Oktatóanyag: Felhasználói bejelentkezési események biztonságossá teése az Azure AD Multi-Factor Authentication használatával

A többtényezős hitelesítés (MFA) egy olyan folyamat, amelyben a rendszer a bejelentkezési esemény során további azonosítási formákat kér a felhasználótól. Ez a kérés lehet egy kód megkeresése a mobiltelefonjukon, vagy ujjlenyomat-vizsgálat. Ha egy második hitelesítési módszerre van szükség, a biztonság nő, mivel ez a további tényező nem könnyű a támadók számára, hogy beszerezhetőek vagy duplikálhatóak.

Az Azure AD Multi-Factor Authentication- és feltételes hozzáférési szabályzatok rugalmasságot adnak az MFA engedélyezéséhez a felhasználók számára az adott bejelentkezési események során. Az alábbi videó a többtényezős hitelesítés konfigurálásról és kényszerítésről a bérlőben (ajánlott)

Fontos

Ez az oktatóanyag bemutatja, hogyan engedélyezheti az Azure AD Multi-Factor Authenticationt egy rendszergazdának.

Ha az it-csapat nem engedélyezte az Azure AD Multi-Factor Authentication használatát, vagy probléma merült fel a bejelentkezés során, további segítségért kapcsolatba kell lépni az segélycsapattal.

Ezen oktatóanyag segítségével megtanulhatja a következőket:

  • Feltételes hozzáférési szabályzat létrehozása az Azure AD Multi-Factor Authentication engedélyezéséhez felhasználók egy csoportja számára
  • Az MFA-t bekért szabályzatfeltételek konfigurálása
  • Az MFA-folyamat tesztelése felhasználóként

Előfeltételek

Az oktatóanyag befejezéséhez a következő erőforrásokra és jogosultságokra lesz szüksége:

  • Egy működő Azure AD-bérlő, amely legalább prémium szintű Azure AD P1 vagy próbaverziós licenccel rendelkezik.
  • Globális rendszergazdai jogosultságokkal rendelkező fiók. Egyes MFA-beállításokat hitelesítési házirend-rendszergazda is kezelni tud. További információ: Hitelesítési házirend-rendszergazda.
  • Egy nem rendszergazdai felhasználó, aki ismeri a jelszavát, például testuser. Ebben az oktatóanyagban ennek a fióknak a használatával teszteljük az Azure AD Multi-Factor Authentication végfelhasználói élményét.
    • Ha létre kell hoznia egy felhasználót, tekintse meg a rövid útmutató: Újfelhasználók hozzáadása a Azure Active Directory.
  • Egy csoport, amelybe a nem rendszergazda felhasználó tartozik, például MFA-Test-Group. Ebben az oktatóanyagban engedélyeznie kell az Azure AD Multi-Factor Authenticationt ehhez a csoporthoz.
    • Ha létre kell hoznia egy csoportot, tekintse meg a Csoport létrehozása és tagok hozzáadása aAzure Active Directory.

Feltételes hozzáférési szabályzat létrehozása

Az Azure AD Multi-Factor Authentication engedélyezésének és használatának ajánlott módja a feltételes hozzáférési szabályzatok használata. A feltételes hozzáféréssel olyan szabályzatokat hozhat létre és határozhat meg, amelyek reagálnak a bejelentkezési eseményekre, és további műveleteket kérhetnek, mielőtt a felhasználó hozzáférést kapna egy alkalmazáshoz vagy szolgáltatáshoz.

Áttekintő diagram a feltételes hozzáférés bejelentkezési folyamatának biztonságossá való kialakításáról

A feltételes hozzáférési szabályzatok lehetnek részletesek és specifikusak, célja pedig a felhasználók hatékony munkavégzése bárhol és bármikor, de a szervezet védelme is. Ebben az oktatóanyagban létrehozunk egy alapszintű feltételes hozzáférési szabályzatot, amely kérni fogja az MFA-t, amikor egy felhasználó bejelentkezik a Azure Portal. A sorozat egy későbbi oktatóanyagában kockázatalapú feltételes hozzáférési szabályzattal konfigurálhatja az Azure AD Multi-Factor Authenticationt.

Először hozzon létre egy feltételes hozzáférési szabályzatot, és rendelje hozzá a tesztcsoportot a következőképpen:

  1. Jelentkezzen be a Azure Portal globális rendszergazdai engedélyekkel rendelkező fiókkal.

  2. Keresse meg és válassza Azure Active Directory elemet, majd a bal oldali menüben válassza a Biztonság lehetőséget.

  3. Válassza a Feltételes hozzáférés, majd az + Új szabályzat lehetőséget.

  4. Adja meg a szabályzat nevét, például MFA-próba .

  5. A Hozzárendelések alatt válassza a Felhasználók és csoportok lehetőséget, majd a Felhasználók és csoportok kiválasztása választógombot.

  6. Jelölje be a Felhasználók és csoportok jelölőnégyzetet, majd a Kijelölés lehetőséget az elérhető Azure AD-felhasználók és -csoportok tallózáshoz.

  7. Keresse meg és válassza ki az Azure AD-csoportot, például az MFA-Test-Group csoportot, majd válassza a Kijelölés lehetőséget.

    Válassza ki a feltételes hozzáférési szabályzattal használni  kívánt Azure AD-csoportot

  8. A feltételes hozzáférési szabályzat csoportra való alkalmazáshoz válassza a Kész lehetőséget.

A többtényezős hitelesítés feltételeinek konfigurálása

Most, hogy létrehozta a feltételes hozzáférési szabályzatot, és hozzárendelt egy tesztcsoportot a felhasználókhoz, határozza meg a szabályzatot aktiváló felhőalkalmazásokat vagy műveleteket. Ezek a felhőalkalmazások vagy műveletek olyan forgatókönyvek, amelyekhez további feldolgozásra van szükség, például az MFA kérése. Dönthet például úgy, hogy egy pénzügyi alkalmazáshoz vagy felügyeleti eszközök használatához további ellenőrzési kérésre van szükség.

Ebben az oktatóanyagban úgy konfigurálja a feltételes hozzáférési szabályzatot, hogy MFA-t követel meg, amikor egy felhasználó bejelentkezik a Azure Portal.

  1. Válassza a Felhőalkalmazások vagy műveletek lehetőséget. Alkalmazhatja a feltételes hozzáférési szabályzatot a Minden felhőalapú alkalmazás vagy az Alkalmazások kiválasztása beállításra. A rugalmasság érdekében bizonyos alkalmazásokat kizárhat a szabályzatból.

    Ebben az oktatóanyagban az Include (Be include) oldalon válassza az Select apps (Alkalmazások kiválasztása) választógombot.

  2. Válassza a Kijelölés lehetőséget, majd tallózással keresse meg a használható bejelentkezési események listáját.

    Ebben az oktatóanyagban válassza a Microsoft Azure Management lehetőséget, hogy a szabályzat a bejelentkezési eseményekre vonatkozik a Azure Portal.

  3. A kiválasztott alkalmazások alkalmazáshoz válassza a Kijelölés, majd a Kész lehetőséget.

    Válassza ki Microsoft Azure feltételes hozzáférési szabályzatba foglalni kívánt Microsoft Azure Management alkalmazást

A hozzáférés-vezérléssel meghatározhatja a felhasználók hozzáférésre vonatkozó követelményeit, például jóváhagyott ügyfélalkalmazásra van szükségük, vagy egy hibrid Azure AD-hez csatlakozott eszközt használhatnak. Ebben az oktatóanyagban úgy konfigurálja a hozzáférés-vezérlést, hogy az MFA-t követel meg a bejelentkezési esemény során a Azure Portal.

  1. A Hozzáférés-vezérlés alatt válassza a Hozzáférés megadása lehetőséget, majd jelölje be a Hozzáférés megadása választógombot.
  2. Jelölje be a Többtényezős hitelesítés megkövetelve jelölőnégyzetet, majd válassza a Kijelölés lehetőséget.

A feltételes hozzáférési szabályzatok beállíthatók csak jelentésre, ha szeretné látni, hogy a konfiguráció milyen hatással lenne a felhasználókra, vagy Ki, ha most nem szeretné használni a szabályzatot. Mivel a felhasználók tesztcsoportját célozta meg ez az oktatóanyag, engedélyezze a szabályzatot, majd tesztelje az Azure AD Multi-Factor Authenticationt.

  1. Állítsa a Szabályzat engedélyezése kapcsolót a Be beállításra.
  2. A feltételes hozzáférési szabályzat alkalmazáshoz válassza a Létrehozás lehetőséget.

Az Azure AD Multi-Factor Authentication tesztelése

Lássuk a feltételes hozzáférési szabályzatot és az Azure AD Multi-Factor Authenticationt. Először jelentkezzen be egy olyan erőforrásba, amely nem igényel MFA-t az alábbiak szerint:

  1. Nyisson meg egy új böngészőablakot InPrivate vagy inkognitó módban, és keresse meg a következőt: https://account.activedirectory.windowsazure.com
  2. Jelentkezzen be a nem rendszergazdai tesztfelhasználóval, például a testuser felhasználóval. Az MFA-t nem kell végrehajtania.
  3. Zárja be a böngészőablakot.

Most jelentkezzen be a Azure Portal. Mivel a Azure Portal feltételes hozzáférési szabályzatban további ellenőrzésre lett konfigurálva, egy Azure AD Multi-Factor Authentication-kérést kap.

  1. Nyisson meg egy új böngészőablakot InPrivate vagy inkognitó módban, és keresse meg a következőt: https://portal.azure.com .

  2. Jelentkezzen be a nem rendszergazdai tesztfelhasználóval, például a testuser felhasználóval. Regisztrálnia kell az Azure AD Multi-Factor Authenticationre, és használnia kell azt. Kövesse az utasításokat a folyamat befejezéséhez, és ellenőrizze, hogy sikeresen bejelentkezik-e a Azure Portal.

    A bejelentkezéshez kövesse a böngészőben megjelenő utasításokat, majd a regisztrált többtényezős hitelesítési kérést

  3. Zárja be a böngészőablakot.

Az erőforrások eltávolítása

Ha már nem szeretné használni a feltételes hozzáférési szabályzatot az oktatóanyag részeként konfigurált Azure AD Multi-Factor Authentication engedélyezéséhez, törölje a szabályzatot a következő lépésekkel:

  1. Jelentkezzen be az Azure Portalra.
  2. Keresse meg és válassza Azure Active Directory elemet, majd a bal oldali menüben válassza a Biztonság lehetőséget.
  3. Válassza a Feltételes hozzáférés lehetőséget, majd válassza ki a létrehozott szabályzatot, például: MFA-próba
  4. Válassza a Törlés lehetőséget, majd erősítse meg a szabályzat törlését.

Következő lépések

Ebben az oktatóanyagban engedélyezte az Azure AD Többtényezős hitelesítést feltételes hozzáférési szabályzatokkal a felhasználók egy kiválasztott csoportjához. Megtanulta végrehajtani az alábbi műveleteket:

  • Feltételes hozzáférési szabályzat létrehozása az Azure AD Többtényezős hitelesítés engedélyezéséhez Azure AD-felhasználók egy csoportja számára
  • Az MFA-t bekért szabályzatfeltételek konfigurálása
  • Az MFA-folyamat tesztelése felhasználóként