Többtényezős Azure Active Directory üzembe helyezésének megterve

Azure Active Directory (Azure AD) Multi-Factor Authentication (MFA) segít megvédeni az adatokhoz és alkalmazásokhoz való hozzáférést, és egy második hitelesítési módszer használatával egy újabb biztonsági réteget biztosít. A szervezetek többtényezős hitelesítést engedélyeznek feltételes hozzáféréssel, hogy a megoldás illeszkedjen az adott igényekhez.

Ez az üzembe helyezési útmutató bemutatja, hogyan tervezze meg és valósítsa meg Azure AD MFA bevezetést.

A virtuális gép üzembe helyezésének Azure AD MFA

Az üzembe helyezés megkezdése előtt győződjön meg arról, hogy megfelel a következő előfeltételeknek a vonatkozó forgatókönyvekhez.

Eset Előfeltétel
Csak felhőalapú identitási környezet modern hitelesítéssel Nincsenek előfeltételként szükséges feladatok
Hibrid identitás-forgatókönyvek Az Azure AD Csatlakozás és szinkronizálja a felhasználói identitásokat a helyi Active Directory Domain Services (AD DS) és az Azure AD között.
Felhőalapú hozzáférésre közzétett régebbi helyszíni alkalmazások Az Azure AD-alkalmazásproxy

Hitelesítési módszerek kiválasztása az MFA-hez

A kéttényezős hitelesítéshez számos módszer használható. Az elérhető hitelesítési módszerek listájából választhat, és kiértékelheti az egyes módszereket a biztonság, a használhatóság és a rendelkezésre állás szempontjából.

Fontos

Engedélyezzen egynél több MFA-módszert, hogy a felhasználók rendelkezésre álltanak egy biztonsági mentési módszert arra az esetre, ha az elsődleges módszer nem érhető el. A módszerek a következők:

A bérlőben használt módszerek hitelesítésének kiválasztásakor vegye figyelembe ezeknek a módszereknek a biztonságát és használhatóságát:

A megfelelő hitelesítési módszer kiválasztása

Ha többet szeretne megtudni ezeknek a módszereknek az erősségeiről és biztonságról, illetve azok mikéntjről, tekintse meg a következő forrásokat:

Ezzel a PowerShell-parancsfájlnal elemezheti a felhasználók MFA-konfigurációit, és javaslatot kaphat a megfelelő MFA-hitelesítési módszerre.

A legjobb rugalmasság és használhatóság érdekében használja a Microsoft Authenticator alkalmazást. Ez a hitelesítési módszer biztosítja a legjobb felhasználói élményt és többféle módot, például jelszó nélküli, MFA leküldéses értesítéseket és OATH kódokat. A Microsoft Authenticator alkalmazás megfelel a National Institute of Standards and Technology (NIST) szabványnak és Authenticator 2.szintű követelményeknek is.

Szabályozhatja a bérlőben elérhető hitelesítési módszereket. Előfordulhat például, hogy blokkolni szeretne néhány legkevésbé biztonságos módszert, például az SMS-t.

Hitelesítési módszer Kezelés innen: Hatókörkezelés
Microsoft Authenticator (leküldéses értesítés és jelszó nélküli telefonos bejelentkezés) MFA-beállítások vagy hitelesítési módszerek házirend Authenticator jelszó nélküli telefonos bejelentkezés hatóköre felhasználókra és csoportokra terjedhet ki
FIDO2 biztonsági kulcs Hitelesítési módszerek házirend Felhasználókra és csoportokra terjedhet ki
Szoftver- vagy hardver OATH-jogkivonatok MFA-beállítások
SMS-ellenőrzés MFA-beállítások
SMS-bejelentkezés kezelése az elsődleges hitelesítéshez a hitelesítési házirendben
Az SMS-bejelentkezés hatóköre felhasználókra és csoportokra terjedhet ki.
Hanghívások Hitelesítési módszerek házirend

Feltételes hozzáférési szabályzatok megterve

Azure AD MFA feltételes hozzáférési szabályzatokkal kényszeríthető ki. Ezekkel a szabályzatokkal többtényezős hitelesítést kér a felhasználóktól, amikor szükség van a biztonságra, és nem kell a felhasználókra vonatkozó módon maradnia, amikor nincs rájuk szükség.

Fogalmi feltételes hozzáférési folyamat

A Azure Portal feltételes hozzáférési szabályzatokat a Következő Azure Active Directory > > konfigurálhatja:.

További információ a feltételes hozzáférési szabályzatok létrehozásáról: Feltételes hozzáférési szabályzat, amely Azure AD MFA, amikor egy felhasználó bejelentkezik aAzure Portal. Ez a következőben segít:

  • Ismerkedés a felhasználói felülettel
  • Első pillantásra bemutatja a feltételes hozzáférés működését

Az Azure AD feltételes hozzáférés üzembe helyezésével kapcsolatos, végpontok között útmutatásért lásd a feltételes hozzáférés üzembe helyezésének tervét.

Gyakori szabályzatok a Azure AD MFA

Gyakori esetekben van szükség a Azure AD MFA:

Nevesített helyek

A feltételes hozzáférési szabályzatok kezeléséhez a feltételes hozzáférési szabályzatok hely feltétele lehetővé teszi, hogy a hozzáférés-vezérlési beállításokat a felhasználók hálózati helyéhez kösse. Ajánlott elnevezett helyeket használni az IP-címtartományok, országok és régiók logikai csoportosításának létrehozásához. Ez létrehoz egy szabályzatot az összes olyan alkalmazáshoz, amely letiltja a bejelentkezést a megnevezett helyről. Mindenképpen mentesítenie kell a rendszergazdákat a szabályzat alól.

Kockázatalapú szabályzatok

Ha a szervezet Azure AD Identity Protection észlelni a kockázati jeleket, érdemes lehet kockázatalapú szabályzatokat használni elnevezett helyek helyett. Szabályzatokkal kényszerítheti a jelszóváltozásokat, ha az identitás biztonsága sérül, vagy többtényezős hitelesítésre van szükség, ha a bejelentkezés kockázatosnak minősül például kiszivárgott hitelesítő adatok, névtelen IP-címekről történő bejelentkezések és így tovább.

A kockázati szabályzatok a következők:

Felhasználók átalakítása felhasználónkénti MFA-ról feltételes hozzáférésen alapuló MFA-vá

Ha a felhasználók engedélyezése felhasználónként engedélyezett és kényszerített Azure AD Multi-Factor Authentication használatával történt, a következő PowerShell segíthet a feltételes hozzáférésen alapuló Azure AD Multi-Factor Authenticationre való átalakításban.

Futtassa ezt a PowerShellt egy ISE-ablakban, vagy mentse fájlként a .PS1 helyi futtatáshoz. A művelet csak az MSOnline modullal végrehajtásához szükséges.

# Sets the MFA requirement state
function Set-MfaState {
    [CmdletBinding()]
    param(
        [Parameter(ValueFromPipelineByPropertyName=$True)]
        $ObjectId,
        [Parameter(ValueFromPipelineByPropertyName=$True)]
        $UserPrincipalName,
        [ValidateSet("Disabled","Enabled","Enforced")]
        $State
    )
    Process {
        Write-Verbose ("Setting MFA state for user '{0}' to '{1}'." -f $ObjectId, $State)
        $Requirements = @()
        if ($State -ne "Disabled") {
            $Requirement =
                [Microsoft.Online.Administration.StrongAuthenticationRequirement]::new()
            $Requirement.RelyingParty = "*"
            $Requirement.State = $State
            $Requirements += $Requirement
        }
        Set-MsolUser -ObjectId $ObjectId -UserPrincipalName $UserPrincipalName `
                     -StrongAuthenticationRequirements $Requirements
    }
}
# Disable MFA for all users
Get-MsolUser -All | Set-MfaState -State Disabled

Felhasználói munkamenet élettartamának megterve

Az MFA üzembe helyezésének megtervezésekor fontos át gondolni, hogy milyen gyakran szeretné kérni a felhasználókat. A hitelesítő adatok megadásának kérése gyakran ésszerű megoldásnak tűnik, de visszatűzhet. Ha a felhasználó úgy van betanítva, hogy gondolkodás nélkül adja meg a hitelesítő adatait, akaratlan módon rosszindulatú hitelesítőadat-kérést kaphat. Az Azure AD-nek több beállítása is van, amelyek meghatározzák, hogy milyen gyakran kell újrahitelesülni. Az üzleti és a felhasználói igényeket is meg kell értenie, és konfigurálnia kell a környezetének leginkább megfelelő beállításokat.

Javasoljuk, hogy a jobb végfelhasználói élmény érdekében az elsődleges frissítési jogkivonatokkal (PRT) használja az eszközöket, és csak bizonyos üzleti használati esetekben csökkentse a munkamenet élettartamát a bejelentkezési gyakorisági szabályzattal.

További információkért lásd: Az újrahitelesítési kérések optimalizálása és a munkamenet élettartamának Azure AD MFA.

Felhasználói regisztráció megterve

Minden MFA üzembe helyezésének egyik fő lépése a felhasználók MFA használatára való regisztrációja. Az olyan hitelesítési módszerek, mint a Hang és az SMS, lehetővé teszik az előzetes regisztrációt, míg mások, mint Authenticator alkalmazás felhasználói beavatkozást igényelnek. A rendszergazdáknak meg kell határozniuk, hogyan regisztrálják a felhasználók a metódusokat.

Az SSPR és a Azure AD MFA

Javasoljuk, hogy használja a kombinált regisztrációs élményt a Azure AD MFA és az Azure AD önkiszolgáló jelszóát állításához (SSPR). Az SSPR lehetővé teszi a felhasználók számára, hogy biztonságos módon állják vissza jelszavukat ugyanazokkal a módszerekkel, mint a Azure AD MFA. A kombinált regisztráció egyetlen lépés a végfelhasználók számára.

Regisztráció az Identity Protectionben

Azure AD Identity Protection a regisztrációs szabályzatot és az automatizált kockázatészlelési és -javítási szabályzatokat is hozzájárul a Azure AD MFA érdekében. Szabályzatok a jelszóváltozások kényszerítése érdekében akkor is létre lehet hozva, ha fennáll a veszély, hogy az identitás biztonsága sérül, vagy ha több hitelesítésre van szükség, amikor a bejelentkezés kockázatosnak minősül. Ha az Azure AD Identity Protection használja, konfigurálja a Azure AD MFA regisztrációs szabályzatot, hogy a felhasználók a következő interaktív bejelentkezéskor regisztrálják a regisztrációt.

Regisztráció az Identity Protection nélkül

Ha nem rendelkezik olyan licencekkel, amelyek engedélyezik a Azure AD Identity Protection, a rendszer kérni fogja a felhasználókat, hogy regisztrálják a következő alkalommal, amikor az MFA szükséges a bejelentkezéshez. Az MFA használatának megkövetelése érdekében feltételes hozzáférési szabályzatokat használhat, és olyan gyakran használt alkalmazásokat célozhat meg, mint a HR-rendszerek. Ha egy felhasználó jelszava sérül, az felhasználható az MFA-regisztrációra, így átveve a fiókja vezérlését. Ezért javasoljuk a biztonsági regisztrációs folyamat biztonságossá tétele megbízható eszközöket és helyeket megkövetelő feltételes hozzáférési szabályzatokkal. A folyamatot még biztonságossá teheti, ha egy új ideiglenes hozzáférési kód. Egy rendszergazda által kiadott, időkorrekta pin-kód, amely megfelel az erős hitelesítési követelményeknek, és más hitelesítési módszerek, például jelszó nélküliek is használhatók.

Regisztrált felhasználók biztonságának növelése

Ha vannak olyan felhasználói, akik SMS-ben vagy hanghívással regisztráltak az MFA-hitelesítésre, akkor előfordulhat, hogy biztonságosabb módszerekbe, például a Microsoft Authenticator alkalmazásba szeretné áthelyezni őket. A Microsoft mostantól nyilvános előzetes verzióban is elérhetővé teszi a funkciókat, amelyek lehetővé teszik a felhasználók számára, hogy Microsoft Authenticator alkalmazás beállítását a bejelentkezés során. Ezeket a kéréseket csoportok szerint állíthatja be, ezzel szabályozva, hogy kiket kell felkérdezni, lehetővé téve a megcélzott kampányok számára a felhasználók biztonságosabb módszerbe való áthelyezését.

Helyreállítási forgatókönyvek megterve

Ahogy korábban említettük, győződjön meg arról, hogy a felhasználók több MFA-módszerre is regisztrálva vannak, hogy ha egy nem érhető el, akkor legyen biztonsági másolatuk. Ha a felhasználó nem rendelkezik elérhető biztonsági mentési módszerrel, a következő lehetőségeket használhatja:

  • Adjon nekik egy ideiglenes hozzáférési kód, hogy kezel tudják a saját hitelesítési módszereik használatát. Az erőforrásokhoz való ideiglenes ideiglenes hozzáférési kód is meg lehet adni.
  • Frissítse a metódusokat rendszergazdaként. Válassza ki a felhasználót a Azure Portal majd válassza a Hitelesítési módszerek lehetőséget, és frissítse a metódusokat. Felhasználói kommunikáció

Rendkívül fontos tájékoztatni a felhasználókat a közelgő változásokról, a Azure AD MFA követelményekről és a szükséges felhasználói műveletekről. Kommunikációs sablonokat és végfelhasználói dokumentációt biztosítunk a kommunikáció vázlatának segítése érdekében. Küldje el a felhasználókat a regisztrációhoz az oldalon található https://myprofile.microsoft.com Biztonsági adatok hivatkozásra kattintva.

A helyszíni rendszerekkel való integráció megterve

A közvetlen Azure AD-hitelesítéssel és modern hitelesítéssel (WS-Fed, SAML, OAuth, OpenID Csatlakozás) hitelesített alkalmazások feltételes hozzáférési szabályzatokat használhatnak. Egyes örökölt és helyszíni alkalmazások nem hitelesítik magukat közvetlenül az Azure AD-ban, és további lépéseket igényelnek a Azure AD MFA. Ezeket az Azure AD-alkalmazásproxyval vagy a hálózati szabályzati szolgáltatásokkal integrálhatja.

Integráció AD FS erőforrásokkal

Javasoljuk, hogy a biztonságos alkalmazásokat Active Directory összevonási szolgáltatások (AD FS) (AD FS) az Azure AD-be. Ha azonban nem áll készen az áttelepítésre az Azure AD-be, az Azure MFA-adaptert a 2016-os vagy újabb AD FS használhatja. Ha a szervezet össze van állítva az Azure AD-val, a Azure AD MFA-t konfigurálhatja hitelesítésszolgáltatóként AD FS helyszíni és felhőbeli erőforrásokkal is.

RADIUS-ügyfelek és -Azure AD MFA

A RADIUS-hitelesítést használó alkalmazások esetében azt javasoljuk, hogy az ügyfélalkalmazásokat modern protokollokra, például SAML-be, Open ID Csatlakozás-ba vagy OAuth-ba költöztetje át az Azure AD-ban. Ha az alkalmazás nem frissíthető, akkor a hálózati házirend-kiszolgálót (NPS) az Azure MFA bővítvével telepítheti. A hálózati házirend-kiszolgáló (NPS) bővítmény adapterként működik a RADIUS-alapú alkalmazások és a Azure AD MFA között, hogy második hitelesítési tényezőt biztosítson.

Gyakori integrációk

Számos szállító támogatja az SAML-hitelesítést az alkalmazásaikhoz. Ha lehetséges, javasoljuk, hogy ezeket az alkalmazásokat az Azure AD-val egyesítsék, és kényszerítsék az MFA-t feltételes hozzáféréssel. Ha a szállító nem támogatja a modern hitelesítést– használhatja az NPS-bővítményt. A RADIUS-ügyfelek gyakori integrációi közé tartoznak például az Távoli asztal átjárók és a VPN-kiszolgálók.

Mások többek között a következők lehetnek:

  • Citrix-átjáró

    A Citrix Gateway a RADIUS és az NPS bővítmény integrációját, valamint az SAML-integrációt is támogatja.

  • Cisco VPN

  • Minden VPN

Üzembe Azure AD MFA

Az MFA bevezetési tervének tartalmaznia kell egy próbatelepítést, amelyet a támogatási kapacitáson belüli üzembe helyezési hullámok követnek. A bevezetés megkezdéséhez alkalmazza a feltételes hozzáférési szabályzatokat a próbafelhasználók kis csoportjára. A próbafelhasználókra, a használt folyamatokra és a regisztrációs viselkedésre gyakorolt hatás értékelése után hozzáadhat további csoportokat a szabályzathoz, vagy hozzáadhat további felhasználókat a meglévő csoportokhoz.

Kövesse az alábbi lépéseket:

  1. A szükséges előfeltételeknek való megfelelő
  2. Kiválasztott hitelesítési módszerek konfigurálása
  3. A feltételes hozzáférési szabályzatok konfigurálása
  4. Munkamenet élettartam-beállításainak konfigurálása
  5. Regisztrációs Azure AD MFA konfigurálása

A Azure AD MFA

Ez a szakasz jelentéskészítési és hibaelhárítási információkat tartalmaz a Azure AD MFA.

Jelentéskészítés és figyelés

Az Azure AD olyan jelentéseket biztosít, amelyek műszaki és üzleti elemzéseket biztosítanak, követik az üzembe helyezési folyamat előrehaladását, és ellenőrzik, hogy a felhasználók sikeresen bejelentkeztek-e az MFA-val. Az üzleti és technikai alkalmazások tulajdonosainak saját tulajdonba kelleniük ezeket a jelentéseket, és a szervezet igényei alapján fel kell őket használnunk.

A hitelesítési módszerek regisztrációját és használatát a szervezeten belül a Hitelesítési módszerek tevékenység irányítópultján követheti nyomon. Ez segít megérteni, hogy milyen metódusok vannak regisztrálva, és hogyan vannak használva.

Bejelentkezési jelentés az MFA-események áttekintéséhez

Az Azure AD bejelentkezési jelentései hitelesítési adatokat tartalmaznak az eseményekről, amikor a rendszer többtényezős hitelesítést kér egy felhasználótól, és ha feltételes hozzáférési szabályzatok voltak használatban. A PowerShellt az MFA-regisztrációban regisztrált felhasználók jelentésére is használhatja.

Az NPS-bővítmény és AD FS naplók a biztonsági > MFA-tevékenységjelentésben view (Biztonsági MFA-tevékenység) > stb.

További információkért és további MFA-jelentésekért lásd: Az Azure AD Multi-Factor Authentication eseményeinek áttekintése.

Hibaelhárítási Azure AD MFA

A gyakori problémákat Azure AD MFA hibaelhárítási útmutatóban láthatja.

Következő lépések

Egyéb identitás-funkciók üzembe helyezése