Plánování nasazení vícefaktorového ověřování Azure Active Directory

Azure Active Directory (Azure AD) Multi-Factor Authentication pomáhá chránit přístup k datům a aplikacím a poskytuje další vrstvu zabezpečení pomocí druhé formy ověřování. Organizace můžou povolit vícefaktorové ověřování (MFA) s podmíněným přístupem , aby řešení odpovídalo konkrétním potřebám.

V tomto průvodci nasazením se dozvíte, jak naplánovat a implementovat zavedení služby Azure AD Multi-Factor Authentication .

Požadavky na nasazení služby Azure AD Multi-Factor Authentication

Než začnete s nasazením, ujistěte se, že splňujete následující požadavky pro příslušné scénáře.

Scenario Požadavek
Prostředí identit jen pro cloud s moderním ověřováním Žádné požadované úkoly
Scénáře hybridní identity Nasaďte službu Azure AD Připojení a synchronizujte identity uživatelů mezi službami místní Active Directory Domain Services (AD DS) a Azure AD.
Místní starší verze aplikací publikovaných pro přístup ke cloudu Nasazení služby Azure AD proxy aplikací

Volba metod ověřování pro vícefaktorové ověřování

Existuje mnoho metod, které lze použít pro druhé ověřování. Můžete si vybrat ze seznamu dostupných metod ověřování, vyhodnotit jednotlivé metody z hlediska zabezpečení, použitelnosti a dostupnosti.

Důležité

Povolte více než jednu metodu MFA, aby uživatelé měli k dispozici záložní metodu v případě, že jejich primární metoda není k dispozici. Mezi metody patří:

Při volbě ověřování metod, které se použijí ve vašem tenantovi, zvažte zabezpečení a použitelnost těchto metod:

Choose the right authentication method

Další informace o síle a zabezpečení těchto metod a jejich fungování najdete v následujících zdrojích informací:

Pomocí tohoto skriptu PowerShellu můžete analyzovat konfigurace vícefaktorového ověřování uživatelů a navrhnout odpovídající metodu ověřování MFA.

Pro zajištění co nejlepší flexibility a použitelnosti použijte aplikaci Microsoft Authenticator. Tato metoda ověřování poskytuje nejlepší uživatelské prostředí a více režimů, jako jsou bez hesla, nabízená oznámení MFA a kódy OATH. Aplikace Microsoft Authenticator také splňuje požadavky na úroveň 2 national Institute of Standards and Technology (NIST) Authenticator Assurance Level 2.

Můžete řídit metody ověřování dostupné ve vašem tenantovi. Můžete například chtít blokovat některé z nejméně zabezpečených metod, například SMS.

Metoda ověřování Spravovat z Vymezení problému
Microsoft Authenticator (nabízené oznámení a přihlášení k telefonu bez hesla) Zásady zásad vícefaktorového ověřování nebo metod ověřování Authenticator přihlášení k telefonu bez hesla je možné nastavit na uživatele a skupiny.
Klíč zabezpečení FIDO2 Zásady metod ověřování Rozsah lze nastavit na uživatele a skupiny.
Tokeny OATH softwaru nebo hardwaru Nastavení vícefaktorového ověřování
Ověření SMS Nastavení vícefaktorového ověřování
Správa přihlášení SMS pro primární ověřování v zásadách ověřování
Přihlášení sms se dá nastavit na uživatele a skupiny.
hlasové hovory Zásady metod ověřování

Plánování zásad podmíněného přístupu

Azure AD Multi-Factor Authentication se vynucuje pomocí zásad podmíněného přístupu. Tyto zásady umožňují vyzvat uživatele k vícefaktorové ověřování v případě potřeby zabezpečení a zůstat mimo cestu uživatelů, pokud to není potřeba.

Conceptual Conditional Access process flow

V Azure Portal nakonfigurujete zásady podmíněného přístupu v části Azure Active Directory>SecurityConditional> Access.

Další informace o vytváření zásad podmíněného přístupu najdete v tématu Zásady podmíněného přístupu k zobrazení výzvy k vícefaktorovému ověřování Azure AD, když se uživatel přihlásí k Azure Portal. To vám pomůže:

  • Seznamte se s uživatelským rozhraním
  • Získejte první dojem, jak podmíněný přístup funguje

Kompletní pokyny k nasazení podmíněného přístupu Azure AD najdete v plánu nasazení podmíněného přístupu.

Běžné zásady pro Azure AD Multi-Factor Authentication

Mezi běžné případy použití, které vyžadují vícefaktorové ověřování Azure AD, patří:

Pojmenovaná umístění

Pokud chcete spravovat zásady podmíněného přístupu, podmínka umístění zásady podmíněného přístupu umožňuje svázat nastavení řízení přístupu se síťovými umístěními uživatelů. Doporučujeme použít pojmenovaná umístění , abyste mohli vytvořit logické seskupení rozsahů IP adres nebo zemí a oblastí. Tím se vytvoří zásada pro všechny aplikace, které blokují přihlášení z tohoto pojmenovaného umístění. Nezapomeňte od těchto zásad vyloučit správce.

Zásady založené na rizikech

Pokud vaše organizace používá službu Azure AD Identity Protection k detekci rizikových signálů, zvažte použití zásad založených na rizikech místo pojmenovaných umístění. Zásady se dají vytvořit, aby se změny hesla vynucovaly, když existuje hrozba ohrožené identity nebo vyžaduje vícefaktorové ověřování, pokud se přihlášení považuje za rizikové událostmi , jako jsou úniky přihlašovacích údajů, přihlášení z anonymních IP adres a další.

Mezi zásady rizik patří:

Převod uživatelů z vícefaktorového ověřování na základě podmíněného přístupu

Pokud byli vaši uživatelé povoleni pomocí vícefaktorového ověřování pro jednotlivé uživatele a vynucené vícefaktorové ověřování, může vám následující PowerShell pomoct při převodu na vícefaktorové ověřování založené na podmíněném přístupu.

Spusťte tento PowerShell v okně ISE nebo uložte ho jako .PS1 soubor, který chcete spustit místně. Operaci lze provést pouze pomocí modulu MSOnline.

# Sets the MFA requirement state
function Set-MfaState {
    [CmdletBinding()]
    param(
        [Parameter(ValueFromPipelineByPropertyName=$True)]
        $ObjectId,
        [Parameter(ValueFromPipelineByPropertyName=$True)]
        $UserPrincipalName,
        [ValidateSet("Disabled","Enabled","Enforced")]
        $State
    )
    Process {
        Write-Verbose ("Setting MFA state for user '{0}' to '{1}'." -f $ObjectId, $State)
        $Requirements = @()
        if ($State -ne "Disabled") {
            $Requirement =
                [Microsoft.Online.Administration.StrongAuthenticationRequirement]::new()
            $Requirement.RelyingParty = "*"
            $Requirement.State = $State
            $Requirements += $Requirement
        }
        Set-MsolUser -ObjectId $ObjectId -UserPrincipalName $UserPrincipalName `
                     -StrongAuthenticationRequirements $Requirements
    }
}
# Disable MFA for all users
Get-MsolUser -All | Set-MfaState -State Disabled

Plánování životnosti relace uživatele

Při plánování nasazení vícefaktorového ověřování je důležité myslet na to, jak často chcete uživatele vyzvat. Dotazování uživatelů na přihlašovací údaje často vypadá jako rozumná věc, ale může se vrátit zpět. Pokud jsou uživatelé vytrénovaní k zadání přihlašovacích údajů bez myšlení, můžou je neúmyslně zadat do výzvy k zadání škodlivých přihlašovacích údajů. Azure AD má několik nastavení, která určují, jak často je potřeba znovu ověřit. Seznamte se s potřebami vašich firem a uživatelů a nakonfigurujte nastavení, která poskytují nejlepší rovnováhu pro vaše prostředí.

Pro vylepšené prostředí koncového uživatele doporučujeme používat zařízení s primárními obnovovacími tokeny (PRT) a zkrátit dobu života relace pomocí zásad četnosti přihlašování jenom u konkrétních případů obchodního použití.

Další informace najdete v tématu Optimalizace výzvy k opětovnému ověření a vysvětlení doby životnosti relace pro službu Azure AD Multi-Factor Authentication.

Plánování registrace uživatelů

Hlavním krokem při každém nasazení vícefaktorového ověřování je registrace uživatelů k používání služby Azure AD Multi-Factor Authentication. Metody ověřování, jako je hlas a SMS, umožňují předběžnou registraci, zatímco ostatní, jako je Authenticator Aplikace, vyžadují interakci uživatele. Správci musí určit, jak budou uživatelé registrovat své metody.

Kombinovaná registrace pro SSPR a Azure AD MFA

Poznámka

Od 15. srpna 2020 budou všechny nové tenanty Azure AD automaticky povolené pro kombinovanou registraci. Tenanti vytvořená po tomto datu nebudou moct využívat starší pracovní postupy registrace. Po 30. září 2022 budou všechny stávající tenanty Azure AD automaticky povolené pro kombinovanou registraci.

Doporučujeme, aby organizace používaly kombinované prostředí registrace pro Azure AD Multi-Factor Authentication a samoobslužné resetování hesla (SSPR). SSPR umožňuje uživatelům resetovat heslo zabezpečeným způsobem pomocí stejných metod, které používají pro Azure AD Multi-Factor Authentication. Kombinovaná registrace je jedním krokem pro koncové uživatele. Abyste měli jistotu, že rozumíte funkcím a prostředím koncových uživatelů, podívejte se na koncepty kombinované registrace bezpečnostních informací.

Je důležité informovat uživatele o nadcházejících změnách, požadavcích na registraci a všech potřebných uživatelských akcích. Poskytujeme komunikační šablony a uživatelskou dokumentaci k přípravě uživatelů na nové prostředí a pomáháme zajistit úspěšné zavedení. https://myprofile.microsoft.com Pokud chcete uživatele zaregistrovat, vyberte na této stránce odkaz Bezpečnostní informace.

Registrace pomocí služby Identity Protection

Azure AD Identity Protection přispívá k zásadám registrace pro detekci rizik a automatické zjišťování rizik a nápravě zásad do příběhu služby Azure AD Multi-Factor Authentication. Zásady se dají vytvořit, aby se změny hesel vynucovaly, pokud existuje hrozba ohrožené identity nebo vyžadovat vícefaktorové ověřování, když se přihlášení považuje za rizikové. Pokud používáte Azure AD Identity Protection, nakonfigurujte zásadu registrace Azure AD MFA tak, aby se uživatelům zobrazila výzva k registraci při příštím přihlášení interaktivně.

Registrace bez služby Identity Protection

Pokud nemáte licence, které umožňují službu Azure AD Identity Protection, zobrazí se uživatelům výzva k registraci při příštím přihlášení vícefaktorového ověřování. Pokud chcete vyžadovat, aby uživatelé používali vícefaktorové ověřování, můžete použít zásady podmíněného přístupu a cílit na často používané aplikace, jako jsou systémy hr. Pokud dojde k ohrožení hesla uživatele, může se použít k registraci vícefaktorového ověřování a převzetí kontroly nad účtem. Proto doporučujeme zabezpečit proces registrace zabezpečení pomocí zásad podmíněného přístupu , které vyžadují důvěryhodná zařízení a umístění. Tento proces můžete dále zabezpečit tak, že budete potřebovat také dočasné přístupové passy. Časově omezený přístupový kód vydaný správcem, který splňuje silné požadavky na ověřování, a lze ho použít k onboardingu jiných metod ověřování, včetně bez hesel.

Zvýšení zabezpečení registrovaných uživatelů

Pokud máte uživatele zaregistrované pro vícefaktorové ověřování pomocí SMS nebo hlasových hovorů, můžete je přesunout do bezpečnějších metod, jako je Microsoft Authenticator aplikace. Microsoft teď nabízí verzi Public Preview funkcí, která umožňuje uživatelům při přihlašování zobrazit výzvu k nastavení aplikace Microsoft Authenticator. Tyto výzvy můžete nastavit podle skupiny a určit, kdo se zobrazí výzva, a umožnit tak cílovým kampaním přesunout uživatele do bezpečnější metody.

Plánování scénářů obnovení

Jak už bylo zmíněno dříve, ujistěte se, že jsou uživatelé zaregistrovaní pro více než jednu metodu vícefaktorového ověřování, takže pokud není k dispozici, mají zálohu. Pokud uživatel nemá k dispozici metodu zálohování, můžete:

  • Zadejte dočasné přístupové pass, aby mohli spravovat vlastní metody ověřování. Můžete také zadat dočasnou přístupovou pass pro povolení dočasného přístupu k prostředkům.
  • Aktualizujte své metody jako správce. Uděláte to tak, že vyberete uživatele v Azure Portal a pak vyberete Metody ověřování a aktualizujete jejich metody. Komunikace uživatelů

Plánování integrace s místními systémy

Aplikace, které se ověřují přímo v Azure AD a mají moderní ověřování (WS-Fed, SAML, OAuth, OpenID Připojení), můžou využívat zásady podmíněného přístupu. Některé starší verze a místní aplikace se neověřují přímo ve službě Azure AD a vyžadují další kroky pro použití služby Azure AD Multi-Factor Authentication. Můžete je integrovat pomocí proxy aplikací Azure AD nebo služeb zásad sítě.

Integrace s prostředky služby AD FS

Doporučujeme migrovat aplikace zabezpečené pomocí služby Active Directory Federation Services (AD FS) (AD FS) do Azure AD. Pokud ale nejste připraveni je migrovat do Azure AD, můžete použít adaptér Azure Multi-Factor Authentication se službou AD FS 2016 nebo novějším.

Pokud je vaše organizace federovaná se službou Azure AD, můžete službu Azure AD Multi-Factor Authentication nakonfigurovat jako poskytovatele ověřování s prostředky AD FS jak místně, tak v cloudu.

Klienti RADIUS a Azure AD Multi-Factor Authentication

Pro aplikace, které používají ověřování RADIUS, doporučujeme přesunout klientské aplikace do moderních protokolů, jako je SAML, Open ID Připojení nebo OAuth v Azure AD. Pokud aplikaci nejde aktualizovat, můžete nasadit server NPS (Network Policy Server) s rozšířením Azure MFA. Rozšíření serveru NPS (Network Policy Server) funguje jako adaptér mezi aplikacemi založenými na protokolu RADIUS a Azure AD MFA za účelem zajištění druhého faktoru ověřování.

Běžné integrace

Mnoho dodavatelů teď podporuje ověřování SAML pro své aplikace. Pokud je to možné, doporučujeme federovat tyto aplikace pomocí Azure AD a vynucovat vícefaktorové ověřování prostřednictvím podmíněného přístupu. Pokud váš dodavatel nepodporuje moderní ověřování – můžete použít rozšíření NPS. Mezi běžné integrace klientů RADIUS patří aplikace, jako jsou brány vzdálené plochy a servery VPN.

Mezi další můžou patřit:

  • Citrix Gateway

    Citrix Gateway podporuje integraci rozšíření RADIUS i NPS a integraci SAML.

  • Cisco VPN

    • Cisco VPN podporuje ověřování RADIUS i SAML pro jednotné přihlašování.
    • Přechodem z ověřování RADIUS na SAML můžete integrovat cisco VPN bez nasazení rozšíření NPS.
  • Všechny sítě VPN

Nasazení služby Azure AD Multi-Factor Authentication

Plán zavedení služby Azure AD Multi-Factor Authentication by měl zahrnovat pilotní nasazení následované vlnami nasazení, které jsou v rámci vaší kapacity podpory. Začněte zavádění použitím zásad podmíněného přístupu na malou skupinu pilotních uživatelů. Po vyhodnocení účinku na pilotní uživatele, používané procesy a chování registrace můžete do zásad přidat další skupiny nebo přidat další uživatele do existujících skupin.

Postupujte následovně:

  1. Splnění nezbytných požadavků
  2. Konfigurace zvolených metod ověřování
  3. Konfigurace zásad podmíněného přístupu
  4. Konfigurace nastavení životnosti relace
  5. Konfigurace zásad registrace azure AD MFA

Správa služby Azure AD Multi-Factor Authentication

Tato část obsahuje informace o vytváření sestav a řešení potíží pro službu Azure AD Multi-Factor Authentication.

Vytváření sestav a monitorování

Azure AD obsahuje sestavy, které poskytují technické a obchodní přehledy, sledujte průběh nasazení a zkontrolujte, jestli se vaši uživatelé úspěšně přihlašují pomocí MFA. Požádejte vlastníky obchodních a technických aplikací o vlastnictví a využívání těchto sestav na základě požadavků vaší organizace.

Pomocí řídicího panelu Aktivity metod ověřování můžete monitorovat registraci a využití metod ověřování ve vaší organizaci. To vám pomůže pochopit, jaké metody se registrují a jak se používají.

Přihlášení k sestavě pro kontrolu událostí vícefaktorového ověřování

Sestavy přihlášení k Azure AD obsahují podrobnosti o ověřování událostí, když se uživateli zobrazí výzva k vícefaktorovém ověřování a jestli se používaly nějaké zásady podmíněného přístupu. PowerShell můžete také použít k vytváření sestav uživatelů zaregistrovaných pro službu Azure AD Multi-Factor Authentication.

Rozšíření NPS a protokoly SLUŽBY AD FS je možné zobrazit ze sestavySecurityMFAActivity>>.

Další informace a další sestavy služby Azure AD Multi-Factor Authentication najdete v tématu Kontrola událostí služby Azure AD Multi-Factor Authentication.

Řešení potíží s vícefaktorovým ověřováním Azure AD

Běžné problémy najdete v tématu Řešení běžných problémů se službou Azure AD Multi-Factor Authentication .

Další kroky

Nasazení dalších funkcí identity