Použití vícefaktorového ověřování Microsoft Entra k aktivaci v MIM PAM
Důležité
V září 2022 Společnost Microsoft oznámila vyřazení Azure Multi-Factor Authentication Serveru. Od 30. září 2024 už nasazení Azure Multi-Factor Authentication Serveru nebudou obsluhovat požadavky vícefaktorového ověřování (MFA). Zákazníci Azure Multi-Factor Authentication Serveru by měli raději začít používat vlastní poskytovatele vícefaktorového ověřování nebo ověřování pomocí Windows Hello nebo čipové karty ve službě AD.
Při konfiguraci role PAM si můžete vybrat, jak se mají autorizovat uživatelé, kteří vyžadují aktivaci této role. Autorizační aktivita PAM implementuje tyto možnosti:
- Schválení vlastníka role
- Microsoft Entra vícefaktorové ověřování
Pokud není zaškrtnutá žádná z těchto možností, role se pro kandidáty aktivuje automaticky.
Microsoft Entra vícefaktorové ověřování je ověřovací služba, která vyžaduje, aby uživatelé ověřili své pokusy o přihlášení pomocí mobilní aplikace, telefonního hovoru nebo textové zprávy.
Poznámka
Přístup PAM s prostředím bastionu poskytovaným MIM je určený k použití ve vlastní architektuře pro izolovaná prostředí, kde není k dispozici přístup k internetu, kde tuto konfiguraci vyžadují předpisy, nebo v izolovaných prostředích s velkým dopadem, jako jsou offline výzkumné laboratoře a odpojené provozní technologie nebo prostředí dohledu a získávání dat. Vzhledem k tomu, že Microsoft Entra vícefaktorové ověřování je internetová služba, jsou tyto pokyny k dispozici výhradně pro stávající zákazníky MIM PAM nebo pro ty v prostředích, kde je tato konfigurace vyžadována nařízením. Pokud je vaše služba Active Directory součástí prostředí připojeného k internetu, přečtěte si téma Zabezpečení privilegovaného přístupu na místě, kde začít.
Požadavky
Abyste mohli s MIM PAM používat vícefaktorové ověřování Microsoft Entra, potřebujete:
- Přístup k internetu z každé služby MIM, která poskytuje PAM, za účelem kontaktování Microsoft Entra vícefaktorové služby ověřování
- Předplatné Azure
- Azure Multi-Factor Authentication Server od 1. července 2019
- licence Microsoft Entra ID P1 nebo P2 pro kandidátské uživatele
- Telefonní čísla pro všechny kandidáty
Stažení přihlašovacích údajů služby vícefaktorového ověřování Microsoft Entra
Informace o používání Azure Multi-Factor Authentication Serveru najdete v tématu Použití Azure Multi-Factor Authentication Serveru v PAM nebo SSPR .
Konfigurace služby MIM pro vícefaktorové ověřování Microsoft Entra
K počítači, ve kterém je nainstalovaná služba MIM, se přihlaste jako správce nebo jako uživatel, který nainstaloval MIM.
V adresáři, do kterého byla služba MIM nainstalovaná, vytvořte novou složku, například
C:\Program Files\Microsoft Forefront Identity Manager\2010\Service\MfaCerts
.Pomocí Průzkumníka Windows přejděte do
pf\certs
složky souboru ZIP staženého v předchozí části. Zkopírujte souborcert\_key.p12
do nového adresáře.Pomocí Průzkumníka Windows přejděte do
pf
složky ZIP a otevřete souborpf\_auth.cs
v textovém editoru, jako je Poznámkový blok.Najděte tyto tři parametry:
LICENSE\_KEY
,GROUP\_KEY
,CERT\_PASSWORD
.
Pomocí Poznámkového bloku otevřete soubor MfaSettings.xml umístěný ve složce
C:\Program Files\Microsoft Forefront Identity Manager\2010\Service
.Zkopírujte hodnoty z parametrů LICENSE_KEY, GROUP_KEY a CERT_PASSWORD v souboru pf_auth.cs do příslušných elementů XML v souboru MfaSettings.xml.
V elementu <XML CertFilePath> zadejte úplný název cesty souboru cert_key.p12 extrahovaného dříve.
Do elementu <username> zadejte libovolné uživatelské jméno.
V elementu <DefaultCountryCode> zadejte kód země pro vytáčení uživatelů, například 1 pro USA a Kanada. Tato hodnota se použije v případech, kdy jsou uživatelé zaregistrovaní s telefonními čísly, která neobsahují směrové číslo země. Pokud telefonní číslo uživatele má jiné směrové číslo země, než které je pro organizaci nakonfigurované, musí být toto směrové číslo země součástí telefonního čísla, které se zaregistruje.
Uložte a přepište soubor MfaSettings.xml ve složce služby MIM
C:\Program Files\Microsoft Forefront Identity Manager\2010\\Service
.
Poznámka
Na konci tohoto procesu zkontrolujte, že soubor MfaSettings.xml, žádné jeho kopie ani příslušný soubor ZIP nejsou veřejně čitelné.
Konfigurace vícefaktorového ověřování pro uživatele PAM Microsoft Entra
Aby uživatel aktivoval roli, která vyžaduje Microsoft Entra vícefaktorové ověřování, musí být telefonní číslo uživatele uloženo v MIM. Tento atribut je možné nastavit dvěma způsoby.
Za prvé, příkaz New-PAMUser
zkopíruje atribut telefonního čísla z adresářové položky tohoto uživatele v doméně CORP do databáze služby MIM. Jedná se o jednorázovou operaci.
Za druhé, příkaz Set-PAMUser
provede aktualizaci atributu telefonního čísla v databázi služby MIM. Například následující příkaz nahradí stávající telefonní číslo uživatele PAM ve službě MIM. Příslušná adresářová položka se nezmění.
Set-PAMUser (Get-PAMUser -SourceDisplayName Jen) -SourcePhoneNumber 12135551212
Konfigurace rolí PAM pro Microsoft Entra vícefaktorové ověřování
Jakmile budou mít všichni kandidáti na roli PAM telefonní čísla uložená v databázi služby MIM, je možné roli nakonfigurovat tak, aby vyžadovala vícefaktorové ověřování Microsoft Entra. K tomuto účelu se použije příkaz New-PAMRole
nebo Set-PAMRole
. Třeba
Set-PAMRole (Get-PAMRole -DisplayName "R") -MFAEnabled 1
Microsoft Entra vícefaktorové ověřování lze pro roli zakázat zadáním parametru -MFAEnabled 0 v Set-PAMRole
příkazu.
Poradce při potížích
V protokolu událostí Privileged Access Management se mohou vyskytovat tyto události:
ID | Závažnost | Generuje | Description |
---|---|---|---|
101 | Chyba | Služba MIM | Uživatel nedokončil Microsoft Entra vícefaktorové ověřování (např. nezvedl telefon). |
103 | Informace | Služba MIM | Uživatel během aktivace dokončil Microsoft Entra vícefaktorové ověřování. |
825 | Upozornění | Služba monitorování PAM | Telefonní číslo se změnilo. |