Руководство по Защита событий входа с помощью Многофакторной идентификации Azure ADTutorial: Secure user sign-in events with Azure AD Multi-Factor Authentication

Многофакторная идентификация (MFA) — это процесс во время события входа, в котором пользователю предлагаются дополнительные варианты идентификации.Multi-factor authentication (MFA) is a process where a user is prompted during a sign-in event for additional forms of identification. Может быть предложено ввести код с мобильного телефона или пройти проверку отпечатка пальца.This prompt could be to enter a code on their cellphone or to provide a fingerprint scan. Требование применять второй метод проверки подлинности повышает безопасность, так как злоумышленнику будет нелегко получить или скопировать дополнительный фактор проверки.When you require a second form of authentication, security is increased as this additional factor isn't something that's easy for an attacker to obtain or duplicate.

Многофакторная идентификация Azure AD и политики условного доступа обеспечивают гибкую поддержку MFA для пользователей во время определенных событий входа.Azure AD Multi-Factor Authentication and Conditional Access policies give the flexibility to enable MFA for users during specific sign-in events.

Важно!

В этом руководстве показано, как администраторы могут включить Многофакторную идентификацию Azure AD.This tutorial shows an administrator how to enable Azure AD Multi-Factor Authentication.

Если ваша ИТ-команда не включила возможность использования Многофакторной идентификации Azure AD или у вас возникли проблемы во время входа, обратитесь в службу поддержки за дополнительной помощью.If your IT team hasn't enabled the ability to use Azure AD Multi-Factor Authentication or you have problems during sign-in, reach out to your helpdesk for additional assistance.

Из этого руководства вы узнаете, как выполнить следующие задачи:In this tutorial you learn how to:

  • Создание политики условного доступа для включения Многофакторной идентификации Azure AD для группы пользователей.Create a Conditional Access policy to enable Azure AD Multi-Factor Authentication for a group of users
  • Настройка условий политики, запрашивающих MFA.Configure the policy conditions that prompt for MFA
  • Тестирование процесса MFA в качестве пользователя.Test the MFA process as a user

Предварительные требованияPrerequisites

Для работы с этим учебником требуются следующие ресурсы и разрешения:To complete this tutorial, you need the following resources and privileges:

  • Рабочий клиент Azure AD, для которого включена по меньшей мере лицензия Azure AD Premium P1 или пробная лицензия.A working Azure AD tenant with at least an Azure AD Premium P1 or trial license enabled.
  • Учетная запись с привилегиями глобального администратора.An account with global administrator privileges.
  • Тестовый пользователь без прав администратора, пароль которого вам известен, например testuser.A non-administrator user with a password you know, such as testuser. В этом руководстве показано, как протестировать работу пользователей с Многофакторной идентификацией Azure AD, используя эту учетную запись.You test the end-user Azure AD Multi-Factor Authentication experience using this account in this tutorial.
  • Группа, в которую входит пользователь без прав администратора, например MFA-Test-Group.A group that the non-administrator user is a member of, such as MFA-Test-Group. В этом руководстве показано, как включить Многофакторную идентификацию Azure AD для этой группы.You enable Azure AD Multi-Factor Authentication for this group in this tutorial.

Создание политики условного доступаCreate a Conditional Access policy

Рекомендуемый способ включения и использования Многофакторной идентификации Azure AD — с помощью политик условного доступа.The recommended way to enable and use Azure AD Multi-Factor Authentication is with Conditional Access policies. Условный доступ позволяет создавать и определять политики, реагирующие на события входа, и запрашивать дополнительные действия, прежде чем пользователю будет предоставлен доступ к приложению или службе.Conditional Access lets you create and define policies that react to sign in events and request additional actions before a user is granted access to an application or service.

Обзорная схема защиты процесса входа с помощью условного доступа

Политики условного доступа могут быть детализированными и точными, чтобы обеспечить эффективность работы пользователей везде и всегда, а также чтобы защитить вашу организацию.Conditional Access policies can be granular and specific, with the goal to empower users to be productive wherever and whenever, but also protect your organization. В этом руководстве мы создадим базовую политику условного доступа для запроса MFA при входе пользователя на портал Azure.In this tutorial, let's create a basic Conditional Access policy to prompt for MFA when a user signs in to the Azure portal. В следующем руководстве этого цикла показано, как настроить Многофакторную идентификацию Azure AD с помощью политики условного доступа на основе рисков.In a later tutorial in this series, you configure Azure AD Multi-Factor Authentication using a risk-based Conditional Access policy.

Сначала создайте политику условного доступа и назначьте тестовую группу пользователей следующим образом.First, create a Conditional Access policy and assign your test group of users as follows:

  1. Войдите на портал Azure, используя учетную запись с правами глобального администратора.Sign in to the Azure portal using an account with global administrator permissions.

  2. Найдите и выберите Azure Active Directory, а затем — раздел Безопасность в меню слева.Search for and select Azure Active Directory, then choose Security from the menu on the left-hand side.

  3. Выберите Условный доступ, а затем выберите + Новая политика.Select Conditional Access, then choose + New policy.

  4. Введите имя политики, например MFA Pilot.Enter a name for the policy, such as MFA Pilot.

  5. В разделе Назначения выберите Пользователи и группы и щелкните переключатель Выбрать пользователей и группы.Under Assignments, choose Users and groups, then the Select users and groups radio button.

  6. Установите флажок Пользователи и группы, а затем щелкните Выбрать, чтобы просмотреть доступных пользователей и группы Azure AD.Check the box for Users and groups, then Select to browse the available Azure AD users and groups.

  7. Найдите и выберите соответствующую группу AAD, например MFA-Test-Group, а затем щелкните Выбрать.Browse for and select your Azure AD group, such as MFA-Test-Group, then choose Select.

    Выбор группы Azure AD для применения политики условного доступа Select your Azure AD group to use with the Conditional Access policy

  8. Чтобы применить политику условного доступа к этой группе, выберите Готово.To apply the Conditional Access policy for the group, select Done.

Настройка условий для многофакторной проверки подлинностиConfigure the conditions for multi-factor authentication

Создав политику условного доступа и назначив тестовую группу пользователей, определите облачные приложения или действия, которые активируют эту политику.With the Conditional Access policy created and a test group of users assigned, now define the cloud apps or actions that trigger the policy. Эти облачные приложения или действия представляют собой сценарии, в которых вы решили добавить дополнительную обработку, например запрос MFA.These cloud apps or actions are the scenarios you decide require additional processing, such as to prompt for MFA. Например, вы могли решить, что для доступа к финансовому приложению или использования инструментов управления требуется дополнительная проверка.For example, you could decide that access to a financial application or use of management tools requires as an additional verification prompt.

В этом руководстве вы настроите политику условного доступа для запроса MFA при входе пользователя на портал Azure.For this tutorial, configure the Conditional Access policy to require MFA when a user signs in to the Azure portal.

  1. Выберите Облачные приложения или действия.Select Cloud apps or actions. Вы можете применить политику условного доступа ко всем облачным приложениям или только к выбранным приложениям.You can choose to apply the Conditional Access policy to All cloud apps or Select apps. Для обеспечения гибкости можно также исключить определенные приложения из политики.To provide flexibility, you can also exclude certain apps from the policy.

    В рамках этого руководства на странице Включить выберите переключатель Выбрать приложения.For this tutorial, on the Include page, choose the Select apps radio button.

  2. Щелкните Выбрать, а затем просмотрите список доступных событий входа, которые можно использовать.Choose Select, then browse the list of available sign-in events that can be used.

    В рамках этого руководства выберите Microsoft Azure Management, чтобы политика применялась к событиям входа на портал Azure.For this tutorial, choose Microsoft Azure Management so the policy applies to sign-in events to the Azure portal.

  3. Чтобы применить выбранные приложения, щелкните Выбрать, а затем — Готово.To apply the select apps, choose Select, then Done.

    Выбор приложения Microsoft Azure Management для включения в политику условного доступа

Элементы управления доступом позволяют определить требования для предоставления доступа пользователю. Например, может требоваться утвержденное клиентское приложение или устройство, присоединенное к гибридной среде Azure AD.Access controls let you define the requirements for a user to be granted access, such as needing an approved client app or using a device that's Hybrid Azure AD joined. В рамках этого руководства вы настроите элементы управления доступом для требования прохождения MFA во время события входа на портал Azure.In this tutorial, configure the access controls to require MFA during a sign-in event to the Azure portal.

  1. В разделе Элементы управления доступом выберите Предоставить и убедитесь, что выбран переключатель Предоставить доступ.Under Access controls, choose Grant, then make sure the Grant access radio button is selected.
  2. Установите флажок Требовать многофакторную проверку подлинности, затем щелкните Выбрать.Check the box for Require multi-factor authentication, then choose Select.

Для политик условного доступа можно задать параметр Только отчет, если вы хотите узнать, как конфигурация повлияет на пользователей, или параметр Отключить, если вы не хотите использовать политику прямо сейчас.Conditional Access policies can be set to Report-only if you want to see how the configuration would impact users, or Off if you don't want to the use policy right now. Так как тестовая группа пользователей для работы с этим руководством выбрана, давайте включим политику, а затем проверим работу Многофакторной идентификации Azure AD.As a test group of users was targeted for this tutorial, lets enable the policy and then test Azure AD Multi-Factor Authentication.

  1. Для переключателя Включить политику установите значение Вкл.Set the Enable policy toggle to On.
  2. Чтобы применить политику условного доступа, выберите Создать.To apply the Conditional Access policy, select Create.

Проверка Многофакторной идентификации Azure ADTest Azure AD Multi-Factor Authentication

Давайте посмотрим на политику условного доступа и Многофакторную идентификацию Azure AD в действии.Let's see your Conditional Access policy and Azure AD Multi-Factor Authentication in action. Сначала войдите в ресурс, который не требует MFA, следующим образом.First, sign in to a resource that doesn't require MFA as follows:

  1. Откройте новое окно браузера в анонимном режиме или в режиме InPrivate и перейдите по ссылке: https://account.activedirectory.windowsazure.com.Open a new browser window in InPrivate or incognito mode and browse to https://account.activedirectory.windowsazure.com
  2. Выполните вход с помощью тестового пользователя без прав администратора, например testuser.Sign in with your non-administrator test user, such as testuser. Запрос на выполнение MFA не отобразится.There's no prompt for you to complete MFA.
  3. Закройте окно браузера.Close the browser window.

Войдите на портал Azure.Now sign in to the Azure portal. Так как для портала Azure в политике условного доступа была настроена дополнительная проверка, вы увидите запрос на многофакторную проверку подлинности Azure AD.As the Azure portal was configured in the Conditional Access policy to require additional verification, you get an Azure AD Multi-Factor Authentication prompt.

  1. Откройте новое окно браузера в анонимном режиме или в режиме InPrivate и перейдите по ссылке: https://portal.azure.com.Open a new browser window in InPrivate or incognito mode and browse to https://portal.azure.com.

  2. Выполните вход с помощью тестового пользователя без прав администратора, например testuser.Sign in with your non-administrator test user, such as testuser. Для использования Многофакторной идентификации Azure AD необходимо зарегистрироваться.You're required to register for and use Azure AD Multi-Factor Authentication. Следуйте инструкциям на экране, чтобы завершить процесс и подтвердить успешный вход на портал Azure.Follow the prompts to complete the process and verify you successfully sign in to the Azure portal.

    Следуйте указаниям в браузере, а затем — в зарегистрированном запросе на многофакторную проверку подлинности, чтобы выполнить вход.

  3. Закройте окно браузера.Close the browser window.

Очистка ресурсовClean up resources

Если вы больше не хотите использовать политику условного доступа для включения Многофакторной идентификации Azure AD, настроенную с помощью этого руководства, удалите эту политику, выполнив следующие действия.If you no longer want to use the Conditional Access policy to enable Azure AD Multi-Factor Authentication configured as part of this tutorial, delete the policy using the following steps:

  1. Войдите на портал Azure.Sign in to the Azure portal.
  2. Найдите и выберите Azure Active Directory, а затем — раздел Безопасность в меню слева.Search for and select Azure Active Directory, then choose Security from the menu on the left-hand side.
  3. Выберите Условный доступ, а затем выберите созданную политику, например MFA Pilot.Select Conditional access, then choose the policy you created, such as MFA Pilot
  4. Выберите Удалить, а затем подтвердите удаление политики.Choose Delete, then confirm you wish to delete the policy.

Дальнейшие действияNext steps

Из этого руководство вы узнали, как включить Многофакторную идентификацию Azure AD для выбранной группы пользователей с помощью политик условного доступа.In this tutorial, you enabled Azure AD Multi-Factor Authentication using Conditional Access policies for a selected group of users. Вы ознакомились с выполнением следующих задач:You learned how to:

  • Создание политики условного доступа для включения Многофакторной идентификации Azure AD для группы пользователей Azure ADCreate a Conditional Access policy to enable Azure AD Multi-Factor Authentication for a group of Azure AD users
  • Настройка условий политики, запрашивающих MFA.Configure the policy conditions that prompt for MFA
  • Тестирование процесса MFA в качестве пользователя.Test the MFA process as a user