你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

教程:使用 Azure AD 多重身份验证保护用户登录事件

多重身份验证 (MFA) 是在登录事件期间提示用户完成其他形式的身份识别的过程。 例如,该提示可以是让用户在手机上输入某个代码,或提供指纹扫描。 要求完成另一种形式的身份识别可以提高安全性,因为攻击者并不容易获取或复制这种额外的验证因素。

对于特定的登录事件,可以通过 Azure AD 多重身份验证和条件访问策略来灵活地要求用户执行 MFA。 有关 MFA 的概述,建议观看此视频:How to configure and enforce multi-factor authentication in your tenant(如何在租户中配置和强制实施多重身份验证)。

重要

本教程向管理员展示如何启用 Azure AD 多重身份验证。

如果 IT 团队尚未启用使用 Azure AD 多重身份验证的功能,或者你在登录过程中遇到问题,请联系支持人员获得更多帮助。

本教程介绍如何执行下列操作:

  • 创建条件访问策略,为一组用户启用 Azure AD 多重身份验证。
  • 配置提示执行 MFA 的策略条件。
  • 以用户身份测试配置和使用多重身份验证。

先决条件

需有以下资源和特权才能完成本教程:

  • 一个至少启用了 Azure AD Premium P1 或试用版许可证的有效 Azure AD 租户。

  • 具有条件访问管理员、安全管理员或全局管理员权限的帐户。 某些 MFA 设置也可由身份验证策略管理员管理。 有关详细信息,请参阅身份验证策略管理员

  • 一个非管理员帐户,你知道其密码。 对于本教程,我们已创建一个名为 testuser 的帐户。 在本教程中,你将测试配置和使用 Azure AD 多重身份验证的最终用户体验。

  • 该非管理员用户所属的组。 对于本教程,我们已创建一个名为 MFA-Test-Group 的组。 在本教程中,你将为此组启用 Azure AD 多重身份验证。

创建条件访问策略

建议通过条件访问策略来启用和使用 Azure AD 多重身份验证。 使用条件访问可以创建和定义策略,用于对登录事件做出反应,并在向用户授予对应用程序或服务的访问权限之前请求更多的操作。

有关条件访问如何保护登录过程的概览图

条件访问策略可应用于特定的用户、组和应用。 目的是保护组织,同时为需要访问权限的用户提供适当的访问权限级别。

在本教程中,我们将创建一个基本的条件访问策略,以便在用户登录到 Azure 门户时提示其执行 MFA。 在本教程系列的后面某篇文章中,我们将使用基于风险的条件访问策略来配置 Azure AD 多重身份验证。

首先,按如下所述创建一个条件访问策略,并分配测试用户组:

  1. 使用拥有全局管理员权限的帐户登录到 Azure 门户

  2. 搜索并选择“Azure Active Directory”。 然后在左侧菜单中选择“安全”。

  3. 依次选择“条件访问”、“+ 新建策略”、“创建新策略”。

    “条件访问”页的屏幕截图,你在其中先选择了“新建策略”,然后选择了“创建新策略”。

  4. 输入策略的名称,例如“MFA 试验”。

  5. 在“分配”下,选择“用户或工作负载标识”下的当前值。

    “条件访问”页的屏幕截图,你在其中选择了“用户或工作负荷标识”下的当前值。

  6. 在“此策略应用于哪个对象?”下,确认选择了“用户和组”。

  7. 在“包括”下,选择“选择用户和组”,然后选择“用户和组”。

    用于创建新策略的页面的屏幕截图,你在其中选择了用于指定用户和组的选项。

    由于尚未分配用户和组,因此会自动打开用户和组列表(如下一步骤中所示)。

  8. 浏览并选择 Azure AD 组(例如 MFA-Test-Group),然后选择“选择”。

    用户和组的列表的屏幕截图,其中,结果已使用字母 M、F、A 进行筛选,并已选中“MFA-Test-Group”。

我们已选择要将策略应用到的组。 在下一部分,我们将配置应用策略的条件。

配置多重身份验证的条件

创建条件访问策略并分配测试用户组后,接下来请定义触发该策略的云应用或操作。 这些云应用或操作是你确定需要进一步处理的方案,例如,提示执行多重身份验证。 例如,可以要求在访问某个财务应用程序或使用管理工具时要求额外的验证提示。

配置哪些应用需要多重身份验证

对于本教程,请将条件访问策略配置为在用户登录到 Azure 门户时要求执行多重身份验证。

  1. 在“云应用或操作”下选择当前值,然后在“选择此策略应用到的对象”下,确认选择了“云应用”。

  2. 在“包含”下,选择“选择应用” 。

    由于尚未选择任何应用,因此会自动打开应用列表(如下一步骤中所示)。

    提示

    可以选择将条件访问策略应用到“所有云应用”,也可以“选择应用”。 为了提供灵活性,还可以从策略中排除某些应用。

  3. 浏览可用的登录事件列表。 对于本教程,请选择“Microsoft Azure 管理”,以便将策略应用于 Azure 门户登录事件。 然后选取“选择” 。

    该屏幕截图显示了“条件访问”页,你在该页中选择应用以及新策略将应用到的 Microsoft Azure 管理

配置多重身份验证进行访问

接下来,我们配置访问控制。 使用访问控制可以定义授予用户访问权限所要满足的要求。 例如,用户必须使用已批准的客户端应用,或使用已加入混合 Azure AD 的设备。

在本教程中,请将访问控制配置为在 Azure 门户登录事件期间要求执行多重身份验证。

  1. 在“访问控制”下,选择“授予”下的当前值,然后选择“授予访问权限”。

    “条件访问”页的屏幕截图,你在其中先选择了“授权”,然后选择了“授予访问权限”。

  2. 选择“需要多重身份验证”,然后选择“选择”。

    用于授予访问权限的选项的屏幕截图,你在其中选择了“需要多重身份验证”。

激活策略

若要查看配置对用户产生的影响,可将条件访问策略设置为“仅限报告”;如果不想要立即使用策略,可将其设置为“关闭”。 由于已经为本教程指定了目标测试用户组,因此让我们启用该策略,然后测试 Azure AD 多重身份验证。

  1. 在“启用策略”下,选择“开” 。

    位于网页底部附近的控件的屏幕截图,你在其中指定了策略是否已启用。

  2. 若要应用条件访问策略,请选择“创建”。

测试 Azure AD 多重身份验证

让我们看看该条件访问策略和 Azure AD 多重身份验证的运作方式。

首先,登录到不要求执行 MFA 的资源:

  1. 在 InPrivate 或 incognito 模式下打开新的浏览器窗口并浏览到 https://account.activedirectory.windowsazure.com

    使用浏览器专用模式可以防止任何现有凭据影响此登录事件。

  2. 以非管理员测试用户(例如 testuser)的身份登录。 请务必包含 @ 和用户帐户的域名。

    如果这是你首次使用此帐户登录,系统会提示你更改密码。 但是,系统不会提示你配置或使用多重身份验证。

  3. 关闭浏览器窗口。

对于 Azure 门户,你已将条件访问策略配置为需要进行额外的身份验证。 由于采用该配置,系统会提示你使用 Azure AD 多重身份验证,如果尚未这样做,系统会提示你配置一种身份验证方法。 登录到 Azure 门户来测试此项新要求:

  1. 在 InPrivate 或 incognito 模式下打开新的浏览器窗口并浏览到 https://portal.azure.com

  2. 以非管理员测试用户(例如 testuser)的身份登录。 请务必包含 @ 和用户帐户的域名。

    需要注册并使用 Azure AD 多重身份验证。

    一个指出“需要更多信息”的提示。这是一个用于为此用户配置多重身份验证方法的提示。

  3. 选择“下一步”开始执行该过程。

    可以选择配置身份验证电话、办公电话或移动应用进行身份验证。 身份验证电话支持短信和电话呼叫,办公电话支持呼叫带分机号的电话号码,移动应用支持使用移动应用来接收身份验证通知或生成验证码。

    一个显示“其他安全验证”的提示。这是一个用于为此用户配置多重身份验证方法的提示。你可以选择身份验证电话、办公电话或移动应用作为方法。

  4. 根据屏幕上的说明配置选择的多重身份验证方法。

  5. 关闭浏览器窗口,然后在 https://portal.azure.com 上再次登录,以测试配置的身份验证方法。 例如,如果配置了一个移动应用用于身份验证,则会看到如下所示的提示。

    若要登录,请按浏览器中的提示操作,然后按注册用于多重身份验证的设备上的提示操作。

  6. 关闭浏览器窗口。

清理资源

如果你不再想要使用在本教程中配置的条件访问策略,请使用以下步骤删除该策略:

  1. 登录 Azure 门户

  2. 搜索并选择“Azure Active Directory”,然后从左侧菜单中选择“安全性”。

  3. 选择“条件访问”,然后选择创建的策略,例如“MFA Pilot”。

  4. 选择“删除”,然后确认要删除该策略。

    若要删除已打开的条件访问策略,请选择策略名称下方的“删除”。

后续步骤

在本教程中,你已使用条件访问策略为选定的用户组启用了 Azure AD 多重身份验证。 你已了解如何执行以下操作:

  • 创建条件访问策略,以便为一组 Azure AD 用户启用 Azure AD 多重身份验证。
  • 配置提示执行多重身份验证的策略条件。
  • 以用户身份测试配置和使用多重身份验证。