Planowanie wdrożenia usługi Azure Active Directory Multi-Factor Authentication

Azure Active Directory (Azure AD) Multi-Factor Authentication pomaga chronić dostęp do danych i aplikacji, zapewniając kolejną warstwę zabezpieczeń przy użyciu drugiej formy uwierzytelniania. Organizacje mogą włączyć uwierzytelnianie wieloskładnikowe (MFA) z dostępem warunkowym , aby rozwiązanie pasowało do ich konkretnych potrzeb.

W tym przewodniku wdrażania pokazano, jak zaplanować i wdrożyć wdrożenie usługi Azure AD Multi-Factor Authentication .

Wymagania wstępne dotyczące wdrażania usługi Azure AD Multi-Factor Authentication

Przed rozpoczęciem wdrażania upewnij się, że spełniasz następujące wymagania wstępne dotyczące odpowiednich scenariuszy.

Scenariusz Wymaganie wstępne
Środowisko tożsamości tylko w chmurze z nowoczesnym uwierzytelnianiem Brak zadań wstępnych
Scenariusze tożsamości hybrydowej Wdrażanie usługi Azure AD Połączenie i synchronizowanie tożsamości użytkowników między usługami lokalna usługa Active Directory Domain Services (AD DS) i Azure AD.
Lokalne starsze aplikacje opublikowane na potrzeby dostępu do chmury Wdrażanie serwer proxy aplikacji usługi Azure AD

Wybieranie metod uwierzytelniania dla uwierzytelniania wieloskładnikowego

Istnieje wiele metod, których można użyć do uwierzytelniania dwuskładnikowego. Możesz wybrać jedną z listy dostępnych metod uwierzytelniania, oceniając je pod względem zabezpieczeń, użyteczności i dostępności.

Ważne

Włącz więcej niż jedną metodę uwierzytelniania wieloskładnikowego, aby użytkownicy mieli dostępną metodę tworzenia kopii zapasowej, jeśli ich metoda podstawowa jest niedostępna. Metody obejmują:

Podczas wybierania metod uwierzytelniania, które będą używane w dzierżawie, należy wziąć pod uwagę bezpieczeństwo i użyteczność tych metod:

Choose the right authentication method

Aby dowiedzieć się więcej na temat siły i bezpieczeństwa tych metod oraz sposobu ich działania, zobacz następujące zasoby:

Ten skrypt programu PowerShell umożliwia analizowanie konfiguracji uwierzytelniania wieloskładnikowego użytkowników i sugerowanie odpowiedniej metody uwierzytelniania MFA.

Aby uzyskać najlepszą elastyczność i użyteczność, użyj aplikacji Microsoft Authenticator. Ta metoda uwierzytelniania zapewnia najlepsze środowisko użytkownika i wiele trybów, takich jak bez hasła, powiadomienia wypychane MFA i kody OATH. Aplikacja Microsoft Authenticator spełnia również wymagania National Institute of Standards and Technology (NIST) Authenticator Assurance Level 2.

Możesz kontrolować metody uwierzytelniania dostępne w dzierżawie. Możesz na przykład zablokować niektóre z najmniej bezpiecznych metod, takich jak sms.

Metoda uwierzytelniania Zarządzaj z Określanie zakresu
Microsoft Authenticator (wysyłanie powiadomień wypychanych i logowanie za pomocą telefonu bez hasła) Ustawienia uwierzytelniania wieloskładnikowego lub zasady metod uwierzytelniania Authenticator logowanie za pomocą telefonu bez hasła może być ograniczone do użytkowników i grup
Klucz zabezpieczeń FIDO2 Zasady metod uwierzytelniania Zakres można ograniczyć do użytkowników i grup
Tokeny OATH oprogramowania lub sprzętu Ustawienia uwierzytelniania MFA
Weryfikacja wiadomości SMS Ustawienia uwierzytelniania MFA
Zarządzanie logowaniem sms na potrzeby uwierzytelniania podstawowego w zasadach uwierzytelniania
Możliwość logowania za pomocą wiadomości SMS może być ograniczona do użytkowników i grup.
Połączenia głosowe Zasady metod uwierzytelniania

Planowanie zasad dostępu warunkowego

Usługa Azure AD Multi-Factor Authentication jest wymuszana przy użyciu zasad dostępu warunkowego. Te zasady umożliwiają monitowanie użytkowników o uwierzytelnianie wieloskładnikowe w razie potrzeby w celu zapewnienia bezpieczeństwa i pozostawania poza sposobem użytkowników, gdy nie jest to konieczne.

Conceptual Conditional Access process flow

W Azure Portal skonfigurujesz zasady dostępu warunkowego w obszarze Azure Active Directory>ZabezpieczeniaDostęp>warunkowy.

Aby dowiedzieć się więcej na temat tworzenia zasad dostępu warunkowego, zobacz Zasady dostępu warunkowego w celu wyświetlenia monitu o usługę Azure AD Multi-Factor Authentication, gdy użytkownik zaloguje się do Azure Portal. Ułatwia to:

  • Zapoznanie się z interfejsem użytkownika
  • Pierwsze wrażenie działania dostępu warunkowego

Aby uzyskać kompleksowe wskazówki dotyczące wdrażania dostępu warunkowego usługi Azure AD, zobacz plan wdrożenia dostępu warunkowego.

Typowe zasady usługi Azure AD Multi-Factor Authentication

Typowe przypadki użycia wymagające uwierzytelniania wieloskładnikowego usługi Azure AD obejmują:

Nazwane lokalizacje

Aby zarządzać zasadami dostępu warunkowego, warunek lokalizacji zasad dostępu warunkowego umożliwia powiązanie ustawień kontroli dostępu z lokalizacjami sieciowymi użytkowników. Zalecamy używanie nazwanych lokalizacji , aby można było tworzyć logiczne grupowania zakresów adresów IP lub krajów i regionów. Spowoduje to utworzenie zasad dla wszystkich aplikacji, które blokują logowanie z tej nazwanej lokalizacji. Pamiętaj, aby wykluczyć administratorów z tych zasad.

Zasady oparte na ryzyku

Jeśli twoja organizacja używa usługi Azure AD Identity Protection do wykrywania sygnałów o podwyższonym ryzyku, rozważ użycie zasad opartych na ryzyku zamiast nazwanych lokalizacji. Zasady można utworzyć w celu wymuszenia zmian haseł w przypadku zagrożenia naruszenia tożsamości lub wymagania uwierzytelniania wieloskładnikowego, gdy logowanie jest uznawane za ryzykowne przez zdarzenia , takie jak wyciek poświadczeń, logowania z anonimowych adresów IP i nie tylko.

Zasady ryzyka obejmują:

Konwertowanie użytkowników z uwierzytelniania wieloskładnikowego dla poszczególnych użytkowników na uwierzytelnianie wieloskładnikowe oparte na dostępie warunkowym

Jeśli użytkownicy zostali włączeni przy użyciu uwierzytelniania wieloskładnikowego włączonego dla poszczególnych użytkowników, poniższy program PowerShell może pomóc w przeprowadzeniu konwersji na uwierzytelnianie wieloskładnikowe oparte na dostępie warunkowym.

Uruchom ten program PowerShell w oknie środowiska ISE lub zapisz go jako .PS1 plik, aby uruchomić go lokalnie. Operację można wykonać tylko przy użyciu modułu MSOnline.

# Sets the MFA requirement state
function Set-MfaState {
    [CmdletBinding()]
    param(
        [Parameter(ValueFromPipelineByPropertyName=$True)]
        $ObjectId,
        [Parameter(ValueFromPipelineByPropertyName=$True)]
        $UserPrincipalName,
        [ValidateSet("Disabled","Enabled","Enforced")]
        $State
    )
    Process {
        Write-Verbose ("Setting MFA state for user '{0}' to '{1}'." -f $ObjectId, $State)
        $Requirements = @()
        if ($State -ne "Disabled") {
            $Requirement =
                [Microsoft.Online.Administration.StrongAuthenticationRequirement]::new()
            $Requirement.RelyingParty = "*"
            $Requirement.State = $State
            $Requirements += $Requirement
        }
        Set-MsolUser -ObjectId $ObjectId -UserPrincipalName $UserPrincipalName `
                     -StrongAuthenticationRequirements $Requirements
    }
}
# Disable MFA for all users
Get-MsolUser -All | Set-MfaState -State Disabled

Planowanie okresu istnienia sesji użytkownika

Podczas planowania wdrożenia uwierzytelniania wieloskładnikowego ważne jest, aby zastanowić się, jak często chcesz monitować użytkowników. Prośba użytkowników o poświadczenia często wydaje się rozsądną rzeczą do zrobienia, ale może backfire. Jeśli użytkownicy są przeszkoleni w celu wprowadzania poświadczeń bez myślenia, mogą przypadkowo dostarczyć je do złośliwego monitu o poświadczenia. Usługa Azure AD ma wiele ustawień określających częstotliwość ponownego uwierzytelniania. Poznaj potrzeby firmy i użytkowników oraz skonfiguruj ustawienia, które zapewniają najlepszą równowagę dla danego środowiska.

Zalecamy używanie urządzeń z podstawowymi tokenami odświeżania (PRT) w celu zwiększenia środowiska użytkownika końcowego i zmniejszenia okresu istnienia sesji przy użyciu zasad częstotliwości logowania tylko w określonych przypadkach użycia firmy.

Aby uzyskać więcej informacji, zobacz Optymalizowanie monitów o ponowne uwierzytelnianie i zrozumienie okresu istnienia sesji dla usługi Azure AD Multi-Factor Authentication.

Planowanie rejestracji użytkowników

Głównym krokiem w każdym wdrożeniu uwierzytelniania wieloskładnikowego jest rejestracja użytkowników w celu korzystania z usługi Azure AD Multi-Factor Authentication. Metody uwierzytelniania, takie jak Voice i SMS, umożliwiają wstępną rejestrację, podczas gdy inne, takie jak aplikacja Authenticator, wymagają interakcji z użytkownikiem. Administratorzy muszą określić, w jaki sposób użytkownicy będą rejestrować swoje metody.

Rejestracja połączona na potrzeby samoobsługowego resetowania hasła i usługi Azure AD MFA

Uwaga

Od 15 sierpnia 2020 r. wszystkie nowe dzierżawy usługi Azure AD zostaną automatycznie włączone na potrzeby rejestracji połączonej. Dzierżawy utworzone po tej dacie nie będą mogły korzystać ze starszych przepływów pracy rejestracji. Po 30 września 2022 r. wszystkie istniejące dzierżawy usługi Azure AD zostaną automatycznie włączone do rejestracji połączonej.

Zalecamy, aby organizacje korzystały z połączonego środowiska rejestracji na potrzeby usługi Azure AD Multi-Factor Authentication i samoobsługowego resetowania hasła (SSPR). Samoobsługowe resetowanie hasła umożliwia użytkownikom bezpieczne resetowanie hasła przy użyciu tych samych metod, których używają do uwierzytelniania wieloskładnikowego usługi Azure AD. Rejestracja połączona to jeden krok dla użytkowników końcowych. Aby mieć pewność, że rozumiesz funkcje i środowisko użytkownika końcowego, zobacz Połączone pojęcia dotyczące rejestracji informacji o zabezpieczeniach.

Ważne jest, aby poinformować użytkowników o nadchodzących zmianach, wymaganiach dotyczących rejestracji i wszelkich niezbędnych działaniach użytkownika. Udostępniamy szablony komunikacji i dokumentację użytkownika , aby przygotować użytkowników do nowego środowiska i pomóc w zapewnieniu pomyślnego wdrożenia. Wyślij użytkowników do https://myprofile.microsoft.com rejestracji, wybierając link Informacje zabezpieczające na tej stronie.

Rejestracja przy użyciu usługi Identity Protection

Usługa Azure AD Identity Protection przyczynia się zarówno do zasad rejestracji, jak i zautomatyzowanych zasad wykrywania ryzyka i korygowania w scenariuszu usługi Azure AD Multi-Factor Authentication. Zasady można utworzyć, aby wymusić zmiany haseł w przypadku zagrożenia tożsamością z naruszeniem zabezpieczeń lub wymagać uwierzytelniania wieloskładnikowego, gdy logowanie zostanie uznane za ryzykowne. Jeśli używasz usługi Azure AD Identity Protection, skonfiguruj zasady rejestracji usługi Azure AD MFA , aby monitować użytkowników o zarejestrowanie się przy następnym logowaniu interakcyjnym.

Rejestracja bez usługi Identity Protection

Jeśli nie masz licencji, które umożliwiają usługę Azure AD Identity Protection, użytkownicy będą monitowani o zarejestrowanie przy następnym użyciu uwierzytelniania wieloskładnikowego podczas logowania. Aby wymagać od użytkowników korzystania z uwierzytelniania wieloskładnikowego, można użyć zasad dostępu warunkowego i kierować do często używanych aplikacji, takich jak systemy HR. Jeśli hasło użytkownika zostało naruszone, można użyć go do zarejestrowania się w celu uwierzytelniania wieloskładnikowego, przejęcia kontroli nad kontem. Dlatego zalecamy zabezpieczenie procesu rejestracji zabezpieczeń przy użyciu zasad dostępu warunkowego wymagających zaufanych urządzeń i lokalizacji. Proces można dodatkowo zabezpieczyć, wymagając tymczasowego dostępu. Ograniczony czasowo kod dostępu wystawiony przez administratora, który spełnia silne wymagania uwierzytelniania i może służyć do dołączania innych metod uwierzytelniania, w tym bez hasła.

Zwiększanie bezpieczeństwa zarejestrowanych użytkowników

Jeśli masz użytkowników zarejestrowanych w usłudze MFA przy użyciu wiadomości SMS lub połączeń głosowych, możesz przenieść je do bezpieczniejszych metod, takich jak aplikacja Microsoft Authenticator. Firma Microsoft oferuje teraz publiczną wersję zapoznawcza funkcji, która umożliwia monit o skonfigurowanie aplikacji Microsoft Authenticator podczas logowania. Te monity można ustawić według grupy, kontrolując, kto jest monitowany, umożliwiając ukierunkowanym kampaniom przenoszenie użytkowników do bezpieczniejszej metody.

Planowanie scenariuszy odzyskiwania

Jak wspomniano wcześniej, upewnij się, że użytkownicy są zarejestrowani dla więcej niż jednej metody uwierzytelniania wieloskładnikowego, dlatego jeśli jest niedostępna, mają kopię zapasową. Jeśli użytkownik nie ma dostępnej metody tworzenia kopii zapasowej, możesz:

  • Podaj im dostęp tymczasowy, aby mógł zarządzać własnymi metodami uwierzytelniania. Możesz również podać tymczasowy dostęp próbny, aby umożliwić tymczasowy dostęp do zasobów.
  • Zaktualizuj swoje metody jako administrator. W tym celu wybierz użytkownika w Azure Portal, a następnie wybierz pozycję Metody uwierzytelniania i zaktualizuj ich metody. Komunikacja użytkowników

Planowanie integracji z systemami lokalnymi

Aplikacje uwierzytelniające się bezpośrednio w usłudze Azure AD i korzystające z nowoczesnego uwierzytelniania (WS-Fed, SAML, OAuth, OpenID Połączenie) mogą korzystać z zasad dostępu warunkowego. Niektóre starsze i lokalne aplikacje nie uwierzytelniają się bezpośrednio w usłudze Azure AD i wymagają dodatkowych kroków w celu korzystania z usługi Azure AD Multi-Factor Authentication. Można je zintegrować przy użyciu serwera proxy aplikacji usługi Azure AD lub usług zasad sieciowych.

Integracja z zasobami usług AD FS

Zalecamy migrowanie aplikacji zabezpieczonych za pomocą Active Directory Federation Services (AD FS) do usługi Azure AD. Jeśli jednak nie chcesz migrować ich do usługi Azure AD, możesz użyć karty Azure Multi-Factor Authentication z usługami AD FS 2016 lub nowszymi.

Jeśli Twoja organizacja jest sfederowa z usługą Azure AD, możesz skonfigurować usługę Azure AD Multi-Factor Authentication jako dostawcę uwierzytelniania z zasobami usług AD FS zarówno lokalnie, jak i w chmurze.

Klienci usługi RADIUS i usługa Azure AD Multi-Factor Authentication

W przypadku aplikacji korzystających z uwierzytelniania usługi RADIUS zalecamy przeniesienie aplikacji klienckich do nowoczesnych protokołów, takich jak SAML, Open ID Połączenie lub OAuth w usłudze Azure AD. Jeśli nie można zaktualizować aplikacji, możesz wdrożyć serwer zasad sieciowych (NPS) za pomocą rozszerzenia usługi Azure MFA. Rozszerzenie serwera zasad sieciowych (NPS) działa jako karta między aplikacjami opartymi na usłudze RADIUS i usługą Azure AD MFA w celu zapewnienia drugiego składnika uwierzytelniania.

Typowe integracje

Wielu dostawców obsługuje teraz uwierzytelnianie SAML dla swoich aplikacji. Jeśli to możliwe, zalecamy sfederowanie tych aplikacji z usługą Azure AD i wymuszanie uwierzytelniania wieloskładnikowego za pomocą dostępu warunkowego. Jeśli dostawca nie obsługuje nowoczesnego uwierzytelniania, możesz użyć rozszerzenia serwera NPS. Typowe integracje klientów usługi RADIUS obejmują aplikacje, takie jak bramy usług pulpitu zdalnego i serwery sieci VPN.

Inne mogą obejmować:

  • Citrix Gateway

    Usługa Citrix Gateway obsługuje zarówno integrację rozszerzenia RADIUS, jak i serwera NPS oraz integrację protokołu SAML.

  • Cisco VPN

    • Sieć VPN cisco obsługuje zarówno uwierzytelnianie RADIUS, jak i SAML na potrzeby logowania jednokrotnego.
    • Przechodząc z uwierzytelniania usługi RADIUS do protokołu SAML, możesz zintegrować sieć VPN firmy Cisco bez wdrażania rozszerzenia serwera NPS.
  • Wszystkie sieci VPN

Wdrażanie usługi Azure AD Multi-Factor Authentication

Plan wdrożenia usługi Azure AD Multi-Factor Authentication powinien obejmować wdrożenie pilotażowe, a następnie fale wdrażania, które znajdują się w ramach twojej pojemności pomocy technicznej. Rozpocznij wdrażanie, stosując zasady dostępu warunkowego do małej grupy użytkowników pilotażowych. Po ocenie wpływu na użytkowników pilotażowych, używanych procesów i zachowań rejestracji można dodać więcej grup do zasad lub dodać kolejnych użytkowników do istniejących grup.

Wykonaj następujące czynności:

  1. Spełnianie niezbędnych wymagań wstępnych
  2. Konfigurowanie wybranych metod uwierzytelniania
  3. Konfigurowanie zasad dostępu warunkowego
  4. Konfigurowanie ustawień okresu istnienia sesji
  5. Konfigurowanie zasad rejestracji usługi Azure AD MFA

Zarządzanie usługą Azure AD Multi-Factor Authentication

Ta sekcja zawiera informacje dotyczące raportowania i rozwiązywania problemów z usługą Azure AD Multi-Factor Authentication.

Raportowanie i monitorowanie

Usługa Azure AD zawiera raporty, które zapewniają szczegółowe informacje techniczne i biznesowe, postępuj zgodnie z postępem wdrażania i sprawdź, czy użytkownicy pomyślnie logują się przy użyciu uwierzytelniania wieloskładnikowego. Właścicieli aplikacji biznesowych i technicznych przyjmij własność tych raportów i korzystaj z nich na podstawie wymagań organizacji.

Rejestrację i użycie metody uwierzytelniania w całej organizacji można monitorować przy użyciu pulpitu nawigacyjnego Działania metody uwierzytelniania. Pomaga to zrozumieć, jakie metody są rejestrowane i jak są używane.

Raport logowania w celu przeglądania zdarzeń uwierzytelniania wieloskładnikowego

Raporty logowania usługi Azure AD zawierają szczegóły uwierzytelniania dla zdarzeń, gdy użytkownik jest monitowany o uwierzytelnianie wieloskładnikowe i czy są używane jakiekolwiek zasady dostępu warunkowego. Możesz również użyć programu PowerShell do raportowania użytkowników zarejestrowanych w usłudze Azure AD Multi-Factor Authentication.

Rozszerzenia serwera NPS i dzienniki usług AD FS można wyświetlić z raportuSecurityMFAActivity>>.

Aby uzyskać więcej informacji i dodatkowe raporty usługi Azure AD Multi-Factor Authentication, zobacz Przeglądanie zdarzeń usługi Azure AD Multi-Factor Authentication.

Rozwiązywanie problemów z usługą Azure AD Multi-Factor Authentication

Zobacz Rozwiązywanie problemów z usługą Azure AD Multi-Factor Authentication , aby zapoznać się z typowymi problemami.

Następne kroki

Wdrażanie innych funkcji tożsamości