp | Azure kan skicka ett push-meddelande till en mobilapp för autentisering, till exempel Microsoft Authenticator. Användaren kan välja push-meddelandet och verifiera inloggningen. |
| Ring till en telefon | Azure kan ringa ett angivet telefonnummer. Användaren godkänner sedan autentiseringen med hjälp av knappsatsen. Den här metoden är att föredra för säkerhetskopior. |
| FIDO2-säkerhetsnyckel | FIDO2-säkerhetsnycklar är en oförstörbar standardbaserad lösenordsfri autentiseringsmetod. Dessa nycklar är vanligtvis USB-enheter, men kan också använda Bluetooth eller NFC. |
| Windows Hello för företag | Windows Hello för företag ersätter lösenord med stark tvåfaktorautentisering på enheter. Den här autentiseringen består av en typ av användarautentiseringsuppgifter som är kopplad till en enhet och använder en biometrisk eller PIN-kod. |
| OATH-token | OATH-token kan vara program som Microsoft Authenticator-appen och andra autentiseringsappar eller maskinvarubaserade token som kunder kan köpa från olika leverantörer. |
Administratörer kan aktivera ett eller flera av dessa alternativ och sedan kan användarna välja att använda varje autentiseringsmetod som de vill använda.
Välja en autentiseringsmetod
Slutligen måste du bestämma hur användarna ska registrera sina valda metoder. Det enklaste sättet är att använda Microsoft Entra ID Protection. Om din organisation har en licens för Identity Protection kan du konfigurera den så att användarna uppmanas att registrera sig för MFA nästa gång de loggar in.
Du kan också uppmana användare att registrera sig för MFA när de försöker använda ett program eller en tjänst som kräver multifaktorautentisering. Slutligen kan du framtvinga registrering med hjälp av en princip för villkorsstyrd åtkomst som tillämpas på en Azure-grupp som innehåller alla användare i din organisation. Den här metoden kräver en del manuellt arbete med att regelbundet granska gruppen och ta bort registrerade användare. Några användbara skript för att automatisera en del av den här processen finns i Planera en distribution av multifaktorautentisering i Microsoft Entra.