Kurz: zabezpečení událostí přihlašování uživatelů pomocí Azure AD Multi-Factor Authentication

Multi-Factor Authentication (MFA) je proces, při kterém se uživateli zobrazí výzva k přihlášení v případě dalších forem identifikace. Tato výzva by mohla být zadat kód na své cellphone nebo poskytnout kontrolu otiskem prstu. Pokud požadujete druhou formu ověřování, zabezpečení se zvyšuje, protože tento přídavný faktor není něco, co by mohlo útočník snadno získat nebo duplikovat.

Služba Azure AD Multi-Factor Authentication a zásady podmíněného přístupu umožňují uživatelům během specifických přihlašovacích událostí povolit MFA pro uživatele. Tady je video o tom, jak nakonfigurovat a vymáhat službu Multi-Factor Authentication ve vašem tenantovi (doporučeno)

Důležité

V tomto kurzu se dozvíte správce, jak povolit Multi-Factor Authentication služby Azure AD.

Pokud váš IT tým nepovolil možnost používat Multi-Factor Authentication Azure AD nebo máte problémy při přihlašování, obraťte se na helpdesk, kde najdete další pomoc.

Co se v tomto kurzu naučíte:

  • Vytvoření zásady podmíněného přístupu pro povolení Multi-Factor Authentication služby Azure AD pro skupinu uživatelů
  • Konfigurace podmínek zásad, které se dotazují na MFA
  • Testování procesu MFA jako uživatel

Požadavky

K dokončení tohoto kurzu potřebujete následující prostředky a oprávnění:

  • funkční tenant Azure AD s povolenou aspoň Azure AD Premium P1 nebo zkušební licencí.
  • Účet s oprávněními globálního správce . Některá nastavení MFA je možné spravovat taky správcem zásad ověřování. Další informace najdete v tématu správce zásad ověřování.
  • Uživatel bez oprávnění správce s heslem, které znáte, například testuser. Pomocí tohoto účtu v tomto kurzu otestujete Multi-Factor Authentication prostředí Azure AD pro koncové uživatele.
  • Skupina, pro kterou je uživatel bez oprávnění správce členem, jako je například MFA-test-Group. V tomto kurzu povolíte Multi-Factor Authentication služby Azure AD pro tuto skupinu.

Vytvoření zásady podmíněného přístupu

Doporučený způsob, jak povolit a používat Multi-Factor Authentication Azure AD, je zásada podmíněného přístupu. Podmíněný přístup umožňuje vytvářet a definovat zásady, které reagují na události přihlášení a vyžadují další akce před tím, než se uživateli udělí přístup k aplikaci nebo službě.

Overview diagram of how Conditional Access works to secure the sign-in process

Zásady podmíněného přístupu můžou být podrobné a specifické s cílem umožnit uživatelům, aby byli produktivní všude a kdykoli, ale také chránit vaši organizaci. V tomto kurzu vytvoříme základní zásady podmíněného přístupu, které se zobrazí, když se uživatel přihlásí k Azure Portal. V pozdějším kurzu této série konfigurujete Multi-Factor Authentication Azure AD pomocí zásad podmíněného přístupu na základě rizika.

Nejdřív vytvořte zásadu podmíněného přístupu a přiřaďte svou testovací skupinu uživatelů následujícím způsobem:

  1. Přihlaste se k Azure Portal pomocí účtu s oprávněními globálního správce .

  2. vyhledejte a vyberte Azure Active Directorya pak v nabídce na levé straně zvolte zabezpečení .

  3. Vyberte podmíněný přístupa pak zvolte + Nová zásada.

  4. Zadejte název zásady, jako je například MFA pilot.

  5. V části přiřazenízvolte Uživatelé a skupinya pak přepínač Vybrat uživatele a skupiny .

  6. Zaškrtněte políčko pro uživatele a skupinya pak Vyberte možnost procházení dostupných uživatelů a skupin Azure AD.

  7. Vyhledejte a vyberte skupinu Azure AD, například MFA-test-Group, a pak zvolte Vybrat.

    Select your Azure AD group to use with the Conditional Access policy

  8. Pokud chcete pro skupinu použít zásady podmíněného přístupu, vyberte Hotovo.

Konfigurace podmínek pro Multi-Factor Authentication

Pomocí vytvořených zásad podmíněného přístupu a testovací skupiny uživatelů teď definujte cloudové aplikace nebo akce, které tyto zásady aktivují. Tyto cloudové aplikace nebo akce jsou scénáře, které se rozhodnete vyžadovat další zpracování, například dotazování na MFA. Můžete se třeba rozhodnout, že přístup k finanční aplikaci nebo použití nástrojů pro správu vyžaduje jako další výzvu k ověření.

V tomto kurzu nakonfigurujte zásady podmíněného přístupu tak, aby vyžadovaly MFA, když se uživatel přihlásí k Azure Portal.

  1. Vyberte Cloudové aplikace nebo akce. Zásady podmíněného přístupu můžete použít pro všechny cloudové aplikace nebo pro Výběr aplikací. K zajištění flexibility můžete z těchto zásad taky vyloučit určité aplikace.

    Pro tento kurz na stránce zahrnutí klikněte na přepínač vybrat aplikace .

  2. Zvolte Vybrata pak procházejte seznamem dostupných přihlašovacích událostí, které se dají použít.

    v tomto kurzu vyberte Microsoft Azure Management , takže zásada platí pro události přihlášení Azure Portal.

  3. Pokud chcete použít vybrané aplikace, klikněte na Vybrata potom na Hotovo.

    Select the Microsoft Azure Management app to include in the Conditional Access policy

Řízení přístupu vám umožní definovat požadavky na udělení přístupu uživateli, jako je třeba potřeba schválené klientské aplikace nebo použití zařízení, které je připojené k hybridní službě Azure AD. V tomto kurzu nakonfigurujte ovládací prvky přístupu tak, aby během přihlašovací události pro Azure Portal vyžadovaly MFA.

  1. V části řízení přístupuzvolte udělita pak se ujistěte, že je vybrán přepínač udělit přístup .
  2. Zaškrtněte políčko pro vyžadovat vícefaktorové ověřovánía pak zvolte Vybrat.

Zásady podmíněného přístupu se dají nastavit na sestavu jenom v případě, že se chcete podívat, jak by konfigurace ovlivnila uživatele, nebo pokud nechcete, aby zásady použití byly v tuto chvíli vypnuté . Jako testovací skupina uživatelů cílících na tento kurz umožňuje povolit zásadu a potom otestovat Multi-Factor Authentication Azure AD.

  1. Nastavte přepínač Povolit zásady na zapnuto.
  2. Pokud chcete zásady podmíněného přístupu použít, vyberte vytvořit.

Testování Multi-Factor Authentication služby Azure AD

Pojďme se podívat na vaše zásady podmíněného přístupu a Azure AD Multi-Factor Authentication v akci. Nejprve se přihlaste k prostředku, který nepotřebuje vícefaktorové ověřování, následovně:

  1. Otevřete nové okno prohlížeče v režimu InPrivate nebo anonymním a přejděte na https://account.activedirectory.windowsazure.com
  2. Přihlaste se pomocí testovacího uživatele bez správce, jako je například testuser. Pro dokončení vícefaktorového ověřování není k dispozici žádná výzva.
  3. Zavřete okno prohlížeče.

Teď se přihlaste k Azure Portal. Protože Azure Portal byl nakonfigurován v zásadách podmíněného přístupu, aby vyžadovala dodatečné ověření, zobrazí se výzva Multi-Factor Authentication Azure AD.

  1. Otevřete nové okno prohlížeče v režimu InPrivate nebo anonymním a přejděte na https://portal.azure.com .

  2. Přihlaste se pomocí testovacího uživatele bez správce, jako je například testuser. Je nutné, abyste se zaregistrovali a mohli používat Multi-Factor Authentication Azure AD. Podle pokynů dokončete proces a ověřte, zda jste se úspěšně přihlásili k Azure Portal.

    Follow the browser prompts and then on your registered multi-factor authentication prompt to sign in

  3. Zavřete okno prohlížeče.

Vyčištění prostředků

Pokud už nechcete, aby se zásady podmíněného přístupu povolily Multi-Factor Authentication v rámci tohoto kurzu jste nakonfigurovali Azure AD, odstraňte zásadu pomocí následujících kroků:

  1. Přihlaste se k webu Azure Portal.
  2. vyhledejte a vyberte Azure Active Directorya pak v nabídce na levé straně zvolte zabezpečení .
  3. Vyberte podmíněný přístupa pak vyberte zásadu, kterou jste vytvořili, jako je například MFA pilot .
  4. Zvolte Odstranita pak potvrďte, že chcete zásadu odstranit.

Další kroky

V tomto kurzu jste povolili službu Azure AD Multi-Factor Authentication s využitím zásad podmíněného přístupu pro vybranou skupinu uživatelů. Naučili jste se:

  • Vytvoření zásady podmíněného přístupu pro povolení Multi-Factor Authentication služby Azure AD pro skupinu uživatelů Azure AD
  • Konfigurace podmínek zásad, které se dotazují na MFA
  • Testování procesu MFA jako uživatel