Többtényezős Azure Active Directory üzembe helyezésének megterve

Azure Active Directory (Azure AD) Többtényezős hitelesítés (MFA) segít megvédeni az adatokhoz és alkalmazásokhoz való hozzáférést, és egy második hitelesítési módszer használatával egy újabb biztonsági réteget biztosít. A szervezetek feltételes hozzáféréssel engedélyezhetik a többtényezős hitelesítést, hogy a megoldás illeszkedjen az adott igényekhez.

Ez az üzembe helyezési útmutató bemutatja, hogyan tervezze meg és valósítsa meg Azure AD MFA bevezetést.

A virtuális gép üzembe helyezésének Azure AD MFA

Az üzembe helyezés megkezdése előtt győződjön meg arról, hogy megfelel a következő előfeltételeknek a vonatkozó forgatókönyvekhez.

Eset Előfeltétel
Csak felhőalapú identitási környezet modern hitelesítéssel Nincsenek előfeltételként szükséges feladatok
Hibrid identitás-forgatókönyvek Az Azure AD Csatlakozás és szinkronizálja a felhasználói identitásokat a helyi Active Directory Domain Services (AD DS) és az Azure AD között.
Felhőalapú hozzáférésre közzétett régebbi helyszíni alkalmazások Azure AD-alkalmazásproxy

Hitelesítési módszerek kiválasztása az MFA-hez

A kéttényezős hitelesítéshez számos módszer használható. Az elérhető hitelesítési módszerek listájából választhat, és biztonsági, használhatósági és rendelkezésre állási szempontból értékelheti ki az egyes módszereket.

Fontos

Engedélyezzen több MFA-módszert, hogy a felhasználók egy biztonsági mentési módszerrel is elérhetők, ha az elsődleges módszer nem érhető el. A metódusok a következők:

A bérlőben használt módszerek hitelesítésének kiválasztásakor vegye figyelembe ezeknek a módszereknek a biztonságát és használhatóságát:

Choose the right authentication method

Ha többet szeretne megtudni ezeknek a módszereknek az erősségeiről és biztonságról, illetve azok mikéntjükről, tekintse meg a következő forrásokat:

Ezzel a PowerShell-parancsfájlnal elemezheti a felhasználók MFA-konfigurációit, és javaslatot kaphat a megfelelő MFA-hitelesítési módszerre.

A legjobb rugalmasság és használhatóság érdekében használja a Microsoft Authenticator alkalmazást. Ez a hitelesítési módszer biztosítja a legjobb felhasználói élményt és többféle módot, például jelszó nélküli, MFA leküldéses értesítéseket és OATH kódokat. Az Microsoft Authenticator alkalmazás megfelel a National Institute of Standards and Technology (NIST) 2. szintű biztonsági Authenticator követelményeinek is.

Szabályozhatja a bérlőben elérhető hitelesítési módszereket. Előfordulhat például, hogy blokkolni szeretne néhány legkevésbé biztonságos módszert, például az SMS-t.

Hitelesítési módszer Kezelés innen: Hatókörkezelés
Microsoft Authenticator (leküldéses értesítés és jelszó nélküli telefonos bejelentkezés) MFA-beállítások vagy hitelesítési módszerek házirend Authenticator jelszó nélküli telefonos bejelentkezés hatóköre felhasználókra és csoportokra terjedhet ki
FIDO2 biztonsági kulcs Hitelesítési módszerek házirend Felhasználókra és csoportokra is kiterjedhet
Szoftveres vagy hardveres OATH-jogkivonatok MFA-beállítások
SMS-ellenőrzés MFA-beállítások
SMS-bejelentkezés kezelése az elsődleges hitelesítéshez a hitelesítési házirendben
Az SMS-bejelentkezés hatóköre felhasználókra és csoportokra terjedhet ki.
Hanghívások Hitelesítési módszerek házirend

Feltételes hozzáférési szabályzatok megterve

Azure AD MFA feltételes hozzáférési szabályzatokkal kényszeríthető ki. Ezek a szabályzatok lehetővé teszik, hogy többtényezős hitelesítést kér a felhasználóktól, amikor szükség van a biztonságra, és hogy ne legyen rájuk szükség.

Conceptual Conditional Access process flow

A Azure Portal feltételes hozzáférési szabályzatokat a Azure Active Directory feltételes hozzáférésalatt konfigurálhatja.

További információ a feltételes hozzáférési szabályzatok létrehozásáról: Feltételes hozzáférési szabályzat, amely Azure AD MFA kéri, amikor egy felhasználó bejelentkezik a Azure Portal. Ez a következőben segít:

  • Ismerkedés a felhasználói felülettel
  • Első pillantásra bemutatja a feltételes hozzáférés működését

Az Azure AD feltételes hozzáférés üzembe helyezésével kapcsolatos végpontok között útmutatásért tekintse meg a feltételes hozzáférés üzembe helyezési tervét.

Gyakori szabályzatok a Azure AD MFA

Az alábbi gyakori esetekben van szükség Azure AD MFA használatra:

Nevesített helyek

A feltételes hozzáférési szabályzatok kezeléséhez a feltételes hozzáférési szabályzatok hely feltétele lehetővé teszi, hogy a hozzáférés-vezérlési beállításokat a felhasználók hálózati helyéhez kösse. Ajánlott elnevezett helyeket használni az IP-címtartományok, országok és régiók logikai csoportosításának létrehozásához. Ez létrehoz egy szabályzatot az összes olyan alkalmazáshoz, amely letiltja a bejelentkezést a megnevezett helyről. Mindenképpen mentesítenie kell a rendszergazdákat a szabályzat alól.

Kockázatalapú szabályzatok

Ha a szervezet Azure AD Identity Protection észlelni a kockázati jeleket, érdemes lehet kockázatalapú szabályzatokat használni megnevezett helyek helyett. Szabályzatok úgy is megalkothatóak, hogy jelszóváltozásokat kényszerítsen ki, ha az identitás biztonsága sérül, vagy többtényezős hitelesítésre van szükség, ha egy bejelentkezést kockázatosnak tekint az olyan események, mint a kiszivárgott hitelesítő adatok, a névtelen IP-címekről történő bejelentkezések stb.

A kockázati szabályzatok a következők:

Felhasználók átalakítása felhasználónkénti MFA-ról feltételes hozzáférésen alapuló MFA-vá

Ha a felhasználók a felhasználónkénti engedélyezett és kényszerített Azure AD Multi-Factor Authentication használatával voltak engedélyezve, a következő PowerShell segíthet a feltételes hozzáférésen alapuló Azure AD Multi-Factor Authenticationre való átalakításban.

Futtassa ezt a PowerShellt egy ISE-ablakban, vagy mentse fájlként a .PS1 helyi futtatáshoz. A művelet csak az MSOnline modullal végrehajtásához végrehajtásához szükséges.

# Sets the MFA requirement state
function Set-MfaState {
    [CmdletBinding()]
    param(
        [Parameter(ValueFromPipelineByPropertyName=$True)]
        $ObjectId,
        [Parameter(ValueFromPipelineByPropertyName=$True)]
        $UserPrincipalName,
        [ValidateSet("Disabled","Enabled","Enforced")]
        $State
    )
    Process {
        Write-Verbose ("Setting MFA state for user '{0}' to '{1}'." -f $ObjectId, $State)
        $Requirements = @()
        if ($State -ne "Disabled") {
            $Requirement =
                [Microsoft.Online.Administration.StrongAuthenticationRequirement]::new()
            $Requirement.RelyingParty = "*"
            $Requirement.State = $State
            $Requirements += $Requirement
        }
        Set-MsolUser -ObjectId $ObjectId -UserPrincipalName $UserPrincipalName `
                     -StrongAuthenticationRequirements $Requirements
    }
}
# Disable MFA for all users
Get-MsolUser -All | Set-MfaState -State Disabled

Felhasználói munkamenet élettartamának megterve

Az MFA üzembe helyezésének megtervezésekor fontos át gondolni, milyen gyakran szeretné kérni a felhasználókat. A hitelesítő adatok megadásának kérése gyakran ésszerűnek tűnik, de visszatűzhet. Ha a felhasználók gondolkodás nélkül be vannak tanítva a hitelesítő adataik megadására, akaratlan módon rosszindulatú hitelesítő adatok megadására kérik őket. Az Azure AD több beállításával is rendelkezik, amelyek meghatározzák, hogy milyen gyakran kell újrahitelesülni. A vállalat és a felhasználók igényeinek kielégítése, valamint a környezetének legjobb egyensúlyt teremtő beállítások konfigurálása.

Javasoljuk, hogy a jobb végfelhasználói élmény érdekében elsődleges frissítési jogkivonatokkal (PRT) használja az eszközöket, és csak bizonyos üzleti használati esetekben csökkentse a munkamenetek élettartamát a bejelentkezési gyakorisági szabályzattal.

További információ: Azújrahitelesítési kérések optimalizálása és a munkamenetek élettartamának Azure AD MFA.

Felhasználói regisztráció megterve

Minden MFA üzembe helyezésének egyik fő lépése, hogy regisztrálja a felhasználókat az MFA használatára. Az olyan hitelesítési módszerek, mint a Hang és az SMS, lehetővé teszik az előzetes regisztrációt, míg mások, mint Authenticator alkalmazás felhasználói beavatkozást igényelnek. A rendszergazdáknak meg kell határozniuk, hogyan regisztrálják a felhasználók a metódusokat.

Az SSPR és a Azure AD MFA

Javasoljuk, hogy használja a kombinált regisztrációs élményt a Azure AD MFA és az Azure AD önkiszolgáló jelszóát állításához (SSPR). Az SSPR lehetővé teszi, hogy a felhasználók biztonságos módon visszaállítsák a jelszavukat ugyanazokkal a módszerekkel, mint a Azure AD MFA. A kombinált regisztráció egyetlen lépés a végfelhasználók számára.

Regisztráció az Identity Protectionben

Azure AD Identity Protection a regisztrációs szabályzatot és az automatizált kockázatészlelési és -szervizelési szabályzatokat is hozzájárul a Azure AD MFA történethez. Szabályzatok létrehozása a jelszóváltozások kényszerítése érdekében, ha fennáll a veszély, hogy az identitás biztonsága sérül, vagy ha több hitelesítésre van szükség, amikor a bejelentkezés kockázatosnak minősül. Ha az Azure AD Identity Protection használ, konfigurálja a Azure AD MFA regisztrációs szabályzatot, hogy a felhasználókat a következő interaktív bejelentkezésre való regisztrálásra kéri.

Regisztráció az Identity Protection nélkül

Ha nem rendelkezik olyan licencekkel, amelyek engedélyezik a Azure AD Identity Protection, a rendszer kérni fogja a felhasználókat, hogy regisztrálják a következő alkalommal, amikor az MFA szükséges a bejelentkezéshez. Az MFA használatának megkövetelése érdekében feltételes hozzáférési szabályzatokat használhat, és olyan gyakran használt alkalmazásokat célozhat meg, mint a HR-rendszerek. Ha egy felhasználó jelszava sérül, az felhasználható az MFA-regisztrációra, így átveve a fiókja felügyeletét. Ezért javasoljuk a biztonsági regisztrációs folyamat biztonságossá tétele megbízható eszközöket és helyeket megkövetelő feltételes hozzáférési szabályzatokkal. A folyamat további biztonságossá te igénylő ideiglenes hozzáférési kód. Egy rendszergazda által kiadott, időkorrel korlátozott PIN-kód, amely megfelel az erős hitelesítési követelményeknek, és más hitelesítési módszerek, például jelszó nélküli hitelesítési módszerek előírására is használható.

Regisztrált felhasználók biztonságának növelése

Ha vannak olyan felhasználói, akik SMS-ben vagy hanghívással regisztrálták az MFA-t, azokat biztonságosabb módszerekre, például az Microsoft Authenticator alkalmazásba szeretné áthelyezni. A Microsoft mostantól elérhetővé teszi a funkciók nyilvános előzetes verziójának használatát, amely lehetővé teszi a felhasználóknak, hogy Microsoft Authenticator alkalmazás beállítását a bejelentkezés során. Ezeket a kéréseket csoportok szerint állíthatja be, így szabályozhatja, hogy kiket kell felkérdezni, lehetővé téve a megcélzott kampányok számára, hogy a felhasználókat a biztonságosabb módszerre irányítják át.

Helyreállítási forgatókönyvek megterve

Ahogy korábban említettük, győződjön meg arról, hogy a felhasználók több MFA-módszerre is regisztrálva vannak, hogy ha egy nem érhető el, akkor legyen biztonsági másolatuk. Ha a felhasználó nem rendelkezik elérhető biztonsági mentési módszerrel, a következő lehetőségeket használhatja:

  • Biztosítson nekik egy ideiglenes hozzáférési kód, hogy kezelni tudják a saját hitelesítési módszereik használatát. Az erőforrásokhoz való ideiglenes ideiglenes hozzáférési kód is meg lehet adni.
  • Frissítse a metódusokat rendszergazdaként. Válassza ki a felhasználót a Azure Portal, majd válassza a Hitelesítési módszerek lehetőséget, és frissítse a metódusokat. Felhasználói kommunikáció

Rendkívül fontos tájékoztatni a felhasználókat a közelgő változásokról, a Azure AD MFA követelményekről és a szükséges felhasználói műveletekről. Kommunikációs sablonokat és végfelhasználói dokumentációt biztosítunk a kommunikáció piszkozatának. Az oldalon található Biztonsági adatok hivatkozásra kattintva küldje el a felhasználókat https://myprofile.microsoft.com a webhelyre a regisztrációhoz. https://myprofile.microsoft.com

A helyszíni rendszerekkel való integráció megterve

A közvetlen Azure AD-hitelesítéssel és modern hitelesítéssel (WS-Fed, SAML, OAuth, OpenID Csatlakozás) hitelesített alkalmazások feltételes hozzáférési szabályzatokat használhatnak. Egyes örökölt és helyszíni alkalmazások nem hitelesítik magukat közvetlenül az Azure AD-ban, és további lépéseket igényelnek a Azure AD MFA. Ezeket az Azure AD-alkalmazásproxyval vagy a hálózati szabályzati szolgáltatásokkal integrálhatja.

Integráció a AD FS erőforrásokkal

Javasoljuk, hogy az alkalmazásokat biztonságos Active Directory összevonási szolgáltatások (AD FS) (AD FS) az Azure AD-be. Ha azonban nem áll készen az áttelepítésre az Azure AD-be, az Azure MFA-adaptert a 2016-os vagy újabb AD FS használhatja. Ha a szervezet össze van állítva az Azure AD-val, a Azure AD MFA-t konfigurálhatja hitelesítésszolgáltatóként AD FS helyszíni és felhőbeli erőforrásokkal is.

RADIUS-ügyfelek és -Azure AD MFA

A RADIUS-hitelesítést használó alkalmazások esetében azt javasoljuk, hogy az ügyfélalkalmazásokat modern protokollokra, például SAML-, Open ID Csatlakozás- vagy OAuth-protokollra misét az Azure AD-ban. Ha az alkalmazás nem frissíthető, a hálózati házirend-kiszolgálót (NPS) az Azure MFA bővítvével telepítheti. A hálózati házirend-kiszolgáló (NPS) bővítmény adapterként működik a RADIUS-alapú alkalmazások és a Azure AD MFA között, hogy második hitelesítési tényezőt biztosítson.

Gyakori integrációk

Számos szállító támogatja az SAML-hitelesítést az alkalmazásaikhoz. Ha lehetséges, javasoljuk, hogy egyesítje ezeket az alkalmazásokat az Azure AD-val, és kényszerítsen MFA-t feltételes hozzáférésen keresztül. Ha a szállító nem támogatja a modern – hitelesítést, használhatja az NPS-bővítményt. Gyakori RADIUS-ügyfélintegrációk közé tartoznak például az Távoli asztal átjárók ésa VPN-kiszolgálók.

Mások többek között a következők lehetnek:

  • Citrix-átjáró

    A Citrix Gateway a RADIUS és az NPS bővítmény integrációját, valamint az SAML-integrációt is támogatja.

  • Cisco VPN

    • A Cisco VPN az SSO RADIUS- és SAML-hitelesítését is támogatja.
    • A RADIUS-hitelesítésről SAML-re való áthelyezéssel a Cisco VPN-t az NPS-bővítmény üzembe helyezése nélkül is integrálhatja.
  • Minden VPN

Üzembe Azure AD MFA

Az MFA bevezetési tervének tartalmaznia kell egy próbatelepítést, majd a támogatási kapacitáson belüli üzembe helyezési hullámokat. A bevezetés megkezdéséhez alkalmazza a feltételes hozzáférési szabályzatokat a próbafelhasználók egy kis csoportjára. A próbafelhasználókra, a használt folyamatokra és a regisztrációs viselkedésre gyakorolt hatás kiértékelása után további csoportokat adhat hozzá a szabályzathoz, vagy hozzáadhat további felhasználókat a meglévő csoportokhoz.

Kövesse az alábbi lépéseket:

  1. A szükséges előfeltételeknek való megfelelő
  2. Kiválasztott hitelesítési módszerek konfigurálása
  3. Feltételes hozzáférési szabályzatok konfigurálása
  4. Munkamenet élettartam-beállításainak konfigurálása
  5. A Azure AD MFA szabályzatok konfigurálása

A Azure AD MFA

Ez a szakasz jelentéskészítési és hibaelhárítási információkat tartalmaz a Azure AD MFA.

Jelentéskészítés és monitorozás

Az Azure AD olyan jelentésekkel rendelkezik, amelyek műszaki és üzleti elemzéseket biztosítanak, nyomon követik az üzembe helyezési folyamat előrehaladását, és ellenőrzik, hogy a felhasználók sikeresen bejelentkeztek-e az MFA-val. Az üzleti és technikai alkalmazások tulajdonosait a szervezet igényei alapján átveszi a tulajdonjoguk, és felhasználják ezeket a jelentéseket.

A hitelesítési módszerek regisztrációját és használatát a szervezeten belül a Hitelesítési módszerek tevékenység irányítópultján követheti nyomon. Ez segít megérteni, hogy milyen metódusok vannak regisztrálva, és hogyan vannak használva.

Bejelentkezési jelentés az MFA-események áttekintéséhez

Az Azure AD bejelentkezési jelentései hitelesítési adatokat tartalmaznak az eseményekről, amikor a rendszer többtényezős hitelesítést kér egy felhasználótól, és ha feltételes hozzáférési szabályzatok voltak használatban. A PowerShellt az MFA-regisztrációban regisztrált felhasználókról való jelentéskészítéshez is használhatja.

Az NPS-bővítmény AD FS naplókat a biztonsági MFA-tevékenységjelentésbenlehet megtekinteni.

További információkért és további MFA-jelentésekért lásd: Azure AD Multi-Factor Authentication-események áttekintése.

Hibaelhárítási Azure AD MFA

A gyakori problémákat Azure AD MFA hibaelhárítási útmutatóban láthatja.

Következő lépések

Egyéb identitás-funkciók üzembe helyezése