Oktatóanyag: Felhasználói bejelentkezési események védelme Azure AD Multi-Factor Authentication használatával

  • Cikk
  • 6 perc alatt elolvasható

A többtényezős hitelesítés (MFA) egy olyan folyamat, amelyben a rendszer további azonosítási formákat kér a felhasználótól a bejelentkezési esemény során. A kérdés lehet például, hogy be kell írnia egy kódot a mobiltelefonján, vagy ujjlenyomat-ellenőrzést kell biztosítania. Ha egy második azonosítási formára van szüksége, a biztonság megnő, mert ez a további tényező nem könnyű a támadók számára, hogy megszerezzék vagy duplikálják azt.

Azure AD többtényezős hitelesítési és feltételes hozzáférési szabályzatokkal rugalmasan megkövetelheti az MFA-t a felhasználóktól adott bejelentkezési eseményekhez. Az MFA áttekintéséhez javasoljuk, hogy tekintse meg ezt a videót: A többtényezős hitelesítés konfigurálása és kényszerítése a bérlőben.

Fontos

Ez az oktatóanyag bemutatja egy rendszergazdának, hogyan engedélyezheti Azure AD Multi-Factor Authenticationt.

Ha az informatikai csapat nem engedélyezte a Azure AD Multi-Factor Authentication használatát, vagy ha a bejelentkezés során problémákat tapasztal, további segítségért forduljon az ügyfélszolgálathoz.

Ezen oktatóanyag segítségével megtanulhatja a következőket:

  • Hozzon létre egy feltételes hozzáférési szabályzatot Azure AD többtényezős hitelesítés engedélyezéséhez egy felhasználói csoport számára.
  • Konfigurálja az MFA-t kérő szabályzatfeltételeket.
  • Tesztelje a többtényezős hitelesítés felhasználóként való konfigurálását és használatát.

Előfeltételek

Az oktatóanyag elvégzéséhez a következő erőforrásokra és jogosultságokra lesz szüksége:

  • Egy működő Azure AD bérlő, amelyen legalább egy Prémium P1 szintű Azure AD vagy próbaverziós licenc engedélyezve van.

  • Feltételes hozzáférési rendszergazdai, biztonsági rendszergazdai vagy globális rendszergazdai jogosultsággal rendelkező fiók. Néhány MFA-beállítást a hitelesítési házirend rendszergazdája is kezelhet. További információ: Hitelesítési házirend-rendszergazda.

  • Egy nem rendszergazdai fiók, amely rendelkezik egy ön által ismert jelszóval. Ebben az oktatóanyagban egy testuser nevű fiókot hoztunk létre. Ebben az oktatóanyagban teszteli a Azure AD Multi-Factor Authentication konfigurálásának és használatának végfelhasználói élményét.

  • Egy csoport, amelybe a nem rendszergazdai felhasználó tartozik. Ebben az oktatóanyagban egy MFA-Test-Group nevű csoportot hoztunk létre. Ebben az oktatóanyagban engedélyezi a Azure AD Multi-Factor Authenticationt ehhez a csoporthoz.

Feltételes hozzáférési szabályzat létrehozása

A többtényezős hitelesítés engedélyezésének és használatának ajánlott módja a feltételes hozzáférési szabályzatok Azure AD használata. A feltételes hozzáféréssel olyan szabályzatokat hozhat létre és határozhat meg, amelyek reagálnak a bejelentkezési eseményekre, és további műveleteket igényelnek, mielőtt a felhasználó hozzáférést kap egy alkalmazáshoz vagy szolgáltatáshoz.

Overview diagram of how Conditional Access works to secure the sign-in process

A feltételes hozzáférési szabályzatok adott felhasználókra, csoportokra és alkalmazásokra alkalmazhatók. A cél a szervezet védelme, ugyanakkor a megfelelő szintű hozzáférés biztosítása a szükséges felhasználóknak.

Ebben az oktatóanyagban létrehozunk egy alapszintű feltételes hozzáférési szabályzatot, amely az MFA megadását kéri, amikor egy felhasználó bejelentkezik a Azure Portal. A sorozat egy későbbi oktatóanyagában egy kockázatalapú feltételes hozzáférési szabályzattal konfiguráljuk a Azure AD Multi-Factor Authenticationt.

Először hozzon létre egy feltételes hozzáférési szabályzatot, és rendelje hozzá a felhasználók tesztcsoportját az alábbiak szerint:

  1. Jelentkezzen be a Azure Portal globális rendszergazdai engedélyekkel rendelkező fiókkal.

  2. Keresse meg és válassza ki az Azure Active Directoryt. Ezután válassza a Biztonság lehetőséget a bal oldali menüből.

  3. Válassza a Feltételes hozzáférés, az + Új szabályzat, majd az Új szabályzat létrehozása lehetőséget.

    A screenshot of the Conditional Access page, where you select 'New policy' and then select 'Create new policy'.

  4. Adja meg a szabályzat nevét, például az MFA próbaüzemét.

  5. A Hozzárendelések területen válassza ki az aktuális értéket a Felhasználók vagy számításifeladat-identitások területen.

    A screenshot of the Conditional Access page, where you select the current value under 'Users or workload identities'.

  6. A Mire vonatkozik ez a szabályzat? területen ellenőrizze, hogy a Felhasználók és csoportok lehetőség van-e kiválasztva.

  7. A Belefoglalás területen válassza a Felhasználók és csoportok kiválasztása, majd a Felhasználók és csoportok lehetőséget.

    A screenshot of the page for creating a new policy, where you select options to specify users and groups.

    Mivel még senki sincs hozzárendelve, a felhasználók és csoportok listája (a következő lépésben látható) automatikusan megnyílik.

  8. Keresse meg és válassza ki a Azure AD csoportot(például MFA-Test-Group), majd válassza a Kiválasztás lehetőséget.

    A screenshot of the list of users and groups, with results filtered by the letters M F A, and 'MFA-Test-Group' selected.

Kiválasztottuk azt a csoportot, amelyre alkalmazni szeretné a szabályzatot. A következő szakaszban konfiguráljuk a szabályzat alkalmazásának feltételeit.

A többtényezős hitelesítés feltételeinek konfigurálása

Most, hogy létrejött a feltételes hozzáférési szabályzat, és hozzárendelt egy tesztcsoportot a felhasználókhoz, határozza meg a szabályzatot aktiváló felhőalkalmazásokat vagy műveleteket. Ezek a felhőalkalmazások vagy műveletek olyan forgatókönyvek, amelyek további feldolgozást igényelnek, például többtényezős hitelesítés kérése. Dönthet például úgy, hogy egy pénzügyi alkalmazáshoz való hozzáféréshez vagy a felügyeleti eszközök használatához további hitelesítési kérésre van szükség.

A többtényezős hitelesítést igénylő alkalmazások konfigurálása

Ebben az oktatóanyagban úgy konfigurálja a feltételes hozzáférési szabályzatot, hogy többtényezős hitelesítést igényeljen, amikor egy felhasználó bejelentkezik a Azure Portal.

  1. Válassza ki az aktuális értéket a Felhőalkalmazások vagy -műveletek területen, majd a Szabályzat hatókörének kiválasztása területen ellenőrizze, hogy a Felhőalkalmazások lehetőség van-e kiválasztva.

  2. A Belefoglalás területen válassza az Alkalmazások kiválasztása lehetőséget.

    Mivel még nincs kiválasztva alkalmazás, az alkalmazások listája (amely a következő lépésben látható) automatikusan megnyílik.

    Tipp

    Dönthet úgy, hogy a feltételes hozzáférési szabályzatot a Minden felhőalkalmazásra vagy a Select apps (Alkalmazások kiválasztása) elemre alkalmazza. A rugalmasság biztosítása érdekében kizárhat bizonyos alkalmazásokat a szabályzatból.

  3. Tallózzon a használható bejelentkezési események listájában. Ebben az oktatóanyagban válassza a Microsoft Azure Kezelése lehetőséget, hogy a szabályzat a bejelentkezési eseményekre vonatkozzon a Azure Portal. Ezután kattintson a Kiválasztás gombra.

    A screenshot of the Conditional Access page, where you select the app, Microsoft Azure Management, to which the new policy will apply.

Többtényezős hitelesítés konfigurálása hozzáféréshez

Ezután konfiguráljuk a hozzáférés-vezérlést. A hozzáférés-vezérléssel meghatározhatja, hogy milyen követelményeknek kell megfelelnie ahhoz, hogy egy felhasználó hozzáférést kapjon. Előfordulhat, hogy jóváhagyott ügyfélalkalmazást vagy olyan eszközt kell használniuk, amely hibrid csatlakozással csatlakozik Azure AD.

Ebben az oktatóanyagban úgy konfigurálja a hozzáférés-vezérlést, hogy többtényezős hitelesítést követeljen meg a Azure Portal való bejelentkezéskor.

  1. A Hozzáférés-vezérlés területen válassza ki az aktuális értéket az Engedélyezés területen, majd válassza a Hozzáférés biztosítása lehetőséget.

    A screenshot of the Conditional Access page, where you select 'Grant' and then select 'Grant access'.

  2. Válassza a Többtényezős hitelesítés megkövetelése, majd a Kiválasztás lehetőséget.

    A screenshot of the options for granting access, where you select 'Require multi-factor authentication'.

A szabályzat aktiválása

A feltételes hozzáférési szabályzatok csak jelentésre állíthatók, ha látni szeretné, hogy a konfiguráció hogyan érintené a felhasználókat, vagy ki , ha most nem szeretné használni a szabályzatot. Mivel ebben az oktatóanyagban egy felhasználói tesztcsoportot célozunk meg, engedélyezzük a szabályzatot, majd teszteljük Azure AD Multi-Factor Authenticationt.

  1. A Szabályzat engedélyezése alatt válassza a Be lehetőséget.

    A screenshot of the control that's near the bottom of the web page where you specify whether the policy is enabled.

  2. A feltételes hozzáférési szabályzat alkalmazásához válassza a Létrehozás lehetőséget.

Többtényezős hitelesítés tesztelése Azure AD

Lássuk a feltételes hozzáférési szabályzatot, és Azure AD működés közben a Multi-Factor Authenticationt.

Először jelentkezzen be egy olyan erőforrásba, amelyhez nincs szükség MFA-ra:

  1. Nyisson meg egy új böngészőablakot InPrivate vagy inkognitó módban, és lépjen a következő oldalra: https://account.activedirectory.windowsazure.com.

    Ha privát módot használ a böngészőhöz, az megakadályozza, hogy a meglévő hitelesítő adatok befolyásolják ezt a bejelentkezési eseményt.

  2. Jelentkezzen be a nem rendszergazdai tesztfelhasználóval, például a tesztelővel. Ügyeljen arra, hogy tartalmazza @ a felhasználói fiók tartománynevét és tartománynevét.

    Ha ez az első alkalom, hogy ezzel a fiókkal jelentkezik be, a rendszer kérni fogja a jelszó módosítását. A többtényezős hitelesítés konfigurálására vagy használatára azonban nincs szükség.

  3. Zárja be a böngészőablakot.

A feltételes hozzáférési szabályzatot úgy konfigurálta, hogy további hitelesítést igényeljen a Azure Portal. A konfiguráció miatt a rendszer kérni fogja, hogy használja a Azure AD Multi-Factor Authenticationt, vagy konfiguráljon egy metódust, ha még nem tette meg. Az új követelmény teszteléséhez jelentkezzen be a Azure Portal:

  1. Nyisson meg egy új böngészőablakot InPrivate vagy inkognitó módban, és lépjen a következő oldalra: https://portal.azure.com.

  2. Jelentkezzen be a nem rendszergazdai tesztfelhasználóval, például a tesztelővel. Ügyeljen arra, hogy tartalmazza @ a felhasználói fiók tartománynevét és tartománynevét.

    Regisztrálnia kell és használnia kell Azure AD Multi-Factor Authenticationt.

    A prompt that says 'More information required.' This is a prompt to configure a method of multi-factor authentication for this user.

  3. A folyamat megkezdéséhez válassza a Tovább gombot.

    A hitelesítéshez konfigurálhat egy hitelesítési telefont, egy irodai telefont vagy egy mobilalkalmazást. A hitelesítési telefon támogatja a szöveges üzeneteket és a telefonhívásokat, az irodai telefon támogatja a kiterjesztéssel rendelkező számok hívását, a mobilalkalmazás pedig támogatja a mobilalkalmazások használatát a hitelesítési értesítések fogadásához vagy a hitelesítési kódok létrehozásához.

    A prompt that says, 'Additional security verification.' This is a prompt to configure a method of multi-factor authentication for this user. You can choose as the method an authentication phone, an office phone, or a mobile app.

  4. Hajtsa végre a képernyőn megjelenő utasításokat a kiválasztott többtényezős hitelesítés módszerének konfigurálásához.

  5. Zárja be a böngészőablakot, és jelentkezzen be újra https://portal.azure.com a konfigurált hitelesítési módszer teszteléséhez. Ha például konfigurált egy mobilalkalmazást a hitelesítéshez, az alábbihoz hasonló üzenetnek kell megjelennie.

    To sign in, follow the prompts in your browser and then the prompt on the device that you registered for multi-factor authentication.

  6. Zárja be a böngészőablakot.

Az erőforrások eltávolítása

Ha már nem szeretné használni az oktatóanyag részeként konfigurált feltételes hozzáférési szabályzatot, törölje a szabályzatot az alábbi lépésekkel:

  1. Jelentkezzen be az Azure Portalra.

  2. Keresse meg és válassza ki a Azure Active Directory, majd a bal oldali menü Biztonság elemét.

  3. Válassza a Feltételes hozzáférés lehetőséget, majd válassza ki a létrehozott szabályzatot, például az MFA próbaüzemét.

  4. válassza a Törlés lehetőséget, majd erősítse meg, hogy törölni szeretné a szabályzatot.

    To delete the Conditional Access policy that you've opened, select Delete which is located under the name of the policy.

Következő lépések

Ebben az oktatóanyagban Azure AD többtényezős hitelesítést engedélyezte feltételes hozzáférési szabályzatok használatával a felhasználók egy kiválasztott csoportjához. Megtanulta végrehajtani az alábbi műveleteket:

  • Feltételes hozzáférési szabályzat létrehozása Azure AD többtényezős hitelesítés engedélyezéséhez Azure AD felhasználók egy csoportjához.
  • Konfigurálja a többtényezős hitelesítést kérő szabályzatfeltételeket.
  • Tesztelje a többtényezős hitelesítés felhasználóként való konfigurálását és használatát.

Jelszóvisszaíró engedélyezése az önkiszolgáló jelszó-visszaállításhoz (SSPR)