Jak to działa: Azure Multi-Factor AuthenticationHow it works: Azure Multi-Factor Authentication

Bezpieczeństwo dwuetapowej weryfikacji polega na podejściu warstwowym.The security of two-step verification lies in its layered approach. Naruszenie wielu czynników uwierzytelniania stanowi znaczące wyzwanie dla osób atakujących.Compromising multiple authentication factors presents a significant challenge for attackers. Nawet jeśli osoba atakująca zarządza, aby poznać hasło użytkownika, jest bezużyteczne bez również posiadania dodatkowej metody uwierzytelniania.Even if an attacker manages to learn the user's password, it is useless without also having possession of the additional authentication method. Działa przez wymaganie co najmniej dwóch następujących metod uwierzytelniania:It works by requiring two or more of the following authentication methods:

  • Coś, co wiesz (zazwyczaj hasło)Something you know (typically a password)
  • Coś, co masz (zaufane urządzenie, które nie jest łatwo duplikowane, takie jak telefon)Something you have (a trusted device that is not easily duplicated, like a phone)
  • Coś, co masz (biometria)Something you are (biometrics)

obrazu metod uwierzytelniania koncepcyjnego

Conceptual authentication methods image

Usługa Azure Multi-Factor Authentication (MFA) pomaga w zabezpieczeniu dostępu do danych i aplikacji przy jednoczesnym zachowaniu prostoty dla użytkowników.Azure Multi-Factor Authentication (MFA) helps safeguard access to data and applications while maintaining simplicity for users. Zapewnia dodatkowe zabezpieczenia, wymagając drugiej formy uwierzytelniania i zapewnia silne uwierzytelnianie za pośrednictwem różnych metod uwierzytelniania.It provides additional security by requiring a second form of authentication and delivers strong authentication via a range of easy to use authentication methods. Użytkownicy mogą lub nie mogą zakwestionować usługi MFA w oparciu o decyzje konfiguracyjne wykonywane przez administratora.Users may or may not be challenged for MFA based on configuration decisions that an administrator makes.

Jak uzyskać usługę Multi-Factor Authentication?How to get Multi-Factor Authentication?

Usługa Multi-Factor Authentication jest częścią następujących ofert:Multi-Factor Authentication comes as part of the following offerings:

  • Azure Active Directory — wersja Premium lub Microsoft 365 Business — w pełni funkcjonalne korzystanie z platformy Azure Multi-Factor Authentication przy użyciu zasad dostępu warunkowego, aby wymagać uwierzytelniania wieloskładnikowego.Azure Active Directory Premium or Microsoft 365 Business - Full featured use of Azure Multi-Factor Authentication using Conditional Access policies to require multi-factor authentication.

  • Azure AD — wersja bezpłatna lub autonomiczne licencje pakietu Office 365 — Użyj wstępnie utworzonych zasad ochrony punktu odniesienia dostępu warunkowego , aby wymagać uwierzytelniania wieloskładnikowego dla użytkowników i administratorów.Azure AD Free or standalone Office 365 licenses - Use pre-created Conditional Access baseline protection policies to require multi-factor authentication for your users and administrators.

  • Administratorzy globalni usługi Azure Active Directory — konta administratorów globalnych mogą być chronione za pomocą podzbioru funkcji usługi Azure Multi-Factor Authentication.Azure Active Directory Global Administrators - A subset of Azure Multi-Factor Authentication capabilities are available as a means to protect global administrator accounts.

Uwaga

Nowi klienci nie mogą już kupować Multi-Factor Authentication platformy Azure jako autonomicznej oferty obowiązującej 1 września, 2018.New customers may no longer purchase Azure Multi-Factor Authentication as a standalone offering effective September 1st, 2018. Uwierzytelnianie wieloskładnikowe będzie nadal mieć dostępną funkcję w Azure AD — wersja Premium licencji.Multi-factor authentication will continue to be an available feature in Azure AD Premium licenses.

Możliwości obsługiSupportability

Ponieważ większość użytkowników jest przyzwyczajonych do korzystania tylko z haseł do uwierzytelniania, ważne jest, aby Twoja organizacja komunikuje się ze wszystkimi użytkownikami dotyczącymi tego procesu.Since most users are accustomed to using only passwords to authenticate, it is important that your organization communicates to all users regarding this process. Świadomość może zmniejszyć prawdopodobieństwo, że użytkownicy wywołują pomoc techniczną w przypadku drobnych problemów związanych z usługą MFA.Awareness can reduce the likelihood that users call your help desk for minor issues related to MFA. Istnieją jednak sytuacje, w których konieczne jest tymczasowe wyłączenie usługi MFA.However, there are some scenarios where temporarily disabling MFA is necessary. Skorzystaj z poniższych wskazówek, aby zrozumieć, jak obsługiwać te scenariusze:Use the following guidelines to understand how to handle those scenarios:

  • Przeszkol personel pomocy technicznej, aby obsługiwał scenariusze, w których użytkownik nie może się zalogować, ponieważ nie ma dostępu do ich metod uwierzytelniania lub nie działa prawidłowo.Train your support staff to handle scenarios where the user can't sign in because they do not have access to their authentication methods or they are not working correctly.
    • Korzystając z zasad dostępu warunkowego dla usługi Azure MFA, pracownicy pomocy technicznej mogą dodać użytkownika do grupy, która jest wykluczona z zasad wymagających uwierzytelniania wieloskładnikowego.Using Conditional Access policies for Azure MFA Service, your support staff can add a user to a group that is excluded from a policy requiring MFA.
  • Rozważ użycie dostępu warunkowego o nazwie Locations jako metody minimalizowania dwuetapowych wierszy weryfikacyjnych.Consider using Conditional Access named locations as a way to minimize two-step verification prompts. Dzięki tej funkcji Administratorzy mogą ominąć weryfikację dwuetapową dla użytkowników, którzy logują się z bezpiecznej zaufanej lokalizacji sieciowej, takiej jak segment sieci używany na potrzeby dołączania do nowego użytkownika.With this functionality, administrators can bypass two-step verification for users that are signing in from a secure trusted network location such as a network segment used for new user onboarding.
  • Wdróż Azure AD Identity Protection i Wyzwól weryfikację dwuetapową opartą na wykryciu ryzyka.Deploy Azure AD Identity Protection and trigger two-step verification based on risk detections.

Następne krokiNext steps