Планирование развертывания многофакторной проверки подлинности
Прежде чем приступить к развертыванию многофакторной проверки подлинности Microsoft Entra, необходимо решить несколько действий.
Во первых, рекомендуется развертывать MFA волнами. Начните с небольшой группы пилотных пользователей, чтобы оценить сложность среды и выявить проблемы с настройкой либо неподдерживаемые приложения или устройства. Затем расширьте группу с течением времени и оцените результаты с каждым проходом до регистрации всей компании.
Далее создайте полный план взаимодействия. Многофакторная проверка подлинности Microsoft Entra имеет несколько требований взаимодействия с пользователем, включая процесс регистрации. Следите за тем, чтобы пользователи были информированы о каждом шаге. Сообщите им, что они должны делать, важные даты и как получить ответы на вопросы, если у них возникли проблемы. Корпорация Майкрософт предоставляет шаблоны коммуникаций для создания проектов коммуникаций, включая плакаты и шаблоны электронной почты.
Политики многофакторной проверки подлинности Microsoft Entra
Многофакторная проверка подлинности Microsoft Entra применяется с политиками условного доступа . Политики условного доступа представляют собой операторы IF-THEN. ЕСЛИ пользователь хочет получить доступ к ресурсу, ТО он должен выполнить действие. Например, диспетчер заработной платы хочет получить доступ к приложению заработной платы и требуется для выполнения многофакторной проверки подлинности для доступа к нему. К другим распространенным запросам на доступ, которые могут требовать MFA, относятся следующие:
- если осуществляется доступ к конкретному облачному приложению;
- если пользователь обращается к определенной сети;
- если пользователь обращается к конкретному клиентскому приложению;
- если пользователь регистрирует новое устройство.
Выбор поддерживаемых методов проверки подлинности
При включении многофакторной проверки подлинности Microsoft Entra можно выбрать методы проверки подлинности, которые необходимо сделать доступными. Всегда следует обеспечить поддержку нескольких методов, чтобы у пользователей был запасной вариант на случай, если основной метод недоступен. Для выбора доступны следующие методы.
| Метод | Description |
|---|---|
| Код проверки в мобильном приложении | Мобильное приложение проверки подлинности, например приложение Microsoft Authenticator, можно использовать для получения кода проверки OATH, который затем вводится в интерфейс входа. Этот код изменяется каждые 30 секунд, а само приложение работает даже при ограниченных возможностях подключения. Этот подход не работает в Китае на устройствах Android. |
| Уведомление мобильного приложения | Azure может отправить push-уведомление в мобильное приложение проверки подлинности, например Microsoft Authenticator. Пользователь может выбрать push-уведомление и проверить вход. |
| Звонок на телефон | Azure может позвонить по указанному номеру телефона. Затем пользователь подтверждает проверку подлинности с помощью клавиатуры. Этот метод предпочтителен для резервных копий. |
| Ключ безопасности FIDO2 | Ключи безопасности FIDO2 — это нефишируемый метод проверки подлинности без пароля на основе стандартов. Эти ключи обычно являются USB-устройствами, но также могут использовать Bluetooth или NFC. |
| Windows Hello для бизнеса | Windows Hello для бизнеса использует надежную двухфакторную проверку подлинности на устройствах вместо паролей. Эта проверка подлинности состоит из типа учетных данных пользователя, привязанных к устройству, и использует биография метрику или ПИН-код. |
| OATH-токены | Токены OATH могут быть программными приложениями, такими как приложение Microsoft Authenticator и другие приложения проверки подлинности, или аппаратные маркеры, которые клиенты могут приобретать у разных поставщиков. |
Администратор istrator может включить один или несколько этих вариантов, а затем пользователи могут принять участие в каждом методе проверки подлинности, который они хотят использовать.
Выбор метода проверки подлинности
Наконец, необходимо решить, как пользователи регистрируют выбранные методы. Самый простой подход — использовать Защита идентификации Microsoft Entra. Если у вашей организации есть лицензия на защиту идентификации, вы можете настроить ее, чтобы пользователи могли зарегистрировать MFA при следующем входе.
При попытке использовать приложение или службу, требующую многофакторной проверки подлинности, пользователи также могут запрашивать регистрацию для многофакторной проверки подлинности. Наконец, можно принудительно выполнить регистрацию с помощью политики условного доступа, применяемой к группе Azure, которая содержит всех пользователей в организации. При таком подходе требуется некоторая ручная работа, чтобы периодически проверять группу для удаления зарегистрированных пользователей. Некоторые полезные скрипты для автоматизации некоторых из этого процесса см. в разделе Планирование развертывания многофакторной проверки подлинности Microsoft Entra.