Руководство по Защита событий входа с помощью Многофакторной идентификации Azure AD

Многофакторная идентификация (MFA) — это процесс во время события входа, в котором пользователю предлагаются дополнительные варианты идентификации. Может быть предложено ввести код с мобильного телефона или пройти проверку отпечатка пальца. Требование применять второй метод проверки подлинности повышает безопасность, так как злоумышленнику будет нелегко получить или скопировать дополнительный фактор проверки.

Многофакторная идентификация Azure AD и политики условного доступа обеспечивают гибкую поддержку MFA для пользователей во время определенных событий входа. Просмотрите это короткое видео о том, как настраивать и применять многофакторную проверку подлинности в клиенте. (Рекомендуется)

Важно!

В этом руководстве показано, как администраторы могут включить Многофакторную идентификацию Azure AD.

Если ваша ИТ-команда не включила возможность использования Многофакторной идентификации Azure AD или у вас возникли проблемы во время входа, обратитесь в службу поддержки за дополнительной помощью.

Из этого руководства вы узнаете, как выполнить следующие задачи:

  • Создание политики условного доступа для включения Многофакторной идентификации Azure AD для группы пользователей.
  • Настройка условий политики, запрашивающих MFA.
  • Тестирование процесса MFA в качестве пользователя.

Предварительные требования

Для работы с этим учебником требуются следующие ресурсы и разрешения:

  • Рабочий клиент Azure AD, для которого включена по меньшей мере лицензия Azure AD Premium P1 или пробная лицензия.
  • Учетная запись с привилегиями глобального администратора. Некоторыми параметрами MFA также может управлять администратор политик проверки подлинности. Дополнительные сведения см. в статье Администратор политики проверки подлинности.
  • Тестовый пользователь без прав администратора, пароль которого вам известен, например testuser. В этом руководстве показано, как протестировать работу пользователей с Многофакторной идентификацией Azure AD, используя эту учетную запись.
  • Группа, в которую входит пользователь без прав администратора, например MFA-Test-Group. В этом руководстве показано, как включить Многофакторную идентификацию Azure AD для этой группы.

Создание политики условного доступа

Рекомендуемый способ включения и использования Многофакторной идентификации Azure AD — с помощью политик условного доступа. Условный доступ позволяет создавать и определять политики, реагирующие на события входа, и запрашивать дополнительные действия, прежде чем пользователю будет предоставлен доступ к приложению или службе.

Overview diagram of how Conditional Access works to secure the sign-in process

Политики условного доступа могут быть детализированными и точными, чтобы обеспечить эффективность работы пользователей везде и всегда, а также чтобы защитить вашу организацию. В этом руководстве мы создадим базовую политику условного доступа для запроса MFA при входе пользователя на портал Azure. В следующем руководстве этого цикла показано, как настроить Многофакторную идентификацию Azure AD с помощью политики условного доступа на основе рисков.

Сначала создайте политику условного доступа и назначьте тестовую группу пользователей следующим образом.

  1. Войдите на портал Azure, используя учетную запись с правами глобального администратора.

  2. Найдите и выберите Azure Active Directory, а затем — раздел Безопасность в меню слева.

  3. Выберите Условный доступ, а затем выберите + Новая политика.

  4. Введите имя политики, например MFA Pilot.

  5. В разделе Назначения выберите Пользователи и группы и щелкните переключатель Выбрать пользователей и группы.

  6. Установите флажок Пользователи и группы, а затем щелкните Выбрать, чтобы просмотреть доступных пользователей и группы Azure AD.

  7. Найдите и выберите соответствующую группу AAD, например MFA-Test-Group, а затем щелкните Выбрать.

    Select your Azure AD group to use with the Conditional Access policy

  8. Чтобы применить политику условного доступа к этой группе, выберите Готово.

Настройка условий для многофакторной проверки подлинности

Создав политику условного доступа и назначив тестовую группу пользователей, определите облачные приложения или действия, которые активируют эту политику. Эти облачные приложения или действия представляют собой сценарии, в которых вы решили добавить дополнительную обработку, например запрос MFA. Например, вы могли решить, что для доступа к финансовому приложению или использования инструментов управления требуется дополнительная проверка.

В этом руководстве вы настроите политику условного доступа для запроса MFA при входе пользователя на портал Azure.

  1. Выберите Облачные приложения или действия. Вы можете применить политику условного доступа ко всем облачным приложениям или только к выбранным приложениям. Для обеспечения гибкости можно также исключить определенные приложения из политики.

    В рамках этого руководства на странице Включить выберите переключатель Выбрать приложения.

  2. Щелкните Выбрать, а затем просмотрите список доступных событий входа, которые можно использовать.

    В рамках этого руководства выберите Microsoft Azure Management, чтобы политика применялась к событиям входа на портал Azure.

  3. Чтобы применить выбранные приложения, щелкните Выбрать, а затем — Готово.

    Select the Microsoft Azure Management app to include in the Conditional Access policy

Элементы управления доступом позволяют определить требования для предоставления доступа пользователю. Например, может требоваться утвержденное клиентское приложение или устройство, присоединенное к гибридной среде Azure AD. В рамках этого руководства вы настроите элементы управления доступом для требования прохождения MFA во время события входа на портал Azure.

  1. В разделе Элементы управления доступом выберите Предоставить и убедитесь, что выбран переключатель Предоставить доступ.
  2. Установите флажок Требовать многофакторную проверку подлинности, затем щелкните Выбрать.

Для политик условного доступа можно задать параметр Только отчет, если вы хотите узнать, как конфигурация повлияет на пользователей, или параметр Отключить, если вы не хотите использовать политику прямо сейчас. Так как тестовая группа пользователей для работы с этим руководством выбрана, давайте включим политику, а затем проверим работу Многофакторной идентификации Azure AD.

  1. Для переключателя Включить политику установите значение Вкл.
  2. Чтобы применить политику условного доступа, выберите Создать.

Проверка Многофакторной идентификации Azure AD

Давайте посмотрим на политику условного доступа и Многофакторную идентификацию Azure AD в действии. Сначала войдите в ресурс, который не требует MFA, следующим образом.

  1. Откройте новое окно браузера в анонимном режиме или в режиме InPrivate и перейдите по ссылке: https://account.activedirectory.windowsazure.com.
  2. Выполните вход с помощью тестового пользователя без прав администратора, например testuser. Запрос на выполнение MFA не отобразится.
  3. Закройте окно браузера.

Войдите на портал Azure. Так как для портала Azure в политике условного доступа была настроена дополнительная проверка, вы увидите запрос на многофакторную проверку подлинности Azure AD.

  1. Откройте новое окно браузера в анонимном режиме или в режиме InPrivate и перейдите по ссылке: https://portal.azure.com.

  2. Выполните вход с помощью тестового пользователя без прав администратора, например testuser. Для использования Многофакторной идентификации Azure AD необходимо зарегистрироваться. Следуйте инструкциям на экране, чтобы завершить процесс и подтвердить успешный вход на портал Azure.

    Follow the browser prompts and then on your registered multi-factor authentication prompt to sign in

  3. Закройте окно браузера.

Очистка ресурсов

Если вы больше не хотите использовать политику условного доступа для включения Многофакторной идентификации Azure AD, настроенную с помощью этого руководства, удалите эту политику, выполнив следующие действия.

  1. Войдите на портал Azure.
  2. Найдите и выберите Azure Active Directory, а затем — раздел Безопасность в меню слева.
  3. Выберите Условный доступ, а затем выберите созданную политику, например MFA Pilot.
  4. Выберите Удалить, а затем подтвердите удаление политики.

Дальнейшие действия

Из этого руководство вы узнали, как включить Многофакторную идентификацию Azure AD для выбранной группы пользователей с помощью политик условного доступа. Вы ознакомились с выполнением следующих задач:

  • Создание политики условного доступа для включения Многофакторной идентификации Azure AD для группы пользователей Azure AD
  • Настройка условий политики, запрашивающих MFA.
  • Тестирование процесса MFA в качестве пользователя.