Použití vícefaktorového ověřování Microsoft Entra k aktivaci v MIM PAM

  • Článek

Důležité

V září 2022 Společnost Microsoft oznámila vyřazení Azure Multi-Factor Authentication Serveru. Od 30. září 2024 už nasazení Azure Multi-Factor Authentication Serveru nebudou obsluhovat požadavky vícefaktorového ověřování (MFA). Zákazníci Azure Multi-Factor Authentication Serveru by měli raději začít používat vlastní poskytovatele vícefaktorového ověřování nebo ověřování pomocí Windows Hello nebo čipové karty ve službě AD.

Při konfiguraci role PAM si můžete vybrat, jak se mají autorizovat uživatelé, kteří vyžadují aktivaci této role. Autorizační aktivita PAM implementuje tyto možnosti:

Pokud není zaškrtnutá žádná z těchto možností, role se pro kandidáty aktivuje automaticky.

Microsoft Entra vícefaktorové ověřování je ověřovací služba, která vyžaduje, aby uživatelé ověřili své pokusy o přihlášení pomocí mobilní aplikace, telefonního hovoru nebo textové zprávy.

Poznámka

Přístup PAM s prostředím bastionu poskytovaným MIM je určený k použití ve vlastní architektuře pro izolovaná prostředí, kde není k dispozici přístup k internetu, kde tuto konfiguraci vyžadují předpisy, nebo v izolovaných prostředích s velkým dopadem, jako jsou offline výzkumné laboratoře a odpojené provozní technologie nebo prostředí dohledu a získávání dat. Vzhledem k tomu, že Microsoft Entra vícefaktorové ověřování je internetová služba, jsou tyto pokyny k dispozici výhradně pro stávající zákazníky MIM PAM nebo pro ty v prostředích, kde je tato konfigurace vyžadována nařízením. Pokud je vaše služba Active Directory součástí prostředí připojeného k internetu, přečtěte si téma Zabezpečení privilegovaného přístupu na místě, kde začít.

Požadavky

Abyste mohli s MIM PAM používat vícefaktorové ověřování Microsoft Entra, potřebujete:

  • Přístup k internetu z každé služby MIM, která poskytuje PAM, za účelem kontaktování Microsoft Entra vícefaktorové služby ověřování
  • Předplatné Azure
  • Azure Multi-Factor Authentication Server od 1. července 2019
  • licence Microsoft Entra ID P1 nebo P2 pro kandidátské uživatele
  • Telefonní čísla pro všechny kandidáty

Stažení přihlašovacích údajů služby vícefaktorového ověřování Microsoft Entra

Informace o používání Azure Multi-Factor Authentication Serveru najdete v tématu Použití Azure Multi-Factor Authentication Serveru v PAM nebo SSPR .

Konfigurace služby MIM pro vícefaktorové ověřování Microsoft Entra

  1. K počítači, ve kterém je nainstalovaná služba MIM, se přihlaste jako správce nebo jako uživatel, který nainstaloval MIM.

  2. V adresáři, do kterého byla služba MIM nainstalovaná, vytvořte novou složku, například C:\Program Files\Microsoft Forefront Identity Manager\2010\Service\MfaCerts.

  3. Pomocí Průzkumníka Windows přejděte do pf\certs složky souboru ZIP staženého v předchozí části. Zkopírujte soubor cert\_key.p12 do nového adresáře.

  4. Pomocí Průzkumníka Windows přejděte do pf složky ZIP a otevřete soubor pf\_auth.cs v textovém editoru, jako je Poznámkový blok.

  5. Najděte tyto tři parametry: LICENSE\_KEY, GROUP\_KEY, CERT\_PASSWORD.

Kopírování hodnot ze souboru pf_auth.cs – snímek obrazovky

  1. Pomocí Poznámkového bloku otevřete soubor MfaSettings.xml umístěný ve složce C:\Program Files\Microsoft Forefront Identity Manager\2010\Service.

  2. Zkopírujte hodnoty z parametrů LICENSE_KEY, GROUP_KEY a CERT_PASSWORD v souboru pf_auth.cs do příslušných elementů XML v souboru MfaSettings.xml.

  3. V elementu <XML CertFilePath> zadejte úplný název cesty souboru cert_key.p12 extrahovaného dříve.

  4. Do elementu <username> zadejte libovolné uživatelské jméno.

  5. V elementu <DefaultCountryCode> zadejte kód země pro vytáčení uživatelů, například 1 pro USA a Kanada. Tato hodnota se použije v případech, kdy jsou uživatelé zaregistrovaní s telefonními čísly, která neobsahují směrové číslo země. Pokud telefonní číslo uživatele má jiné směrové číslo země, než které je pro organizaci nakonfigurované, musí být toto směrové číslo země součástí telefonního čísla, které se zaregistruje.

  6. Uložte a přepište soubor MfaSettings.xml ve složce služby MIM C:\Program Files\Microsoft Forefront Identity Manager\2010\\Service.

Poznámka

Na konci tohoto procesu zkontrolujte, že soubor MfaSettings.xml, žádné jeho kopie ani příslušný soubor ZIP nejsou veřejně čitelné.

Konfigurace vícefaktorového ověřování pro uživatele PAM Microsoft Entra

Aby uživatel aktivoval roli, která vyžaduje Microsoft Entra vícefaktorové ověřování, musí být telefonní číslo uživatele uloženo v MIM. Tento atribut je možné nastavit dvěma způsoby.

Za prvé, příkaz New-PAMUser zkopíruje atribut telefonního čísla z adresářové položky tohoto uživatele v doméně CORP do databáze služby MIM. Jedná se o jednorázovou operaci.

Za druhé, příkaz Set-PAMUser provede aktualizaci atributu telefonního čísla v databázi služby MIM. Například následující příkaz nahradí stávající telefonní číslo uživatele PAM ve službě MIM. Příslušná adresářová položka se nezmění.

Set-PAMUser (Get-PAMUser -SourceDisplayName Jen) -SourcePhoneNumber 12135551212

Konfigurace rolí PAM pro Microsoft Entra vícefaktorové ověřování

Jakmile budou mít všichni kandidáti na roli PAM telefonní čísla uložená v databázi služby MIM, je možné roli nakonfigurovat tak, aby vyžadovala vícefaktorové ověřování Microsoft Entra. K tomuto účelu se použije příkaz New-PAMRole nebo Set-PAMRole. Třeba

Set-PAMRole (Get-PAMRole -DisplayName "R") -MFAEnabled 1

Microsoft Entra vícefaktorové ověřování lze pro roli zakázat zadáním parametru -MFAEnabled 0 v Set-PAMRole příkazu.

Poradce při potížích

V protokolu událostí Privileged Access Management se mohou vyskytovat tyto události:

ID Závažnost Generuje Description
101 Chyba Služba MIM Uživatel nedokončil Microsoft Entra vícefaktorové ověřování (např. nezvedl telefon).
103 Informace Služba MIM Uživatel během aktivace dokončil Microsoft Entra vícefaktorové ověřování.
825 Upozornění Služba monitorování PAM Telefonní číslo se změnilo.

Další kroky