Планирование развертывания службы многофакторной проверки подлинности в Azure Active Directory

Многофакторная проверка подлинности Azure Active Directory (Azure AD) позволяет защитить доступ к данным и приложениям, обеспечивая дополнительный уровень безопасности с помощью еще одного вида проверки подлинности. Организации могут включить многофакторную проверку подлинности (MFA) с условным доступом, чтобы решение соответствовало их нуждам.

В этом руководстве по развертыванию показано, как спланировать и затем протестировать развертывание многофакторной проверки подлинности Azure AD.

Предварительные требования для развертывания многофакторной проверки подлинности Azure AD

Прежде чем приступать к развертыванию, убедитесь в том, чтоб соблюдены следующие условия для соответствующих сценариев.

Сценарий Предварительные требования
Среда только облачных удостоверений с современной проверкой подлинности Действия не требуются
Гибридные сценарии идентификации Разверните Azure AD Connect и синхронизируйте удостоверения пользователей между локальными службами Active Directory (AD DS) и Azure AD.
Локальные устаревшие приложения, опубликованные для облачного доступа Развертывание прокси-службы приложения Azure AD

Выбор методов проверки подлинности для многофакторной проверки подлинности

Существует множество методов, которые можно использовать для добавления второго уровня проверки подлинности. Вы можете выбрать любой из доступных методов проверки подлинности, оценивая их с точки зрения безопасности, удобства использования и доступности.

Важно!

Включите несколько методов проверки подлинности, чтобы пользователи имели доступ к резервному методу, если основной метод проверки подлинности окажется недоступен. Ниже перечислены используемые методы.

При выборе методов проверки подлинности, которые будут использоваться в арендаторе, учитывайте безопасность и удобство использования этих методов.

Choose the right authentication method

Дополнительные сведения о надежности и безопасности этих методов и принципах их работы см. в следующих ресурсах.

Этот скрипт PowerShell можно использовать для анализа конфигураций многофакторной проверки подлинности для пользователей и рекомендации соответствующего метода проверки подлинности.

Чтобы обеспечить гибкость и удобство использования, рекомендуется использовать приложение Microsoft Authenticator. Данный метод проверки подлинности обеспечивает лучшее взаимодействие с пользователем и несколько режимов, таких как доступ без пароля, Push-уведомления MFA и OATH-коды. Приложение Microsoft Authenticator также соответствует 2 уровню безопасности проверки подлинности, установленным Национальным институтом стандартов и технологий (NIST).

Вы можете самостоятельно управлять методами проверки подлинности, доступными в клиенте. Например, можно заблокировать некоторые из наименее защищенных методов, таких как проверка подлинности с использованием SMS-сообщений.

Метод проверки подлинности Управление из Scoping
Microsoft Authenticator (push-уведомления и вход без пароля с помощью телефона) Параметры многофакторной проверки подлинности или политика для методов проверки подлинности Вход без пароля с помощью телефона через Authenticator можно ограничить конкретными пользователями и группами.
Ключ безопасности FIDO2 Политика для методов проверки подлинности Область действия может быть ограничена для пользователей и групп
Программные и аппаратные токены OATH Параметры многофакторной проверки подлинности
Верификация с помощи текстового сообщения Параметры многофакторной проверки подлинности
Управление входом в систему по SMS для первичной проверки подлинности в политике проверки подлинности.
Вход по SMS можно ограничить конкретными пользователями и группами.
голосовые звонки; Политика для методов проверки подлинности

Планирование политики условного доступа

Многофакторная проверка подлинности Azure AD реализуется посредством политик условного доступа. Эти политики позволяют предлагать пользователям MFA, когда это необходимо для обеспечения безопасности, и не вмешиваться в работу пользователей, когда это не требуется.

Conceptual Conditional Access process flow

На портале Azure можно настроить политики условного доступа, выбрав Azure Active Directory>Безопасность>Условный доступ.

Чтобы узнать больше о создании политик условного доступа, ознакомьтесь со следующим примером: Политика условного доступа для запроса прохождения многофакторной проверки подлинности Azure AD при входе пользователя на портал Azure. Этот пример поможет вам:

  • ознакомиться с пользовательским интерфейсом;
  • получить первое впечатление о работе условного доступа.

Полное руководство по развертыванию условного доступа в Azure AD см. в статье План развертывания условного доступа.

Общие политики для многофакторной проверки подлинности Azure AD

К типичным сценариям использования многофакторной проверки подлинности Azure AD относятся следующие:

Именованные расположения

Для управления политиками условного доступа условие расположения политики условного доступа позволяет привязать параметры управления доступом к расположениям пользователей в сети. Мы рекомендуем использовать именованные расположения, чтобы создать логические группы диапазонов IP-адресов, стран и регионов. При этом создается политика для всех приложений, которая блокирует вход из этого именованного расположения. Обязательно исключите администраторов из этой политики.

Политики на основе рисков

Если ваша организация использует Защиту идентификации Azure AD для выявления признаков рискованных операций, рекомендуем использовать политики на основе рисков вместо именованных расположений. Можно создавать политики для принудительного изменения пароля при наличии угрозы компрометации удостоверения или для обязательного прохождения MFA, если вход в систему считается рискованным событием, например в случае утечки учетных данных, входа с анонимных IP-адресов и т. д.

К политикам на основе рисков относятся:

Преобразование пользователей из MFA для каждого пользователя в MFA на основе условного доступа

Если пользователи были активированы индивидуально с использованием MFA, при помощи PowerShell можно перейти на условный доступ, основанный на MFA.

Запустите PowerShell в окне интегрированной среды сценариев или сохраните его как файл .PS1 для локального запуска. Эту операцию можно выполнить только с помощью модуля MSOnline.

# Sets the MFA requirement state
function Set-MfaState {
    [CmdletBinding()]
    param(
        [Parameter(ValueFromPipelineByPropertyName=$True)]
        $ObjectId,
        [Parameter(ValueFromPipelineByPropertyName=$True)]
        $UserPrincipalName,
        [ValidateSet("Disabled","Enabled","Enforced")]
        $State
    )
    Process {
        Write-Verbose ("Setting MFA state for user '{0}' to '{1}'." -f $ObjectId, $State)
        $Requirements = @()
        if ($State -ne "Disabled") {
            $Requirement =
                [Microsoft.Online.Administration.StrongAuthenticationRequirement]::new()
            $Requirement.RelyingParty = "*"
            $Requirement.State = $State
            $Requirements += $Requirement
        }
        Set-MsolUser -ObjectId $ObjectId -UserPrincipalName $UserPrincipalName `
                     -StrongAuthenticationRequirements $Requirements
    }
}
# Disable MFA for all users
Get-MsolUser -All | Set-MfaState -State Disabled

Планирование времени существования сеанса пользователя

При планировании развертывания многофакторной проверки подлинности важно подумать о том, как часто потребуется отображать запрос для пользователей. Частые запросы на ввод учетных данных может быть разумным подходом, но у него есть и обратная сторона. Если приучить пользователей вводить учетные данные снова и снова, может произойти так, что они непреднамеренно введут свои данные при появлении вредоносного запроса. Azure AD имеет несколько параметров, определяющих частоту повторной проверки подлинности пользователей. Необходимо учитывать бизнес-потребности и запросы пользователей и настраивать параметры так, чтобы создать оптимальный баланс для вашей среды.

Мы рекомендуем использовать устройства с основными токенами обновления (PRT), чтобы повысить удобство работы пользователей и сократить время существования сеанса за счет политики частоты входа только для конкретных бизнес-сценариев использования.

Дополнительные сведения см. в статье Оптимизация запросов на повторную проверку подлинности и информация о времени существования сеанса для многофакторной проверки подлинности Azure AD.

Планирование регистрации пользователей

Важным шагом в процессе любого развертывания многофакторной проверки подлинности является регистрация пользователей для использования MFA Azure AD. Такие методы проверки подлинности, как проверка подлинности с помощью голосовой связи или SMS, допускают предварительную регистрацию, а другие, например, через приложение Authenticator, требует взаимодействия напрямую с пользователем. Администраторы должны определить, как пользователи будут регистрировать свои методы.

Объединенная регистрация для SSPR и Azure AD MFA

Примечание

Начиная с 15 августа 2020 г. для всех новых клиентов Azure AD будет автоматически поддерживаться объединенная регистрация. Клиенты, созданные после этой даты, не смогут использовать устаревшие рабочие процессы регистрации. Начиная с 30 сентября 2022 г. для всех существующих клиентов Azure AD будет автоматически поддерживаться объединенная регистрация.

Мы рекомендуем организациям использовать объединенную регистрацию для многофакторной проверки подлинности и самостоятельного сброса пароля (SSPR) в Azure AD. Функция SSPR позволяет пользователям безопасно сбрасывать свой пароль с помощью тех же методов, которые они используют для многофакторной проверки подлинности Azure AD. Объединенная регистрация для конечных пользователей осуществляется в один шаг. Чтобы хорошо разобраться в этих возможностях и взаимодействии с пользователем, изучите статью Общие сведения об объединенной регистрации сведений о безопасности.

Очень важно информировать пользователей о предстоящих изменениях, требованиях к регистрации и обо всех действиях, которые пользователю необходимо будет предпринять. Мы предоставляем шаблоны сообщений и документацию для пользователей, чтобы подготовить пользователей к новым возможностям и обеспечить успешный выпуск. Отправьте пользователей в https://myprofile.microsoft.com для регистрации, выбрав ссылку Сведения о безопасности на этой странице.

Регистрация с помощью Защиты идентификации

Защита идентификации Azure AD влияет на политику регистрации и политики автоматического обнаружения и устранения рисков в истории многофакторной проверки подлинности Azure AD. Можно создавать политики для принудительного изменения пароля при возникновении угрозы компрометации удостоверения или при необходимости использования MFA, когда вход считается рискованным. Если используется Защита идентификации Azure Active Directory, настройте политику регистрации MFA Azure AD, чтобы запрашивать у пользователей регистрацию при следующем входе в интерактивном режиме.

Регистрация без Защиты идентификации

Если у вас нет лицензий с поддержкой Защиты идентификации Azure AD, пользователям будет предложено зарегистрироваться в следующий раз, когда потребуется выполнить вход с MFA. Чтобы обязать пользователей использовать MFA, можно использовать политики условного доступа и целевые часто используемые приложения, такие как системы отдела кадров. Если пароль пользователя скомпрометирован, его можно использовать при регистрации для проведения MFA и контроля учетной записи. Поэтому рекомендуется защитить процесс регистрации в системе безопасности с помощью политик условного доступа, которым требуются доверенные устройства и расположения. Кроме того, для дополнительной защиты можно также затребовать временный секретный код. Временный секретный код — это секретный код, действующий ограниченное время, которые выдается администратором, удовлетворяет требованиям строгой проверки подлинности и может использоваться для подключения других методов проверки подлинности, включая беcпарольные.

Дополнительная защита зарегистрированных пользователей

Если у вас есть пользователи, зарегистрированные для MFA посредством SMS или голосовой связи, вам, возможно, потребуется выбрать для них более безопасные методы, такие как приложение Microsoft Authenticator. Теперь корпорация Майкрософт предлагает общедоступную предварительную версию функции, которая позволяет предлагать пользователям настроить приложение Microsoft Authenticator во время входа. Вы можете настроить эти запросы по группам, чтобы указать, кто будет получать запрос. Это позволит перемещать пользователей в более безопасный метод с помощью целевых кампаний.

Планирование сценариев восстановления

Как уже говорилось ранее, необходимо убедиться в том, что пользователи зарегистрированы для использования нескольких методов MFA, чтобы обеспечить наличие резервного метода при недоступности основного. Если пользователю недоступен резервный метод, можно:

  • предоставить временный секретный код, чтобы пользователи могли управлять собственными методами проверки подлинности. Кроме того, можно также предоставить временный секретный код, чтобы разрешить временный доступ к ресурсам;
  • обновить их методы, используя права администратора. Для этого выберите пользователя на портале Azure, затем выберите методы проверки подлинности и обновите методы пользователей. Информирование пользователей

Планирование интеграции журналов с локальными системами

Приложения, которые проходят проверку подлинности напрямую с помощью Azure AD, имеют современную проверку подлинности (WS-подача, SAML, OAuth, OpenID Connect) и могут использовать политики условного доступа. Некоторые устаревшие и локальные приложения не проходят проверку подлинности непосредственно в Azure AD и требуют дополнительных действий для использования многофакторной проверки подлинности Azure AD. Их можно интегрировать с помощью прокси-сервера приложений Azure AD или служб сетевых политик.

Интеграция с ресурсами AD FS

Мы рекомендуем перенести приложения, защищенные с помощью службы федерации Active Directory (AD FS), в Azure AD. Однако если вы не готовы переносить эти данные в Azure AD, можно использовать адаптер многофакторной проверки подлинности Azure с AD FS 2016 или более поздней версии.

Если ваша организация состоит в федерации с Azure AD, вы можете настроить многофакторную проверку подлинности Azure AD в качестве поставщика проверки подлинности для ресурсов AD FS как локально, так и в облаке.

Клиенты RADIUS и многофакторная проверка подлинности Azure AD

Для приложений, использующих проверку подлинности RADIUS, рекомендуется перевести клиентские приложения в современные протоколы, такие как SAML, Open ID Connect или OAuth в Azure AD. Если приложение нельзя обновить, можно развернуть сервер сетевой политики (NPS) с расширением Azure MFA. Расширение сервера сетевой политики (NPS) выступает в качестве адаптера между приложениями на основе RADIUS и Azure AD MFA, обеспечивая дополнительный уровень проверки подлинности.

Общие интеграции

Многие поставщики теперь поддерживают проверку подлинности SAML для своих приложений. По возможности рекомендуется включить эти приложения в Azure AD и настроить MFA с помощью условного доступа. Если поставщик не поддерживает современные методы проверки подлинности, можно использовать расширение NPS. Обычные интеграции клиентов RADIUS включают такие приложения, как шлюзы удаленного рабочего стола и VPN-серверы.

Другие интеграции:

  • Шлюз Citrix

    Шлюз Citrix поддерживает интеграцию расширений RADIUS и NPS, а также интеграцию SAML.

  • Cisco VPN

    • Cisco VPN поддерживает проверку подлинности RADIUS и SAML для единого входа.
    • Переход от проверки подлинности RADIUS к SAML позволяет интегрировать Cisco VPN без развертывания расширения NPS.
  • Все VPN

Развертывание многофакторной проверки подлинности Azure AD

План выпуска многофакторной проверки подлинности Azure AD должен предусматривать пилотное развертывание, за которым следуют волны развертывания, не выходящие за пределы доступной вам емкости. Начните развертывание, применив политики условного доступа к небольшой группе пилотных пользователей. После оценки влияния на пилотных пользователей, используемого процесса и вариантов поведения при регистрации можно добавить дополнительные группы в политику или дополнительных пользователей в существующие группы.

Выполните инструкции, описанные ниже.

  1. Обеспечьте соблюдение необходимых предварительных требований
  2. Настройте выбранные методы проверки подлинности.
  3. Настройте политики условного доступа.
  4. Настройте параметры времени существования сеанса
  5. Настройте политики регистрации Azure AD MFA

Управление многофакторной проверкой подлинности Azure AD

В этом разделе приведены сведения о создании отчетов и устранении неполадок для многофакторной проверкой подлинности Azure AD.

Создание отчетов и мониторинг

В Azure AD есть отчеты, предоставляющие техническую информацию и бизнес-аналитику. Отслеживайте ход выполнения развертывания и проверяйте, успешно ли выполняют пользователи вход с помощью MFA. Предложите владельцам технических и бизнес-приложений принять на себя ответственность за эти отчеты и использовать их в соответствии с требованиями вашей организации.

Вы можете отслеживать регистрацию и использование метода проверки подлинности в своей организации с помощью панели мониторинга действий для методов проверки подлинности. Это поможет понять, какие методы зарегистрированы и как они используются.

Отчет о входе для просмотра событий MFA

В отчетах о входе Azure AD представлены сведения о проверке подлинности для событий, когда пользователю предлагается выполнить MFA, и о том, использовались ли какие-либо политики условного доступа. Вы также можете использовать PowerShell для создания отчетов по пользователям, зарегистрированным для использования многофакторной проверки подлинности Azure AD.

Расширение NPS и журналы AD FS можно просматривать в разделе Безопасность>MFA>Отчет о действиях.

Дополнительные сведения и дополнительные отчеты по многофакторной проверке подлинности Azure AD см. в статье Просмотр событий многофакторной проверки подлинности Azure AD.

Устранение неполадок с многофакторной проверкой подлинности Azure AD

Описание распространенных проблем см. в статье Устранение неполадок с многофакторной проверкой подлинности Azure AD.

Следующие шаги

Развертывание других функций удостоверений