Planera en Azure Multi-Factor Authentication-distributionPlan an Azure Multi-Factor Authentication deployment

Personer ansluter till organisations resurser i allt större komplicerade scenarier.People are connecting to organizational resources in increasingly complicated scenarios. Människor ansluter till och från organisationer som ägs, personliga och offentliga enheter på företags nätverket med hjälp av telefoner, surfplattor, datorer och bärbara datorer, ofta på flera plattformar.People connect from organization-owned, personal, and public devices on and off the corporate network using smart phones, tablets, PCs, and laptops, often on multiple platforms. I den här enheten för alltid ansluten, flera enheter och flera plattformar är säkerheten för användar konton viktigare än någonsin.In this always-connected, multi-device and multi-platform world, the security of user accounts is more important than ever. Lösen ord, oavsett om de är komplicerade, som används på enheter, nätverk och plattformar är inte längre tillräckliga för att säkerställa användar kontots säkerhet, särskilt när användare tenderar att återanvända lösen ord över konton.Passwords, no matter their complexity, used across devices, networks, and platforms are no longer sufficient to ensure the security of the user account, especially when users tend to reuse passwords across accounts. Sofistikerade nätfiske och andra sociala teknik attacker kan leda till att användar namn och lösen ord publiceras och säljs på den mörka webben.Sophisticated phishing and other social engineering attacks can result in usernames and passwords being posted and sold across the dark web.

Azure Multi-Factor Authentication (MFA) hjälper till att skydda åtkomsten till data och program.Azure Multi-Factor Authentication (MFA) helps safeguard access to data and applications. Det ger ett extra säkerhets lager med hjälp av en andra form av autentisering.It provides an additional layer of security using a second form of authentication. Organisationer kan använda villkorlig åtkomst för att se till att lösningen passar deras speciella behov.Organizations can use Conditional Access to make the solution fit their specific needs.

Den här distributions guiden visar hur du planerar och testar en distribution av Azure-Multi-Factor Authentication.This deployment guide shows you how to plan and then test an Azure Multi-Factor Authentication roll-out.

För att snabbt se Azure Multi-Factor Authentication i praktiken och återgå sedan till att förstå ytterligare distributions överväganden:To quickly see Azure Multi-Factor Authentication in action and then come back to understand additional deployment considerations:

FörutsättningarPrerequisites

Innan du påbörjar en distribution av Azure Multi-Factor Authentication finns det nödvändiga objekt som bör övervägas.Before starting a deployment of Azure Multi-Factor Authentication, there are prerequisite items that should be considered.

ScenarioScenario FörutsättningPrerequisite
Identitets miljö med enbart moln med modern autentiseringCloud-only identity environment with modern authentication Inga ytterligare nödvändiga aktiviteterNo additional prerequisite tasks
Hybrid identitets scenarierHybrid identity scenarios Azure AD Connect distribueras och användar identiteter synkroniseras eller federerade med den lokala Active Directory Domain Services med Azure Active Directory.Azure AD Connect is deployed and user identities are synchronized or federated with the on-premises Active Directory Domain Services with Azure Active Directory.
Lokala äldre program som publicerats för moln åtkomstOn-premises legacy applications published for cloud access Azure AD Application Proxy har distribuerats.Azure AD Application Proxy is deployed.
Använda Azure MFA med RADIUS-autentiseringUsing Azure MFA with RADIUS Authentication En nätverks princip Server (NPS) har distribuerats.A Network Policy Server (NPS) is deployed.
Användare har Microsoft Office 2010 eller tidigare, eller Apple Mail för iOS 11 eller tidigareUsers have Microsoft Office 2010 or earlier, or Apple Mail for iOS 11 or earlier Uppgradera till Microsoft Office 2013 eller senare och Apple Mail för iOS 12 eller senare.Upgrade to Microsoft Office 2013 or later and Apple mail for iOS 12 or later. Villkorlig åtkomst stöds inte av bakåtkompatibla autentiseringsprotokoll.Conditional Access is not supported by legacy authentication protocols.

Planera användar lanseringPlan user rollout

Din plan för MFA-distribution ska innehålla en pilot distribution som följs av distributions vågor som ligger inom support kapaciteten.Your MFA rollout plan should include a pilot deployment followed by deployment waves that are within your support capacity. Börja distributionen genom att tillämpa dina principer för villkorlig åtkomst till en liten grupp pilot användare.Begin your rollout by applying your Conditional Access policies to a small group of pilot users. När du har utvärderat effekterna på funktionerna för pilot användare, process användning och registrering kan du antingen lägga till fler grupper i principen eller lägga till fler användare i de befintliga grupperna.After evaluating the effect on the pilot users, process used, and registration behaviors, you can either add more groups to the policy or add more users to the existing groups.

Användar kommunikationUser communications

Det är viktigt att informera användarna, i planerad kommunikation, om kommande ändringar, registrerings krav för Azure MFA och eventuella nödvändiga användar åtgärder.It is critical to inform users, in planned communications, about upcoming changes, Azure MFA registration requirements, and any necessary user actions. Vi rekommenderar att kommunikationen utvecklas i samförstånd med representanter från din organisation, till exempel en kommunikation, en ändrings hanterings avdelning eller personalavdelningen.We recommend communications are developed in concert with representatives from within your organization, such as a Communications, Change Management, or Human Resources departments.

Microsoft tillhandahåller kommunikations mallar och dokumentation för slutanvändare för att hjälpa till att formulera kommunikationen.Microsoft provides communication templates and end-user documentation to help draft your communications. Du kan skicka användare till https://myprofile.microsoft.com att registrera direkt genom att välja länkarna för säkerhets information på sidan.You can send users to https://myprofile.microsoft.com to register directly by selecting the Security Info links on that page.

DistributionsövervägandenDeployment considerations

Azure Multi-Factor Authentication distribueras genom att tvinga principer med villkorlig åtkomst.Azure Multi-factor Authentication is deployed by enforcing policies with Conditional Access. En princip för villkorlig åtkomst kan kräva att användare utför Multi-Factor Authentication när vissa villkor uppfylls, t. ex.:A Conditional Access policy can require users to perform multi-factor authentication when certain criteria are met such as:

  • Alla användare, en speciell användare, medlem i en grupp eller tilldelad rollAll users, a specific user, member of a group, or assigned role
  • Specifika moln program som ska användasSpecific cloud application being accessed
  • EnhetsplattformDevice platform
  • Enhetens tillståndState of device
  • Nätverks plats eller geo-lokaliserad IP-adressNetwork location or geo-located IP address
  • KlientprogramClient applications
  • Inloggnings risk (kräver identitets skydd)Sign-in risk (Requires Identity Protection)
  • Kompatibel enhetCompliant device
  • Hybrid Azure AD-ansluten enhetHybrid Azure AD joined device
  • Godkänt klient programApproved client application

Använd anpassningsbara affischer och e-postmallar i distributions material för Multi-Factor Authentication för att distribuera Multi-Factor Authentication till din organisation.Use the customizable posters and email templates in multi-factor authentication rollout materials to roll out multi-factor authentication to your organization.

Aktivera Multi-Factor Authentication med villkorlig åtkomstEnable Multi-Factor Authentication with Conditional Access

Principer för villkorlig åtkomst framtvingar registrering, vilket kräver att användare som är oregistrerade att slutföra registreringen vid första inloggning, en viktig säkerhets åtgärd.Conditional Access policies enforce registration, requiring unregistered users to complete registration at first sign-in, an important security consideration.

Azure AD Identity Protection bidrar både till en registrerings princip för och automatiserade identifierings-och reparations principer till Azure Multi-Factor Authentication-artikeln.Azure AD Identity Protection contributes both a registration policy for and automated risk detection and remediation policies to the Azure Multi-Factor Authentication story. Principer kan skapas för att tvinga lösen ords ändringar när det finns ett hot mot komprometterad identitet eller kräver MFA när en inloggning bedöms vara riskfylld av följande händelser:Policies can be created to force password changes when there is a threat of compromised identity or require MFA when a sign-in is deemed risky by the following events:

  • Läckta autentiseringsuppgifterLeaked credentials
  • Inloggningar från anonyma IP-adresserSign-ins from anonymous IP addresses
  • Omöjliga resor till ovanliga platserImpossible travel to atypical locations
  • Inloggningar från okända platserSign-ins from unfamiliar locations
  • Inloggningar från angripna enheterSign-ins from infected devices
  • Inloggningar från IP-adresser med misstänkta aktiviteterSign-ins from IP addresses with suspicious activities

Några av de risker som identifieras av Azure Active Directory Identity Protection uppstår i real tid och vissa kräver offline-bearbetning.Some of the risk detections detected by Azure Active Directory Identity Protection occur in real time and some require offline processing. Administratörer kan välja att blockera användare som har uppvisat riskfyllda beteenden och reparera manuellt, kräva en lösen ords ändring eller kräva Multi-Factor Authentication som en del av principerna för villkorlig åtkomst.Administrators can choose to block users who exhibit risky behaviors and remediate manually, require a password change, or require a multi-factor authentication as part of their Conditional Access policies.

Definiera nätverks platserDefine network locations

Vi rekommenderar att organisationer använder villkorlig åtkomst för att definiera deras nätverk med namngivna platser.We recommend that organizations use Conditional Access to define their network using named locations. Om din organisation använder identitets skydd bör du överväga att använda riskfyllda principer i stället för namngivna platser.If your organization is using Identity Protection, consider using risk-based policies instead of named locations.

Konfigurera en namngiven platsConfiguring a named location

  1. Öppna Azure Active Directory i Azure PortalOpen Azure Active Directory in the Azure portal
  2. Välj säkerhetSelect Security
  3. Under Hanteraväljer du namngivna platserUnder Manage, choose Named Locations
  4. Välj ny platsSelect New Location
  5. I fältet namn anger du ett beskrivande namnIn the Name field, provide a meaningful name
  6. Välj om du definierar platsen med hjälp av IP-intervall eller länder/regionerSelect whether you are defining the location using IP ranges or Countries/Regions
    1. Om du använder IP-intervallIf using IP Ranges
      1. Bestäm om du vill Markera som betrodd plats.Decide whether to Mark as trusted location. Inloggning från en betrodd plats minskar en användares inloggningsrisk.Signing in from a trusted location lowers a user's sign-in risk. Markera bara den här platsen som betrodd om du vet att de angivna IP-intervallen är etablerade och trovärdiga i din organisation.Only mark this location as trusted if you know the IP ranges entered are established and credible in your organization.
      2. Ange IP-intervallSpecify the IP Ranges
    2. Om du använder länder/regionerIf using Countries/Regions
      1. Expandera den nedrullningsbara menyn och välj de länder eller regioner som du vill definiera för den här namngivna platsen.Expand the drop-down menu and select the countries or regions you wish to define for this named location.
      2. Bestäm om du vill Inkludera okända områden.Decide whether to Include unknown areas. Okända områden är IP-adresser som inte kan mappas till ett land/en region.Unknown areas are IP addresses that can't be mapped to a country/region.
  7. Välj SkapaSelect Create

Planera autentiseringsmetoderPlan authentication methods

Administratörer kan välja de autentiseringsmetoder som de vill göra tillgängliga för användare.Administrators can choose the authentication methods that they want to make available for users. Det är viktigt att tillåta mer än en enda autentiseringsmetod så att användare har en säkerhets kopierings metod som är tillgänglig om deras primära metod inte är tillgänglig.It is important to allow more than a single authentication method so that users have a backup method available in case their primary method is unavailable. Följande metoder är tillgängliga för administratörer att aktivera:The following methods are available for administrators to enable:

Tips

Microsoft rekommenderar att du använder Microsoft Authenticator (mobilappen) som den primära metoden för Azure Multi-Factor Authentication för en säkrare och bättre användar upplevelse.Microsoft recommends using the Microsoft Authenticator (mobile app) as the primary method for Azure Multi-Factor Authentication for a more secure and improved user experience. Microsoft Authenticator-appen uppfyller även National Institute of Standards och Technology Authentication Assurance-nivåerna.The Microsoft Authenticator app also meets the National Institute of Standards and Technology Authenticator Assurance Levels.

Meddelande via mobilappNotification through mobile app

Ett push-meddelande skickas till Microsoft Authenticator-appen på din mobila enhet.A push notification is sent to the Microsoft Authenticator app on your mobile device. Användaren visar meddelandet och väljer Godkänn för att slutföra verifieringen.The user views the notification and selects Approve to complete verification. Push-meddelanden via en mobilapp ger användarna minst påträngande-alternativ.Push notifications through a mobile app provide the least intrusive option for users. De är också det mest pålitliga och säkra alternativet eftersom de använder en data anslutning i stället för telefoni.They are also the most reliable and secure option because they use a data connection rather than telephony.

Anteckning

Om din organisation har personal som arbetar i eller reser till Kina, fungerar inte meddelandet via mobilappenAndroid-enheter i landet/regionen.If your organization has staff working in or traveling to China, the Notification through mobile app method on Android devices does not work in that country/region. Alternativa metoder bör göras tillgängliga för dessa användare.Alternate methods should be made available for those users.

Verifierings kod från mobilappVerification code from mobile app

En mobilapp som Microsoft Authenticator-appen genererar en ny OATH-verifierings kod var 30: e sekund.A mobile app like the Microsoft Authenticator app generates a new OATH verification code every 30 seconds. Användaren anger verifierings koden i inloggnings gränssnittet.The user enters the verification code into the sign-in interface. Alternativet mobil app kan användas om telefonen har en data-eller mobilen signal.The mobile app option can be used whether or not the phone has a data or cellular signal.

Ring till telefonCall to phone

Ett automatiskt röst samtal placeras till användaren.An automated voice call is placed to the user. Användaren svarar på anropet och trycker # på telefon tangent bordet för att godkänna deras autentisering.The user answers the call and presses # on the phone keypad to approve their authentication. Samtal till telefon är en bra säkerhets kopierings metod för meddelande-eller verifierings kod från en mobilapp.Call to phone is a great backup method for notification or verification code from a mobile app.

Textmeddelande till telefonText message to phone

Ett textmeddelande som innehåller en verifierings kod skickas till användaren, användaren uppmanas att ange verifierings koden i inloggnings gränssnittet.A text message that contains a verification code is sent to the user, the user is prompted to enter the verification code into the sign-in interface.

Välj verifierings alternativChoose verification options

  1. Bläddra till Azure Active Directory, användare Multi-Factor Authentication.Browse to Azure Active Directory, Users, Multi-Factor Authentication.

    Öppna Multi-Factor Authentication portal från Azure AD-bladet i Azure Portal

  2. På den nya fliken som öppnas Bläddra till tjänst inställningar.In the new tab that opens browse to service settings.

  3. Under verifierings alternativmarkerar du alla rutor för metoder som är tillgängliga för användare.Under verification options, check all of the boxes for methods available to users.

    Konfigurera verifierings metoder på fliken Multi-Factor Authentication tjänst inställningar

  4. Klicka på Spara.Click on Save.

  5. Stäng fliken tjänst inställningar .Close the service settings tab.

Planera registrerings principPlan registration policy

Administratörer måste bestämma hur användarna ska registrera sina metoder.Administrators must determine how users will register their methods. Organisationer bör Aktivera den nya kombinerade registrerings upplevelsen för Azure MFA och lösen ords återställning via självbetjäning (SSPR).Organizations should enable the new combined registration experience for Azure MFA and self-service password reset (SSPR). SSPR tillåter användare att återställa sina lösen ord på ett säkert sätt med samma metoder som de använder för Multi-Factor Authentication.SSPR allows users to reset their password in a secure way using the same methods they use for multi-factor authentication. Vi rekommenderar den här kombinerade registreringen eftersom det är en bra upplevelse för användarna, med möjlighet att registrera sig en gång för båda tjänsterna.We recommend this combined registration because it's a great experience for users, with the ability to register once for both services. Om du aktiverar samma metoder för SSPR och Azure MFA kan användarna registreras för att använda båda funktionerna.Enabling the same methods for SSPR and Azure MFA will allow your users to be registered to use both features.

Registrering med identitets skyddRegistration with Identity Protection

Om din organisation använder Azure Active Directory Identity Protection konfigurerar du principen för MFA-registrering så att användarna kan registrera sig nästa gången de loggar in interaktivt.If your organization is using Azure Active Directory Identity Protection, configure the MFA registration policy to prompt your users to register the next time they sign in interactively.

Registrering utan identitets skyddRegistration without Identity Protection

Om din organisation inte har licenser som aktiverar identitets skydd uppmanas användarna att registrera sig nästa gången MFA krävs vid inloggningen.If your organization does not have licenses that enable Identity Protection, users are prompted to register the next time that MFA is required at sign-in. Användare får inte registreras för MFA om de inte använder program som skyddas med MFA.Users may not be registered for MFA if they don't use applications protected with MFA. Det är viktigt att du får alla användare registrerade så att felaktiga aktörer inte kan gissa lösen ordet för en användare och registrera sig för MFA för deras räkning, vilket effektivt tar kontroll över kontot.It's important to get all users registered so that bad actors cannot guess the password of a user and register for MFA on their behalf, effectively taking control of the account.

Verkställa registreringEnforcing registration

Med hjälp av följande steg kan en princip för villkorlig åtkomst tvinga användare att registrera sig för Multi-Factor AuthenticationUsing the following steps a Conditional Access policy can force users to register for Multi-Factor Authentication

  1. Skapa en grupp, Lägg till alla användare som inte är registrerade för tillfället.Create a group, add all users not currently registered.
  2. Använd villkorlig åtkomst för att genomdriva Multi-Factor Authentication för den här gruppen för åtkomst till alla resurser.Using Conditional Access, enforce multi-factor authentication for this group for access to all resources.
  3. Utvärdera grupp medlemskapet med jämna mellanrum och ta bort användare som har registrerat sig från gruppen.Periodically, reevaluate the group membership, and remove users who have registered from the group.

Du kan identifiera registrerade och icke-registrerade Azure MFA-användare med PowerShell-kommandon som är beroende av MSOnline PowerShell-modulen.You may identify registered and non-registered Azure MFA users with PowerShell commands that rely on the MSOnline PowerShell module.

Identifiera registrerade användareIdentify registered users

Get-MsolUser -All | where {$_.StrongAuthenticationMethods -ne $null} | Select-Object -Property UserPrincipalName | Sort-Object userprincipalname 

Identifiera icke-registrerade användareIdentify non-registered users

Get-MsolUser -All | where {$_.StrongAuthenticationMethods.Count -eq 0} | Select-Object -Property UserPrincipalName | Sort-Object userprincipalname 

Konvertera användare från per användare MFA till villkorlig åtkomst baserat MFAConvert users from per-user MFA to Conditional Access based MFA

Om dina användare har Aktiver ATS med alternativet per användare aktiverat och tillämpade Azure-Multi-Factor Authentication kan följande PowerShell hjälpa dig att göra konverteringen till Azure Multi-Factor Authentication med villkorlig åtkomst.If your users were enabled using per-user enabled and enforced Azure Multi-Factor Authentication the following PowerShell can assist you in making the conversion to Conditional Access based Azure Multi-Factor Authentication.

Kör PowerShell i ett ISE-fönster eller Spara som en .PS1 fil för att köra lokalt.Run this PowerShell in an ISE window or save as a .PS1 file to run locally.

# Sets the MFA requirement state
function Set-MfaState {

    [CmdletBinding()]
    param(
        [Parameter(ValueFromPipelineByPropertyName=$True)]
        $ObjectId,
        [Parameter(ValueFromPipelineByPropertyName=$True)]
        $UserPrincipalName,
        [ValidateSet("Disabled","Enabled","Enforced")]
        $State
    )

    Process {
        Write-Verbose ("Setting MFA state for user '{0}' to '{1}'." -f $ObjectId, $State)
        $Requirements = @()
        if ($State -ne "Disabled") {
            $Requirement =
                [Microsoft.Online.Administration.StrongAuthenticationRequirement]::new()
            $Requirement.RelyingParty = "*"
            $Requirement.State = $State
            $Requirements += $Requirement
        }

        Set-MsolUser -ObjectId $ObjectId -UserPrincipalName $UserPrincipalName `
                     -StrongAuthenticationRequirements $Requirements
    }
}

# Disable MFA for all users
Get-MsolUser -All | Set-MfaState -State Disabled

Anteckning

Vi ändrade nyligen beteendet och PowerShell-skriptet ovan enligt detta.We recently changed the behavior and PowerShell script above accordingly. Tidigare har skriptet sparat av MFA-metoderna, inaktiverat MFA och återställt metoderna.Previously, the script saved off the MFA methods, disabled MFA, and restored the methods. Detta behövs inte längre nu när standard beteendet för inaktivera inte tar bort metoderna.This is no longer necessary now that the default behavior for disable doesn't clear the methods.

Planera principer för villkorlig åtkomstPlan Conditional Access policies

För att planera strategin för principer för villkorlig åtkomst som avgör när MFA och andra kontroller krävs, se vanliga principer för villkorlig åtkomst.To plan your Conditional Access policy strategy, which will determine when MFA and other controls are required, refer to Common Conditional Access policies.

Det är viktigt att du förhindrar oavsiktligt låst av din Azure AD-klient.It is important that you prevent being inadvertently locked out of your Azure AD tenant. Du kan minska effekten av denna oavsiktliga brist på administrativ åtkomst genom att skapa två eller fler konton för nöd åtkomst i din klient organisation och utesluta dem från din princip för villkorlig åtkomst.You can mitigate the impact of this inadvertent lack of administrative access by creating two or more emergency access accounts in your tenant and excluding them from your Conditional Access policy.

Skapa princip för villkorlig åtkomstCreate Conditional Access policy

  1. Logga in på Azure Portal med ett globalt administratörs konto.Sign in to the Azure portal using a global administrator account.
  2. Bläddra till Azure Active Directory > säkerhet > villkorlig åtkomst.Browse to Azure Active Directory > Security > Conditional Access.
  3. Välj ny princip.Select New policy. Skapa en princip för villkorlig åtkomst för att aktivera MFA för Azure Portal användare i pilot gruppenCreate a Conditional Access policy to enable MFA for Azure portal users in pilot group
  4. Ange ett beskrivande namn för principen.Provide a meaningful name for your policy.
  5. Under användare och grupper:Under users and groups:
    • På fliken Inkludera väljer du alternativ knappen alla användareOn the Include tab, select the All users radio button
    • Markera kryss rutan för användare och grupper på fliken exkludera och välj sedan återställnings konton.On the Exclude tab, check the box for Users and groups and choose your emergency access accounts.
    • Klicka på Klar.Click Done.
  6. Under molnapparväljer du alternativ knappen alla molnappar .Under Cloud apps, select the All cloud apps radio button.
    • Alternativt: på fliken exkludera väljer du de molnappar som din organisation inte behöver MFA för.OPTIONALLY: On the Exclude tab, choose cloud apps that your organization does not require MFA for.
    • Klicka på Klar.Click Done.
  7. Avsnittet villkor :Under Conditions section:
    • Du kan också välja att utvärdera inloggnings risker som en del av principen om du har aktiverat Azure Identity Protection.OPTIONALLY: If you have enabled Azure Identity Protection, you can choose to evaluate sign-in risk as part of the policy.
    • Om du har konfigurerat betrodda platser eller namngivna platser kan du ange att de platserna ska tas med eller undantas från principen.OPTIONALLY: If you have configured trusted locations or named locations, you can specify to include or exclude those locations from the policy.
  8. Under bevilja, se till att alternativ knappen bevilja åtkomst är markerad.Under Grant, make sure the Grant access radio button is selected.
    • Markera kryss rutan för att kräva Multi-Factor Authentication.Check the box for Require multi-factor authentication.
    • Klicka på Välj.Click Select.
  9. Hoppa över avsnittet session .Skip the Session section.
  10. Ange aktiverings principen växla till .Set the Enable policy toggle to On.
  11. Klicka på Skapa.Click Create.

Planera integrering med lokala systemPlan integration with on-premises systems

Vissa äldre program och lokala program som inte autentiserar direkt mot Azure AD kräver ytterligare åtgärder för att använda MFA, inklusive:Some legacy and on-premises applications that do not authenticate directly against Azure AD require additional steps to use MFA including:

  • Äldre lokala program som behöver använda programproxyn.Legacy on-premises applications, which will need to use Application proxy.
  • Lokala RADIUS-program som kommer att behöva använda MFA adapter med NPS-servern.On-premises RADIUS applications, which will need to use MFA adapter with NPS server.
  • Lokala AD FS program som behöver använda MFA adapter med AD FS 2016 eller senare.On-premises AD FS applications, which will need to use MFA adapter with AD FS 2016 or newer.

Program som autentiserar direkt med Azure AD och har modern autentisering (WS-utfodras, SAML, OAuth, OpenID Connect) kan använda principer för villkorlig åtkomst direkt.Applications that authenticate directly with Azure AD and have modern authentication (WS-Fed, SAML, OAuth, OpenID Connect) can make use of Conditional Access policies directly.

Använda Azure MFA med Azure AD-programproxyUse Azure MFA with Azure AD Application Proxy

Program som finns lokalt kan publiceras till din Azure AD-klient via azure AD-programproxy och kan dra nytta av Azure Multi-Factor Authentication om de är konfigurerade för att använda Azure AD-förautentisering.Applications residing on-premises can be published to your Azure AD tenant via Azure AD Application Proxy and can take advantage of Azure Multi-Factor Authentication if they are configured to use Azure AD pre-authentication.

De här programmen omfattas av principer för villkorlig åtkomst som tvingar Azure Multi-Factor Authentication, precis som andra Azure AD-integrerade program.These applications are subject to Conditional Access policies that enforce Azure Multi-Factor Authentication, just like any other Azure AD-integrated application.

På samma sätt kommer, om Azure Multi-Factor Authentication tillämpas för alla användar inloggningar, lokala program som publiceras med Azure AD-programproxy att skyddas.Likewise, if Azure Multi-Factor Authentication is enforced for all user sign-ins, on-premises applications published with Azure AD Application Proxy will be protected.

Integrera Azure-Multi-Factor Authentication med nätverks princip ServerIntegrating Azure Multi-Factor Authentication with Network Policy Server

Nätverks princip Server (NPS)-tillägget för Azure MFA lägger till molnbaserade MFA-funktioner till din infrastruktur för autentisering med hjälp av befintliga servrar.The Network Policy Server (NPS) extension for Azure MFA adds cloud-based MFA capabilities to your authentication infrastructure using your existing servers. Med NPS-tillägget kan du lägga till telefonsamtal, textmeddelande eller standardapp för ditt befintliga autentiseringspaket.With the NPS extension, you can add phone call, text message, or phone app verification to your existing authentication flow. Denna integrering har följande begränsningar:This integration has the following limitations:

  • Med ett CHAPv2-protokoll stöds endast push-meddelanden för Authenticator-appar och röst samtal.With the CHAPv2 protocol, only authenticator app push notifications and voice call are supported.
  • Det går inte att tillämpa principer för villkorlig åtkomst.Conditional Access policies cannot be applied.

NPS-tillägget fungerar som ett kort mellan RADIUS och molnbaserad Azure MFA för att tillhandahålla en andra faktor för autentisering för att skydda VPN, anslutning till fjärr skrivbords-Gatewayeller andra RADIUS-kompatibla program.The NPS extension acts as an adapter between RADIUS and cloud-based Azure MFA to provide a second factor of authentication to protect VPN, Remote Desktop Gateway connections, or other RADIUS capable applications. Användare som registrerar sig för Azure MFA i den här miljön kommer att anropas för alla autentiseringsförsök, bristen på principer för villkorlig åtkomst innebär att MFA alltid krävs.Users that register for Azure MFA in this environment will be challenged for all authentication attempts, the lack of Conditional Access policies means MFA is always required.

Implementera NPS-servernImplementing your NPS server

Om du har en distribuerad NPS-instans och redan använder, integrerar du din befintliga NPS-infrastruktur med Azure Multi-Factor Authentication.If you have an NPS instance deployed and in use already, reference Integrate your existing NPS Infrastructure with Azure Multi-Factor Authentication. Om du konfigurerar NPS för första gången, se nätverks Policy Server (NPS) för instruktioner.If you are setting up NPS for the first time, refer to Network Policy Server (NPS) for instructions. Fel söknings vägledning hittar du i artikeln lösa fel meddelanden från NPS-tillägget för Azure Multi-Factor Authentication.Troubleshooting guidance can be found in the article Resolve error messages from the NPS extension for Azure Multi-Factor Authentication.

Förbered NPS för användare som inte har registrerats för MFAPrepare NPS for users that aren't enrolled for MFA

Välj vad som ska hända när användare som inte är registrerade med MFA försöker autentisera sig.Choose what happens when users that aren't enrolled with MFA try to authenticate. Använd register inställningen REQUIRE_USER_MATCH i register Sök vägen HKLM\Software\Microsoft\AzureMFA för att styra funktions sättet.Use the registry setting REQUIRE_USER_MATCH in the registry path HKLM\Software\Microsoft\AzureMFA to control the feature behavior. Den här inställningen har ett enda konfigurations alternativ.This setting has a single configuration option.

TangentKey VärdeValue StandardDefault
REQUIRE_USER_MATCH TRUE/FALSETRUE / FALSE Inte angivet (motsvarar sant)Not set (equivalent to TRUE)

Syftet med den här inställningen är att fastställa vad som ska göras när en användare inte är registrerad för MFA.The purpose of this setting is to determine what to do when a user is not enrolled for MFA. Effekterna av att ändra den här inställningen visas i tabellen nedan.The effects of changing this setting are listed in the table below.

InställningarSettings MFA-status för användareUser MFA Status AnimeringseffektEffects
Nyckeln finns inteKey does not exist Inte registreradNot enrolled MFA-utmaningen lyckades inteMFA challenge is unsuccessful
Värdet är inställt på Sant/ej angivetValue set to True / not set Inte registreradNot enrolled MFA-utmaningen lyckades inteMFA challenge is unsuccessful
Nyckeln har angetts till falseKey set to False Inte registreradNot enrolled Autentisering utan MFAAuthentication without MFA
Nyckeln har angetts till false eller TrueKey set to False or True RegistreradEnrolled Måste autentisera med MFAMust authenticate with MFA

Integrera med Active Directory Federation Services (AD FS)Integrate with Active Directory Federation Services

Om din organisation är federerad med Azure AD kan du använda azure Multi-Factor Authentication för att skydda AD FS resurser, både lokalt och i molnet.If your organization is federated with Azure AD, you can use Azure Multi-Factor Authentication to secure AD FS resources, both on-premises and in the cloud. Med Azure MFA kan du minska lösen ord och tillhandahålla ett säkrare sätt att autentisera.Azure MFA enables you to reduce passwords and provide a more secure way to authenticate. Från och med Windows Server 2016 konfigurera du nu Azure MFA för primär autentisering.Starting with Windows Server 2016, you can now configure Azure MFA for primary authentication.

Till skillnad från AD FS i Windows Server 2012 R2 integrerar AD FS 2016 Azure MFA-adaptern direkt med Azure AD och kräver inte en lokal Azure MFA-Server.Unlike with AD FS in Windows Server 2012 R2, the AD FS 2016 Azure MFA adapter integrates directly with Azure AD and does not require an on-premises Azure MFA server. Azure MFA-adaptern är inbyggd i Windows Server 2016 och det finns inget behov av en ytterligare installation.The Azure MFA adapter is built into Windows Server 2016, and there is no need for an additional installation.

När du använder Azure MFA med AD FS 2016 och mål programmet omfattas av principen för villkorlig åtkomst, finns det ytterligare överväganden:When using Azure MFA with AD FS 2016 and the target application is subject to Conditional Access policy, there are additional considerations:

  • Villkorlig åtkomst är tillgängligt när programmet är en förlitande part till Azure AD, federerad med AD FS 2016 eller senare.Conditional Access is available when the application is a relying party to Azure AD, federated with AD FS 2016 or newer.
  • Villkorlig åtkomst är inte tillgängligt när programmet är en förlitande part till AD FS 2016 eller AD FS 2019 och hanteras eller sammanslags med AD FS 2016 eller AD FS 2019.Conditional Access is not available when the application is a relying party to AD FS 2016 or AD FS 2019 and is managed or federated with AD FS 2016 or AD FS 2019.
  • Villkorlig åtkomst är inte heller tillgängligt när AD FS 2016 eller AD FS 2019 har kon figurer ATS för att använda Azure MFA som primär autentiseringsmetod.Conditional Access is also not available when AD FS 2016 or AD FS 2019 is configured to use Azure MFA as the primary authentication method.

AD FS loggningAD FS logging

Standard AD FS 2016-och 2019-loggning i både Windows-säkerhetsloggen och AD FS admin-loggen innehåller information om autentiseringsbegäranden och deras framgångar eller haverier.Standard AD FS 2016 and 2019 logging in both the Windows Security Log and the AD FS Admin log, contains information about authentication requests and their success or failure. Händelse logg data i dessa händelser anger om Azure MFA användes.Event log data within these events will indicate whether Azure MFA was used. Till exempel kan en AD FS granskning av händelse-ID 1200 innehålla:For example, an AD FS Auditing Event ID 1200 may contain:

<MfaPerformed>true</MfaPerformed>
<MfaMethod>MFA</MfaMethod>

Förnya och hantera certifikatRenew and manage certificates

På varje AD FS-server finns det ett självsignerat Azure MFA-certifikat med titeln OU = Microsoft AD FS Azure MFA som innehåller certifikatets förfallo datum i den lokala datorns mitt arkiv.On each AD FS server, in the local computer My Store, there will be a self-signed Azure MFA certificate titled OU=Microsoft AD FS Azure MFA, which contains the certificate expiration date. Kontrol lera giltighets perioden för det här certifikatet på varje AD FS server för att fastställa förfallo datumet.Check the validity period of this certificate on each AD FS server to determine the expiration date.

Om giltighets tiden för dina certifikat snart upphör att gälla, genererar och verifierar du ett nytt MFA-certifikat på varje AD FS server.If the validity period of your certificates is nearing expiration, generate and verify a new MFA certificate on each AD FS server.

Följande anvisningar beskriver hur du hanterar Azure MFA-certifikat på dina AD FS-servrar.The following guidance details how to manage the Azure MFA certificates on your AD FS servers. När du konfigurerar AD FS med Azure MFA är de certifikat som genereras via New-AdfsAzureMfaTenantCertificate PowerShell-cmdleten giltiga i två år.When you configure AD FS with Azure MFA, the certificates generated via the New-AdfsAzureMfaTenantCertificate PowerShell cmdlet are valid for two years. Förnya och installera de förnyade certifikaten innan de upphör att gälla för ovoid-avbrott i MFA-tjänsten.Renew and install the renewed certificates prior to expiration to ovoid disruptions in MFA service.

Implementera din planImplement your plan

Nu när du har planerat din lösning kan du implementera genom att följa stegen nedan:Now that you have planned your solution, you can implement by following the steps below:

  1. Uppfylla alla nödvändiga komponenterMeet any necessary prerequisites
    1. Distribuera Azure AD Connect för alla hybrid scenarierDeploy Azure AD Connect for any hybrid scenarios
    2. Distribuera Azure AD-programproxy för i alla lokala appar som publicerats för moln åtkomstDeploy Azure AD Application Proxy for on any on-premises apps published for cloud access
    3. Distribuera NPS för alla RADIUS-autentiseringarDeploy NPS for any RADIUS authentication
    4. Se till att användarna har uppgraderat till stödda versioner av Microsoft Office med modern autentisering aktive radEnsure users have upgraded to supported versions of Microsoft Office with modern authentication enabled
  2. Konfigurera valda autentiseringsmetoderConfigure chosen authentication methods
  3. Definiera dina namngivna nätverks platserDefine your named network locations
  4. Välj grupper för att börja distribuera MFA.Select groups to begin rolling out MFA.
  5. Konfigurera principer för villkorlig åtkomstConfigure your Conditional Access policies
  6. Konfigurera din princip för MFA-registreringConfigure your MFA registration policy
    1. Kombinera MFA och SSPRCombined MFA and SSPR
    2. Med identitets skyddWith Identity Protection
  7. Skicka användar kommunikation och få användare att registrera sig https://aka.ms/mfasetupSend user communications and get users to enroll at https://aka.ms/mfasetup
  8. Håll koll på vem som har registreratsKeep track of who's enrolled

Tips

Statliga moln användare kan registrera sig på https://aka.ms/GovtMFASetupGovernment cloud users can enroll at https://aka.ms/GovtMFASetup

Hantera din lösningManage your solution

Rapporter för Azure MFAReports for Azure MFA

Azure Multi-Factor Authentication ger rapporter via Azure Portal:Azure Multi-Factor Authentication provides reports through the Azure portal:

RapportReport PlatsLocation BeskrivningDescription
Användnings-och bedrägeri varningarUsage and fraud alerts Inloggnings program för Azure AD >Azure AD > Sign-ins Innehåller information om allmän användning, användar Sammanfattning och användar information. samt en historik över bedrägeri aviseringar som skickats under det angivna datum intervallet.Provides information on overall usage, user summary, and user details; as well as a history of fraud alerts submitted during the date range specified.

Felsök MFA-problemTroubleshoot MFA issues

Hitta lösningar på vanliga problem med Azure MFA i artikeln om fel sökning av Azure-Multi-Factor Authentication i Microsoft Support Center.Find solutions for common issues with Azure MFA at the Troubleshooting Azure Multi-Factor Authentication article on the Microsoft Support Center.

Nästa stegNext steps

Om du vill se hur Azure Multi-Factor Authentication fungerar, slutför du följande självstudie:To see Azure Multi-Factor Authentication in action, complete the following tutorial: