Szybki Start: Wymagaj uwierzytelniania wieloskładnikowego dla określonych aplikacji przy użyciu Azure Active Directory dostępu warunkowegoQuickstart: Require MFA for specific apps with Azure Active Directory Conditional Access

Aby uprościć środowisko logowania użytkowników, możesz chcieć zezwolić na logowanie się do aplikacji w chmurze przy użyciu nazwy użytkownika i hasła.To simplify the sign in experience of your users, you might want to allow them to sign in to your cloud apps using a user name and a password. Jednak wiele środowisk ma co najmniej kilka aplikacji, dla których zaleca się wymaganie, aby była wymagana silniejsza weryfikacja konta, na przykład uwierzytelnianie wieloskładnikowe (MFA).However, many environments have at least a few apps for which it is advisable to require a stronger form of account verification, such as multi-factor authentication (MFA). Te zasady mogą być prawdziwe w przypadku dostępu do systemu poczty e-mail organizacji lub aplikacji KADRowych.This policy might be true for access to your organization's email system or your HR apps. W Azure Active Directory (Azure AD) można osiągnąć ten cel za pomocą zasad dostępu warunkowego.In Azure Active Directory (Azure AD), you can accomplish this goal with a Conditional Access policy.

Ten przewodnik Szybki Start przedstawia sposób konfigurowania zasad dostępu warunkowego usługi Azure AD , które wymagają uwierzytelniania wieloskładnikowego w przypadku wybranej aplikacji w chmurze w danym środowisku.This quickstart shows how to configure an Azure AD Conditional Access policy that requires multi-factor authentication for a selected cloud app in your environment.

Przykładowe zasady dostępu warunkowego w Azure Portal

Jeśli nie masz subskrypcji platformy Azure, przed rozpoczęciem utwórz bezpłatne konto.If you don't have an Azure subscription, create a free account before you begin.

Wymagania wstępnePrerequisites

Aby ukończyć ten scenariusz w tym przewodniku Szybki Start, musisz wykonać następujące czynności:To complete the scenario in this quickstart, you need:

  • Dostęp do Azure AD — wersja Premium Edition — dostęp warunkowy usługi Azure AD jest funkcją Azure AD — wersja Premium.Access to an Azure AD Premium edition - Azure AD Conditional Access is an Azure AD Premium capability.
  • Konto testowe o nazwie Isabella Simonsen — Jeśli nie wiesz, jak utworzyć konto testowe, zobacz Dodawanie użytkowników opartych na chmurze.A test account called Isabella Simonsen - If you don't know how to create a test account, see Add cloud-based users.

Scenariusz w tym przewodniku Szybki Start wymaga, aby uwierzytelnianie wieloskładnikowe poszczególnych użytkowników nie zostało włączone dla konta testowego.The scenario in this quickstart requires that per user MFA is not enabled for your test account. Aby uzyskać więcej informacji, zobacz jak wymagać weryfikacji dwuetapowej dla użytkownika.For more information, see How to require two-step verification for a user.

Testowanie środowiskaTest your experience

Celem tego kroku jest zaplanowanie doświadczenia w pracy bez zasad dostępu warunkowego.The goal of this step is to get an impression of the experience without a Conditional Access policy.

Aby zainicjować środowisko:To initialize your environment:

  1. Zaloguj się do Azure Portal jako Isabella Simonsen.Sign in to your Azure portal as Isabella Simonsen.
  2. Wyloguj się.Sign out.

Tworzenie zasad dostępu warunkowegoCreate your Conditional Access policy

W tej sekcji przedstawiono sposób tworzenia wymaganych zasad dostępu warunkowego.This section shows how to create the required Conditional Access policy. Scenariusz w tym przewodniku szybki start używa:The scenario in this quickstart uses:

  • Azure Portal jako symbol zastępczy dla aplikacji w chmurze, która wymaga uwierzytelniania wieloskładnikowego.The Azure portal as placeholder for a cloud app that requires MFA.
  • Przykładowy użytkownik do testowania zasad dostępu warunkowego.Your sample user to test the Conditional Access policy.

W zasadach ustaw następujące ustawienia:In your policy, set:

UstawienieSetting WartośćValue
Użytkownicy i grupyUsers and groups Isabella SimonsenIsabella Simonsen
Aplikacje w chmurzeCloud apps Zarządzanie Microsoft AzureMicrosoft Azure Management
Udzielanie dostępuGrant access Wymagaj uwierzytelniania wieloskładnikowegoRequire multi-factor authentication

Rozszerzone zasady dostępu warunkowego

Aby skonfigurować zasady dostępu warunkowego:To configure your Conditional Access policy:

  1. Zaloguj się do Azure Portal jako Administrator globalny, administrator zabezpieczeń lub administrator dostępu warunkowego.Sign in to your Azure portal as global administrator, security administrator, or a Conditional Access administrator.

  2. W Azure Portal Wyszukaj i wybierz pozycję Azure Active Directory.In the Azure portal, search for and select Azure Active Directory.

    Usługa Azure Active Directory

  3. Na stronie Azure Active Directory w sekcji zabezpieczenia kliknij pozycję dostęp warunkowy.On the Azure Active Directory page, in the Security section, click Conditional Access.

    Dostęp warunkowy

  4. Na stronie dostęp warunkowy na pasku narzędzi u góry kliknij pozycję nowe zasady.On the Conditional Access page, in the toolbar on the top, click New policy.

    Dodaj

  5. Na nowej stronie w polu tekstowym Nazwa wpisz Wymagaj uwierzytelniania wieloskładnikowego dla Azure Portal dostępu.On the New page, in the Name textbox, type Require MFA for Azure portal access.

    Nazwa

  6. W sekcji przypisanie kliknij pozycję Użytkownicy i grupy.In the Assignment section, click Users and groups.

    Użytkownicy i grupy

  7. Na stronie Użytkownicy i grupy wykonaj następujące czynności:On the Users and groups page, perform the following steps:

    Użytkownicy i grupy

    1. Kliknij pozycję Wybierz użytkowników i grupy, a następnie wybierz pozycję Użytkownicy i grupy.Click Select users and groups, and then select Users and groups.
    2. Kliknij pozycję Wybierz.Click Select.
    3. Na stronie Wybierz wybierz pozycję Isabella Simonsen, a następnie kliknij pozycję Wybierz.On the Select page, select Isabella Simonsen, and then click Select.
    4. Na stronie Użytkownicy i grupy kliknij przycisk gotowe.On the Users and groups page, click Done.
  8. Kliknij pozycję aplikacje w chmurze.Click Cloud apps.

    Aplikacje w chmurze

  9. Na stronie aplikacje w chmurze wykonaj następujące czynności:On the Cloud apps page, perform the following steps:

    Wybierz aplikacje w chmurze

    1. Kliknij pozycję Wybierz aplikacje.Click Select apps.
    2. Kliknij pozycję Wybierz.Click Select.
    3. Na stronie Wybierz wybierz pozycję Zarządzanie Microsoft Azure, a następnie kliknij przycisk Wybierz.On the Select page, select Microsoft Azure Management, and then click Select.
    4. Na stronie aplikacje w chmurze kliknij pozycję gotowe.On the Cloud apps page, click Done.
  10. W sekcji kontrole dostępu kliknij pozycję Udziel.In the Access controls section, click Grant.

    Kontrola dostępu

  11. Na stronie Grant wykonaj następujące czynności:On the Grant page, perform the following steps:

    Dawać

    1. Wybierz pozycję Udziel dostępu.Select Grant access.
    2. Wybierz opcję Wymagaj uwierzytelniania wieloskładnikowego.Select Require multi-factor authentication.
    3. Kliknij pozycję Wybierz.Click Select.
  12. W sekcji Włączanie zasad kliknij pozycję włączone.In the Enable policy section, click On.

    Włączanie zasad

  13. Kliknij pozycję Utwórz.Click Create.

Oceń symulowane logowanieEvaluate a simulated sign in

Teraz, po skonfigurowaniu zasad dostępu warunkowego, prawdopodobnie chcesz wiedzieć, czy działa zgodnie z oczekiwaniami.Now that you have configured your Conditional Access policy, you probably want to know whether it works as expected. Pierwszym krokiem jest użycie narzędzia do działania warunkowego, co pozwala na symulowanie logowania użytkownika testowego.As a first step, use the Conditional Access what if policy tool to simulate a sign in of your test user. Symulacja szacuje wpływ tego logowania na zasady i generuje raport symulacji.The simulation estimates the impact this sign in has on your policies and generates a simulation report.

Aby zainicjować narzędzie do oceny zasad What If , ustaw następujące polecenie:To initialize the What If policy evaluation tool, set:

  • Isabella Simonsen jako użytkownikIsabella Simonsen as user
  • Zarządzanie Microsoft Azure jako aplikacja w chmurzeMicrosoft Azure Management as cloud app

Kliknięcie przycisku What If powoduje utworzenie raportu symulacji, który pokazuje:Clicking What If creates a simulation report that shows:

  • Wymagaj uwierzytelniania wieloskładnikowego dla Azure Portal dostępu w ramach zasad, które będą stosowaneRequire MFA for Azure portal access under Policies that will apply
  • Wymagaj uwierzytelniania wieloskładnikowego jako kontroli uprawnień.Require multi-factor authentication as Grant Controls.

Co to jest narzędzie zasad

Aby oszacować zasady dostępu warunkowego:To evaluate your Conditional Access policy:

  1. Na stronie zasady dostępu warunkowego w menu u góry kliknij pozycję What If.On the Conditional Access - Policies page, in the menu on the top, click What If.

    What If

  2. Kliknij pozycję Użytkownicy, wybierz pozycję Isabella Simonsen, a następnie kliknij pozycję Wybierz.Click Users, select Isabella Simonsen, and then click Select.

    Użytkownik

  3. Aby wybrać aplikację w chmurze, wykonaj następujące czynności:To select a cloud app, perform the following steps:

    Aplikacje w chmurze

    1. Kliknij pozycję aplikacje w chmurze.Click Cloud apps.
    2. Na stronie aplikacje w chmurzekliknij pozycję Wybierz aplikacje.On the Cloud apps page, click Select apps.
    3. Kliknij pozycję Wybierz.Click Select.
    4. Na stronie Wybierz wybierz pozycję Zarządzanie Microsoft Azure, a następnie kliknij przycisk Wybierz.On the Select page, select Microsoft Azure Management, and then click Select.
    5. Na stronie aplikacje w chmurze kliknij pozycję gotowe.On the cloud apps page, click Done.
  4. Kliknij What If.Click What If.

Testowanie zasad dostępu warunkowegoTest your Conditional Access policy

W poprzedniej sekcji wiesz już, jak oszacować symulowane logowanie.In the previous section, you have learned how to evaluate a simulated sign in. Oprócz symulacji należy również przetestować zasady dostępu warunkowego, aby upewnić się, że działa zgodnie z oczekiwaniami.In addition to a simulation, you should also test your Conditional Access policy to ensure that it works as expected.

Aby przetestować zasady, spróbuj zalogować się do Azure Portal przy użyciu konta testowego usługi Isabella Simonsen .To test your policy, try to sign in to your Azure portal using your Isabella Simonsen test account. Powinno zostać wyświetlone okno dialogowe, które wymaga skonfigurowania konta pod kątem dodatkowej weryfikacji zabezpieczeń.You should see a dialog that requires you to set up your account for additional security verification.

Uwierzytelnianie wieloskładnikowe

Oczyszczanie zasobówClean up resources

Gdy nie jest już potrzebne, Usuń użytkownika testowego i zasady dostępu warunkowego:When no longer needed, delete the test user and the Conditional Access policy:

  • Jeśli nie wiesz, jak usunąć użytkownika usługi Azure AD, zobacz usuwanie użytkowników z usługi Azure AD.If you don't know how to delete an Azure AD user, see Delete users from Azure AD.

  • Aby usunąć zasady, wybierz zasady, a następnie kliknij przycisk Usuń na pasku narzędzi Szybki dostęp.To delete your policy, select your policy, and then click Delete in the quick access toolbar.

    Uwierzytelnianie wieloskładnikowe

Następne krokiNext steps