Kurz: Zabezpečení událostí přihlašování uživatelů pomocí služby Azure AD Multi-Factor Authentication

Vícefaktorové ověřování (MFA) je proces, při kterém se uživateli během události přihlášení zobrazí výzva k další identifikaci. Může se zobrazit výzva k zadání kódu na mobilním telefonu nebo k naskenování otisku prstu. Pokud požadujete druhou formu ověřování, zvýší se zabezpečení, protože tento další faktor není něco, co by útočník snadno získal nebo duplikal.

Zásady služby Azure AD Multi-Factor Authentication a podmíněného přístupu poskytují flexibilitu povolit vícefaktorové ověřování pro uživatele během konkrétních událostí přihlášení. Tady je video o konfiguraci a vynucení vícefaktorového ověřování ve vašem tenantovi (doporučeno)

Důležité

Tento kurz ukazuje správci, jak povolit službu Azure AD Multi-Factor Authentication.

Pokud váš IT tým nepomáhá používat službu Azure AD Multi-Factor Authentication nebo máte problémy při přihlašování, se o další pomoc se můžete se svým týmem podpory kontaktovat.

Co se v tomto kurzu naučíte:

  • Vytvoření zásady podmíněného přístupu pro povolení služby Azure AD Multi-Factor Authentication pro skupinu uživatelů
  • Konfigurace podmínek zásad, které vyzývaly k více ověřování
  • Otestování procesu MFA jako uživatel

Požadavky

K dokončení tohoto kurzu potřebujete následující prostředky a oprávnění:

  • Funkční tenant Azure AD s povolenou alespoň Azure AD Premium P1 nebo zkušební licencí.
  • Účet s oprávněními globálního správce. Některá nastavení MFA může spravovat také správce zásad ověřování. Další informace najdete v tématu Správce zásad ověřování.
  • Uživatel bez oprávnění správce s heslem, které znáte, například testuser. V tomto kurzu otestujte prostředí Azure AD Multi-Factor Authentication koncového uživatele pomocí tohoto účtu.
  • Skupina, ve které je uživatel bez oprávnění správce členem, například MFA-Test-Group. Pro tuto skupinu v tomto kurzu povolíte službu Azure AD Multi-Factor Authentication.

Vytvoření zásad podmíněného přístupu

Doporučený způsob, jak povolit a používat službu Azure AD Multi-Factor Authentication, je použít zásady podmíněného přístupu. Podmíněný přístup umožňuje vytvářet a definovat zásady, které reagují na události přihlášení, a žádat o další akce před tím, než se uživateli udělí přístup k aplikaci nebo službě.

Přehled diagramu, jak podmíněný přístup funguje k zabezpečení procesu přihlašování

Zásady podmíněného přístupu mohou být podrobné a specifické a mají za cíl umožnit uživatelům, aby mohli být produktivní kdykoli a kdekoli, ale také chránit vaši organizaci. V tomto kurzu vytvoříme základní zásadu podmíněného přístupu, která zobrazí výzvu k více ověřování, když se uživatel přihlásí k Azure Portal. V pozdějším kurzu této série nakonfigurujete službu Azure AD Multi-Factor Authentication pomocí zásad podmíněného přístupu na základě rizik.

Nejprve vytvořte zásady podmíněného přístupu a následujícím způsobem přiřaďte testovací skupinu uživatelů:

  1. Přihlaste se k Azure Portal pomocí účtu s oprávněními globálního správce.

  2. Vyhledejte a vyberte Azure Active Directory a pak v nabídce na levé straně zvolte Zabezpečení.

  3. Vyberte Podmíněný přístup a pak zvolte + Nová zásada.

  4. Zadejte název zásady, například MFA Pilot.

  5. V části Přiřazení zvolte Uživatelé a skupiny a pak přepínač Vybrat uživatele a skupiny.

  6. Zaškrtněte políčko Uživatelé a skupiny a pak vyberte a projděte dostupné uživatele a skupiny Azure AD.

  7. Vyhledejte a vyberte skupinu Azure AD, například MFA-Test-Group, a pak zvolte Vybrat.

    Vyberte skupinu Azure AD, která se má použít se zásadou podmíněného přístupu.

  8. Pokud chcete pro skupinu použít zásady podmíněného přístupu, vyberte Hotovo.

Konfigurace podmínek pro vícefaktorové ověřování

Když máte vytvořenou zásadu podmíněného přístupu a máte přiřazenou testovací skupinu uživatelů, definujte cloudové aplikace nebo akce, které zásadu aktivují. Tyto cloudové aplikace nebo akce jsou scénáře, které se rozhodnete vyžadovat další zpracování, například výzva k více ověřování. Můžete se například rozhodnout, že přístup k finanční aplikaci nebo použití nástrojů pro správu vyžaduje jako výzvu k dalšímu ověření.

Pro tento kurz nakonfigurujte zásady podmíněného přístupu tak, aby vyžadovaly MFA, když se uživatel přihlásí k Azure Portal.

  1. Vyberte Cloudové aplikace nebo akce. Zásady podmíněného přístupu můžete použít na Všechny cloudové aplikace nebo Vybrat aplikace. Pokud chcete zajistit flexibilitu, můžete některé aplikace ze zásad také vyloučit.

    Pro tento kurz na stránce Zahrnout zvolte přepínač Vybrat aplikace.

  2. Zvolte Vybrat a pak projděte seznam dostupných událostí přihlášení, které je možné použít.

    Pro tento kurz zvolte Microsoft Azure Management, aby se zásada vztahuje na události přihlášení do Azure Portal.

  3. Pokud chcete použít vybrané aplikace, zvolte Vybrat a pak Hotovo.

    Vyberte aplikaci Microsoft Azure Management, která se má zahrnout do zásad podmíněného přístupu.

Řízení přístupu umožňuje definovat požadavky na uživatele, kterým má být udělen přístup, například potřeba schválené klientské aplikace nebo použití zařízení připojeného k hybridní službě Azure AD. V tomto kurzu nakonfigurujete řízení přístupu tak, aby během přihlašovací události vyžadovalo MFA pro Azure Portal.

  1. V části Ovládací prvky přístupu zvolte Udělit a ujistěte se, že je vybraný přepínač Udělit přístup.
  2. Zaškrtněte políčko Vyžadovat vícefaktorové ověřování a pak zvolte Vybrat.

Zásady podmíněného přístupu je možné nastavit na Jen pro sestavy, pokud chcete zjistit, jaký vliv má konfigurace na uživatele, nebo vypnout, pokud nechcete zásady použití použít právě teď. Vzhledem k tomu, že tento kurz cílí na testovací skupinu uživatelů, povolíme zásadu a pak otestujte službu Azure AD Multi-Factor Authentication.

  1. Nastavte přepínač Povolit zásadu na Hodnotu On (Zapnout).
  2. Pokud chcete použít zásady podmíněného přístupu, vyberte Vytvořit.

Testování služby Azure AD Multi-Factor Authentication

Pojďme se podívat na vaše zásady podmíněného přístupu a službu Azure AD Multi-Factor Authentication v akci. Nejprve se přihlaste k prostředku, který nevyžaduje MFA, následujícím způsobem:

  1. Otevřete nové okno prohlížeče v režimu InPrivate nebo Incognito a přejděte na . https://account.activedirectory.windowsazure.com
  2. Přihlaste se pomocí testovacího uživatele bez oprávnění správce, například testuser. K dokončení MFA se výzva nebude ovat.
  3. Zavřete okno prohlížeče.

Teď se přihlaste k Azure Portal. Vzhledem k tomu Azure Portal zásady podmíněného přístupu nakonfigurovali tak, aby vyžadovaly další ověření, zobrazí se výzva k vícefaktorové ověřování Azure AD.

  1. Otevřete nové okno prohlížeče v režimu InPrivate nebo Incognito a přejděte na https://portal.azure.com .

  2. Přihlaste se pomocí testovacího uživatele bez oprávnění správce, například testuser. Musíte se zaregistrovat a používat službu Azure AD Multi-Factor Authentication. Postupujte podle pokynů a dokončete proces a ověřte, že se úspěšně přihlásíte k Azure Portal.

    Postupujte podle pokynů v prohlížeči a pak se na výzvu zaregistrované služby Multi-Factor Authentication přihlaste.

  3. Zavřete okno prohlížeče.

Vyčištění prostředků

Pokud už nechcete používat zásady podmíněného přístupu k povolení služby Azure AD Multi-Factor Authentication nakonfigurované jako součást tohoto kurzu, odstraňte zásadu pomocí následujících kroků:

  1. Přihlaste se na Azure Portal.
  2. Vyhledejte a vyberte Azure Active Directory a pak v nabídce na levé straně zvolte Zabezpečení.
  3. Vyberte Podmíněný přístup a pak zvolte zásadu, kterou jste vytvořili, například MFA Pilot.
  4. Zvolte Odstranit a potvrďte, že chcete zásadu odstranit.

Další kroky

V tomto kurzu jste povolili službu Azure AD Multi-Factor Authentication pomocí zásad podmíněného přístupu pro vybranou skupinu uživatelů. Naučili jste se:

  • Vytvoření zásady podmíněného přístupu pro povolení služby Azure AD Multi-Factor Authentication pro skupinu uživatelů Azure AD
  • Konfigurace podmínek zásad, které vyzývaly k více ověřování
  • Otestování procesu MFA jako uživatel