Oktatóanyag: Felhasználói bejelentkezési események biztonságossá teése az Azure AD Multi-Factor Authentication használatával

A többtényezős hitelesítés (MFA) egy olyan folyamat, amelyben a rendszer a bejelentkezési esemény során további azonosítási formákat kér a felhasználótól. Ez a kérés lehet egy kód megkeresése a mobiltelefonjukon, vagy ujjlenyomat-vizsgálat. Ha egy második hitelesítési módszerre van szükség, a biztonság nő, mivel ez a további tényező nem könnyű a támadók számára, hogy beszerezhetőek vagy duplikálhatóak.

Az Azure AD Multi-Factor Authentication- és feltételes hozzáférési szabályzatok rugalmasságot adnak az MFA engedélyezéséhez a felhasználók számára adott bejelentkezési események során. Az alábbi videó a többtényezős hitelesítés konfigurálásról és kényszerítésről a bérlőben(ajánlott)

Fontos

Ez az oktatóanyag bemutatja, hogyan engedélyezheti az Azure AD Multi-Factor Authenticationt egy rendszergazdának.

Ha az it-csapat nem engedélyezte az Azure AD Multi-Factor Authentication használatát, vagy probléma merült fel a bejelentkezés során, további segítségért kapcsolatba kell lépni az segélycsapattal.

Ezen oktatóanyag segítségével megtanulhatja a következőket:

  • Feltételes hozzáférési szabályzat létrehozása az Azure AD Multi-Factor Authentication engedélyezéséhez felhasználók egy csoportja számára
  • Az MFA-t bekért szabályzatfeltételek konfigurálása
  • Az MFA-folyamat tesztelése felhasználóként

Előfeltételek

Az oktatóanyag befejezéséhez a következő erőforrásokra és jogosultságokra lesz szüksége:

  • Működő Azure AD-bérlő legalább Prémium P1 szintű Azure AD vagy próbaverziós licenccel.
  • Globális rendszergazdai jogosultságokkal rendelkező fiók. Egyes MFA-beállításokat hitelesítési házirend-rendszergazda is kezelni tud. További információ: Hitelesítési házirend-rendszergazda.
  • Egy nem rendszergazdai felhasználó, aki ismeri a jelszavát, például testuser. Ebben az oktatóanyagban ennek a fióknak a használatával teszteljük az Azure AD Multi-Factor Authentication végfelhasználói élményét.
    • Ha létre kell hoznia egy felhasználót, tekintse meg a rövid útmutató: Újfelhasználók hozzáadása a Azure Active Directory.
  • Egy csoport, amelybe a nem rendszergazda felhasználó tartozik, például MFA-Test-Group. Ebben az oktatóanyagban engedélyeznie kell az Azure AD Multi-Factor Authenticationt ehhez a csoporthoz.
    • Ha létre kell hoznia egy csoportot, tekintse meg a Csoport létrehozása és tagok hozzáadása aAzure Active Directory.

Feltételes hozzáférési szabályzat létrehozása

Az Azure AD Multi-Factor Authentication engedélyezésének és használatának ajánlott módja a feltételes hozzáférési szabályzatok használata. A feltételes hozzáféréssel olyan szabályzatokat hozhat létre és határozhat meg, amelyek reagálnak a bejelentkezési eseményekre, és további műveleteket kérhetnek, mielőtt a felhasználó hozzáférést kapna egy alkalmazáshoz vagy szolgáltatáshoz.

Overview diagram of how Conditional Access works to secure the sign-in process

A feltételes hozzáférési szabályzatok lehetnek részletesek és specifikusak, célja pedig a felhasználók hatékony munkavégzése bárhol és bármikor, de a szervezet védelme is. Ebben az oktatóanyagban létrehozunk egy alapszintű feltételes hozzáférési szabályzatot, amely kérni fogja az MFA-t, amikor egy felhasználó bejelentkezik a Azure Portal. A sorozat egy későbbi oktatóanyagában kockázatalapú feltételes hozzáférési szabályzattal konfigurálhatja az Azure AD Multi-Factor Authenticationt.

Először hozzon létre egy feltételes hozzáférési szabályzatot, és rendelje hozzá a tesztcsoportot a következőképpen:

  1. Jelentkezzen be a Azure Portal globális rendszergazdai engedélyekkel rendelkező fiókkal.

  2. Keresse meg és válasszaAzure Active Directory elemet, majd a bal oldali menüben válassza a Biztonság lehetőséget.

  3. Válassza a Feltételes hozzáférés,majd az + Új szabályzat lehetőséget.

  4. Adja meg a szabályzat nevét, például MFA-próba.

  5. A Hozzárendelések alattválassza a Felhasználók és csoportoklehetőséget, majd a Felhasználók és csoportok kiválasztása választógombot.

  6. Jelölje be a Felhasználók és csoportokjelölőnégyzetet, majd a Kijelölés lehetőséget az elérhető Azure AD-felhasználók és -csoportok tallózáshoz.

  7. Keresse meg és válassza ki az Azure AD-csoportot, például az MFA-Test-Groupcsoportot, majd válassza a Kijelölés lehetőséget.

    Select your Azure AD group to use with the Conditional Access policy

  8. A feltételes hozzáférési szabályzat csoportra való alkalmazáshoz válassza a Kész lehetőséget.

A többtényezős hitelesítés feltételeinek konfigurálása

Most, hogy létrehozta a feltételes hozzáférési szabályzatot, és hozzárendelt egy tesztcsoportot a felhasználókhoz, határozza meg a szabályzatot aktiváló felhőalkalmazásokat vagy műveleteket. Ezek a felhőalkalmazások vagy műveletek olyan forgatókönyvek, amelyekhez további feldolgozásra van szükség, például az MFA kérése. Dönthet például úgy, hogy egy pénzügyi alkalmazáshoz vagy felügyeleti eszközök használatához további ellenőrzési kérésre van szükség.

Ebben az oktatóanyagban úgy konfigurálja a feltételes hozzáférési szabályzatot, hogy MFA-t követel meg, amikor egy felhasználó bejelentkezik a Azure Portal.

  1. Válassza a Felhőalkalmazások vagy műveletek lehetőséget. Alkalmazhatja a feltételes hozzáférési szabályzatot a Minden felhőalapú alkalmazás vagy az Alkalmazások kiválasztása beállításra. A rugalmasság érdekében bizonyos alkalmazásokat kizárhat a szabályzatból.

    Ebben az oktatóanyagban az Include (Be foglalja) oldalon válassza az Select apps (Alkalmazások kiválasztása) választógombot.

  2. Válassza a Kijelöléslehetőséget, majd tallózással keresse meg a használható bejelentkezési események listáját.

    Ebben az oktatóanyagban válassza a Microsoft Azure Management lehetőséget, hogy a szabályzat a bejelentkezési eseményekre vonatkozik a Azure Portal.

  3. A kiválasztott alkalmazások alkalmazáshoz válassza a Kijelölés,majd a Kész lehetőséget.

    Select the Microsoft Azure Management app to include in the Conditional Access policy

A hozzáférés-vezérléssel meghatározhatja a felhasználók hozzáférésre vonatkozó követelményeit, például jóváhagyott ügyfélalkalmazásra van szükségük, vagy egy hibrid Azure AD-hez csatlakozott eszközt használhatnak. Ebben az oktatóanyagban úgy konfigurálja a hozzáférés-vezérlést, hogy az MFA-t követel meg a bejelentkezési esemény során a Azure Portal.

  1. A Hozzáférés-vezérlés alattválassza a Hozzáférés megadásalehetőséget, majd győződjön meg arról, hogy a Hozzáférés megadása választógomb be van jelölve.
  2. Jelölje be a Többtényezős hitelesítés megkövetelve jelölőnégyzetet,majd válassza a Kijelölés lehetőséget.

A feltételes hozzáférési szabályzatok beállíthatók csak jelentésre, ha szeretné látni, hogy a konfiguráció milyen hatással lenne a felhasználókra, vagy Ki, ha jelenleg nem szeretné használni a szabályzatot. Mivel a felhasználók tesztcsoportját célozta meg ez az oktatóanyag, engedélyezze a szabályzatot, majd tesztelje az Azure AD Multi-Factor Authenticationt.

  1. Állítsa a Szabályzat engedélyezése kapcsolót a Be beállításra.
  2. A feltételes hozzáférési szabályzat alkalmazáshoz válassza a Létrehozás lehetőséget.

Az Azure AD Multi-Factor Authentication tesztelése

Lássuk a feltételes hozzáférési szabályzatot és az Azure AD Multi-Factor Authenticationt. Először jelentkezzen be egy olyan erőforrásba, amely nem igényel MFA-t az alábbiak szerint:

  1. Nyisson meg egy új böngészőablakot InPrivate vagy inkognitó módban, és keresse meg a következőt: https://account.activedirectory.windowsazure.com
  2. Jelentkezzen be a nem rendszergazdai tesztfelhasználóval, például a testuser felhasználóval. Az MFA-t nem kell végrehajtania.
  3. Zárja be a böngészőablakot.

Most jelentkezzen be a Azure Portal. Mivel a Azure Portal feltételes hozzáférési szabályzatban további ellenőrzésre lett konfigurálva, egy Azure AD Multi-Factor Authentication-kérést kap.

  1. Nyisson meg egy új böngészőablakot InPrivate vagy inkognitó módban, és lépjen a következő oldalra: https://portal.azure.com.

  2. Jelentkezzen be a nem rendszergazdai tesztfelhasználóval, például a testuser felhasználóval. Regisztrálnia kell az Azure AD Multi-Factor Authenticationre, és használnia kell azt. Kövesse az utasításokat a folyamat befejezéséhez, és ellenőrizze, hogy sikeresen bejelentkezik-e a Azure Portal.

    Follow the browser prompts and then on your registered multi-factor authentication prompt to sign in

  3. Zárja be a böngészőablakot.

Az erőforrások eltávolítása

Ha már nem szeretné használni a feltételes hozzáférési szabályzatot az oktatóanyag részeként konfigurált Azure AD Multi-Factor Authentication engedélyezéséhez, törölje a szabályzatot a következő lépésekkel:

  1. Jelentkezzen be az Azure Portalra.
  2. Keresse meg és válasszaAzure Active Directory elemet, majd a bal oldali menüben válassza a Biztonság lehetőséget.
  3. Válassza a Feltételes hozzáféréslehetőséget, majd válassza ki a létrehozott szabályzatot, például: MFA-próba
  4. Válassza a Törléslehetőséget, majd erősítse meg a szabályzat törlését.

Következő lépések

Ebben az oktatóanyagban engedélyezte az Azure AD Többtényezős hitelesítést feltételes hozzáférési szabályzatokkal a felhasználók egy kiválasztott csoportjához. Megtanulta végrehajtani az alábbi műveleteket:

  • Feltételes hozzáférési szabályzat létrehozása az Azure AD Többtényezős hitelesítés engedélyezéséhez Azure AD-felhasználók egy csoportja számára
  • Az MFA-t bekért szabályzatfeltételek konfigurálása
  • Az MFA-folyamat tesztelése felhasználóként