Руководство по Защита событий входа с помощью Многофакторной идентификации Azure AD

Многофакторная проверка подлинности (MFA) — это процесс, в котором пользователю предлагаются дополнительные варианты идентификации во время события входа. Например, может быть предложено ввести код с мобильного телефона или пройти сканирование отпечатка пальца. Требование второго варианта идентификации повышает безопасность, так как злоумышленнику будет нелегко получить или скопировать дополнительный фактор проверки.

Многофакторная проверка подлинности Azure AD и политики условного доступа обеспечивают гибкость при включении MFA для пользователей при определенных событиях входа. Общие сведения об MFA см. в этом видео: Как настраивать и применять многофакторную проверку подлинности в клиенте.

Важно!

В этом руководстве показано, как администраторы могут включить Многофакторную идентификацию Azure AD.

Если ваша ИТ-команда не включила возможность использования многофакторной проверки подлинности Azure AD или у вас возникли проблемы во время входа, обратитесь в службу технической поддержки за дополнительной помощью.

Из этого руководства вы узнаете, как выполнить следующие задачи:

  • Создание политики условного доступа для включения многофакторной проверки подлинности Azure AD для группы пользователей.
  • Настройка условий политики, запрашивающих MFA.
  • Проверка настройки и использования многофакторной проверки подлинности в качестве пользователя.

Предварительные требования

Для работы с этим учебником требуются следующие ресурсы и разрешения:

  • Рабочий клиент Azure AD, для которого включена по меньшей мере лицензия Azure AD Premium P1 или пробная лицензия.

  • Учетная запись с привилегиями глобального администратора. Некоторыми параметрами MFA также может управлять администратор политик проверки подлинности. Дополнительные сведения см. в статье Администратор политики проверки подлинности.

  • Учетная запись без прав администратора с известным вам паролем. Для этого учебника мы создали такую учетную запись под названием testuser. В этом учебнике вы протестируете пользовательский интерфейс настройки и использования многофакторной проверки подлинности Azure AD.

  • Группа, в которую входит пользователь без прав администратора. Для этого учебника мы создали такую группу под названием MFA-Test-Group. В этом учебнике вы включите многофакторную проверку подлинности Azure AD для этой группы.

Создание политики условного доступа

Рекомендуемый способ включения и использования Многофакторной идентификации Azure AD — с помощью политик условного доступа. Условный доступ позволяет создавать и определять политики, реагирующие на события входа, которые запрашивают дополнительные действия перед предоставлением пользователю доступа к приложению или службе.

Overview diagram of how Conditional Access works to secure the sign-in process

Политики условного доступа можно применять к конкретным пользователям, группам и приложениям. Их целью является защита вашей организации и одновременное обеспечение необходимых уровней доступа пользователей.

В этом учебнике мы создадим базовую политику условного доступа для запроса MFA при входе пользователя на портал Azure. В одном из следующих учебников этой серии мы настроим многофакторную проверку подлинности Azure AD с помощью политики условного доступа на основе рисков.

Сначала создайте политику условного доступа и назначьте тестовую группу пользователей следующим образом.

  1. Войдите на портал Azure с учетной записью с разрешениями глобального администратора.

  2. Найдите и выберите Azure Active Directory. Затем выберите Безопасность в левой части меню.

  3. Выберите Условный доступ, затем Новая политика и Создать политику.

    A screenshot of the Conditional Access page, where you select 'New policy' and then select 'Create new policy'.

  4. Введите имя политики, например MFA Pilot.

  5. В разделе Назначения выберите текущее значение в пункте Пользователи или удостоверения рабочей нагрузки.

    A screenshot of the Conditional Access page, where you select the current value under 'Users or workload identities'.

  6. Убедитесь, что в пункте К кому применяется эта политика? выбрано Пользователи и группы.

  7. В пункте Включить выберите Выбрать пользователей или группы, а затем — Пользователи и группы.

    A screenshot of the page for creating a new policy, where you select options to specify users and groups.

    Поскольку они еще не назначены, автоматически откроется список пользователей и групп (как показано на следующем этапе).

  8. Найдите и выберите соответствующую группу AAD, например MFA-Test-Group, а затем щелкните Выбрать.

    A screenshot of the list of users and groups, with results filtered by the letters M F A, and 'MFA-Test-Group' selected.

Мы выбрали группу, к которой необходимо применить политику. В следующем разделе мы настроим условия, при которых она будет применяться.

Настройка условий для многофакторной проверки подлинности

Создав политику условного доступа и назначив тестовую группу пользователей, определите облачные приложения или действия, активирующие политику. Эти облачные приложения или действия представляют собой сценарии, для которых вы хотите определить такую дополнительную обработку, как запрос многофакторной проверки подлинности. Например, вы могли решить, что для доступа к финансовому приложению или средствам управления требуется дополнительный запрос проверки подлинности.

Настройка приложений, для которых требуется многофакторная проверка подлинности

Для этого учебника настройте политику условного доступа, которая будет требовать многофакторную проверку подлинности при входе пользователя на портал Azure.

  1. Выберите текущее значение в разделе Облачные приложения или действия и убедитесь, что в пункте Выбрать объект, к которому будет применяться эта политика выбрано Облачные приложения.

  2. В списке Включить нажмите Выбрать приложения.

    Поскольку приложения еще не выбраны, автоматически откроется список приложений (как показано на следующем этапе).

    Совет

    Вы можете применить политику условного доступа ко всем облачным приложениям или только к выбранным приложениям. Для обеспечения гибкости можно также исключить определенные приложения из политики.

  3. Просмотрите список доступных событий входа, которые можно использовать. Для этого учебника выберите Управление Microsoft Azure, чтобы политика применялась к событиям входа на портал Azure. Затем щелкните Выбрать.

    A screenshot of the Conditional Access page, where you select the app, Microsoft Azure Management, to which the new policy will apply.

Настройка многофакторной проверки подлинности для доступа

Теперь настроим элементы управления доступом. Они позволяют определять требования к пользователю для предоставления доступа. Они также необходимы для использования утвержденного клиентского приложения или устройства с гибридным подключением к Azure AD.

В этом учебнике вы настроите элементы управления доступом для требования многофакторной проверки подлинности во время событий входа на портал Azure.

  1. В разделе Элементы управления доступом выберите текущее значение в пункте Предоставление разрешения, а затем нажмите Предоставить доступ.

    A screenshot of the Conditional Access page, where you select 'Grant' and then select 'Grant access'.

  2. Выберите Требовать многофакторную проверку подлинности, а затем нажмите Выбрать.

    A screenshot of the options for granting access, where you select 'Require multi-factor authentication'.

Активация политики

Для политик условного доступа можно задать параметр Только отчет, если вы хотите узнать, как эта конфигурация повлияет на пользователей, или Выключено, если вы не хотите сейчас ее использовать. Так как в этом учебнике используется тестовая группа пользователей, давайте включим политику и проверим многофакторную проверку подлинности Azure AD.

  1. В разделе Включить политику нажмите кнопку Вкл.

    A screenshot of the control that's near the bottom of the web page where you specify whether the policy is enabled.

  2. Чтобы применить политику условного доступа, выберите Создать.

Проверка Многофакторной идентификации Azure AD

Давайте посмотрим на политику условного доступа и Многофакторную идентификацию Azure AD в действии.

Сначала войдите в ресурс, который не требует MFA:

  1. Откройте новое окно браузера в режиме InPrivate или в режиме инкогнито, а затем перейдите по адресу https://account.activedirectory.windowsazure.com.

    Приватный режим браузера защитит событие входа от влияния существующих учетных данных.

  2. Выполните вход с помощью тестового пользователя без прав администратора, например testuser. Не забудьте включить @ и доменное имя в учетной записи пользователя.

    При первом входе в эту учетную запись появится запрос на изменение пароля. Однако запросы на настройку или использование многофакторной проверки подлинности не появляются.

  3. Закройте окно браузера.

Вы настроили политику условного доступа на требование дополнительной проверки подлинности для портала Azure. Благодаря такой конфигурации у вас появится запрос на использование многофакторной проверки подлинности Azure AD или на настройку этого метода, если она у вас еще не подключена. Проверьте, как работает это новое требование, выполнив вход на портал Azure:

  1. Откройте новое окно браузера в анонимном режиме или в режиме InPrivate и перейдите по ссылке: https://portal.azure.com.

  2. Выполните вход с помощью тестового пользователя без прав администратора, например testuser. Не забудьте включить @ и доменное имя в учетной записи пользователя.

    Для использования Многофакторной идентификации Azure AD необходимо зарегистрироваться.

    A prompt that says 'More information required.' This is a prompt to configure a method of multi-factor authentication for this user.

  3. Нажмите Далее, чтобы запустить процесс.

    Для проверки подлинности можно настроить номер мобильного или рабочего телефона, а также мобильное приложение. Телефон для проверки подлинности поддерживает текстовые сообщения и звонки, рабочий телефон поддерживает звонки на номера с расширением, а мобильное приложение поддерживает получение уведомлений для проверки подлинности или создание кодов проверки подлинности в приложении.

    A prompt that says, 'Additional security verification.' This is a prompt to configure a method of multi-factor authentication for this user. You can choose as the method an authentication phone, an office phone, or a mobile app.

  4. Выполните инструкции на экране, чтобы настроить выбранный метод многофакторной проверки подлинности.

  5. Закройте окно браузера и выполните повторный вход по адресу https://portal.azure.com, чтобы проверить настроенный метод проверки подлинности. Например, если для проверки подлинности вы настроили мобильное приложение, вы увидите подсказку следующего типа.

    To sign in, follow the prompts in your browser and then the prompt on the device that you registered for multi-factor authentication.

  6. Закройте окно браузера.

Очистка ресурсов

Если вы больше не хотите использовать политику условного доступа, которую вы настроили в рамках этого учебника, удалите ее, выполнив следующие действия:

  1. Войдите на портал Azure.

  2. Найдите и выберите Azure Active Directory, а затем выберите Безопасность в левой части меню.

  3. Выберите Условный доступ, а затем — созданную политику, например MFA Pilot.

  4. Нажмите Удалить и подтвердите, что хотите удалить политику.

    To delete the Conditional Access policy that you've opened, select Delete which is located under the name of the policy.

Дальнейшие действия

В этом учебнике вы включили многофакторную проверку подлинности Azure AD с помощью политик условного доступа для выбранной группы пользователей. Вы ознакомились с выполнением следующих задач:

  • Создание политики условного доступа для включения многофакторной проверки подлинности Azure AD для группы пользователей Azure AD.
  • Настройка условий политики, запрашивающих многофакторную проверку подлинности.
  • Проверка настройки и использования многофакторной проверки подлинности в качестве пользователя.