Självstudie: Skydda användar inloggningshändelser med Azure AD Multi-Factor Authentication

Multifaktorautentisering (MFA) är en process där en användare uppmanas att göra ytterligare identifieringar under en inloggningshändelse. Uppmaningen kan vara att ange en kod på mobiltelefonen eller att tillhandahålla en fingeravtryckssökning. När du behöver en andra form av autentisering ökar säkerheten eftersom den här ytterligare faktorn inte är något som är lätt för en angripare att hämta eller duplicera.

Azure AD Multi-Factor Authentication och principer för villkorsstyrd åtkomst ger flexibiliteten att aktivera MFA för användare under specifika inloggningshändelser. Här är en video om hur du konfigurerar och framtvingar multifaktorautentisering i din klientorganisation (rekommenderas)

I den här guiden får du lära du dig hur man:

Förutsättningar

För att slutföra den här självstudien behöver du följande resurser och behörigheter:

• En aktiv Azure AD-klientorganisation med minst en Azure AD Premium P1- eller utvärderingslicens aktiverad.
  • Om det behövs skapar du en utan kostnad.
• Ett konto med behörigheter som global administratör. Vissa MFA-inställningar kan också hanteras av en administratör för autentiseringsprincip. Mer information finns i Administratör för autentiseringsprincip.
• En icke-administratörsanvändare med ett lösenord som du känner till, till exempel testuser. Du testar slutanvändarens Azure AD Multi-Factor Authentication-upplevelse med det här kontot i den här självstudien.
  • Om du behöver skapa en användare kan du gå till Snabbstart: Lägga till nya användare i Azure Active Directory.
• En grupp som icke-administratörsanvändaren är medlem i, till exempel MFA-Test-Group. Du aktiverar Azure AD Multi-Factor Authentication för den här gruppen i den här självstudien.
  • Om du behöver skapa en grupp kan du se hur du skapar en grupp och lägger till medlemmar i Azure Active Directory.

Skapa en princip för villkorlig åtkomst

Det rekommenderade sättet att aktivera och använda Azure AD Multi-Factor Authentication är med principer för villkorsstyrd åtkomst. Med villkorsstyrd åtkomst kan du skapa och definiera principer som reagerar på inloggningshändelser och begära ytterligare åtgärder innan en användare beviljas åtkomst till ett program eller en tjänst.

Principer för villkorsstyrd åtkomst kan vara detaljerade och specifika, med målet att ge användarna möjlighet att vara produktiva var och när som helst, men även skydda din organisation. I den här självstudien skapar vi en grundläggande princip för villkorsstyrd åtkomst som frågar efter MFA när en användare loggar in på Azure Portal. I en senare självstudie i den här serien konfigurerar du Azure AD Multi-Factor Authentication med hjälp av en princip för riskbaserad villkorlig åtkomst.

Skapa först en princip för villkorlig åtkomst och tilldela testgruppen med användare enligt följande:

1. Logga in på Azure Portal med ett konto med behörigheter som global administratör.

2. Sök efter och Azure Active Directory och välj sedan Säkerhet på menyn till vänster.

3. Välj Villkorlig åtkomst och välj sedan + Ny princip.

4. Ange ett namn för principen, till exempel MFA Pilot.

5. Under Tilldelningar väljer du Användare och grupper och sedan alternativknappen Välj användare och grupper.

6. Markera kryssrutan för Användare och grupper och sedan Välj för att bläddra bland tillgängliga Azure AD-användare och -grupper.

7. Bläddra efter och välj din Azure AD-grupp, till exempel MFA-Test-Group, och välj sedan Välj.

   

8. Om du vill tillämpa principen för villkorlig åtkomst för gruppen väljer du Klar.

Konfigurera villkoren för multifaktorautentisering

Nu när principen för villkorsstyrd åtkomst har skapats och en testgrupp användare har tilldelats, definierar du nu de molnappar eller åtgärder som utlöser principen. Dessa molnappar eller åtgärder är de scenarier som du väljer kräver ytterligare bearbetning, till exempel för att fråga efter MFA. Du kan till exempel bestämma att åtkomst till ett finansiellt program eller användning av hanteringsverktyg kräver ytterligare en verifieringsuppfråga.

I den här självstudien konfigurerar du principen för villkorlig åtkomst så att den kräver MFA när en användare loggar in på Azure Portal.

1. Välj Molnappar eller åtgärder. Du kan välja att tillämpa principen för villkorlig åtkomst på Alla molnappar eller Välj appar. För att ge flexibilitet kan du även undanta vissa appar från principen.

   För den här självstudien går du till sidan Inkludera och väljer alternativknappen Välj appar.

2. Välj Välj och bläddra sedan i listan över tillgängliga inloggningshändelser som kan användas.

   I den här självstudien väljer Microsoft Azure hantering så att principen gäller för inloggningshändelser för Azure Portal.

3. Om du vill tillämpa de valda apparna väljer du Välj och sedan Klar.

   

Med åtkomstkontroller kan du definiera kraven för att en användare ska beviljas åtkomst, till exempel att behöva en godkänd klientapp eller använda en enhet som är Hybrid Azure AD-ansluten. I den här självstudien konfigurerar du åtkomstkontrollerna så att de kräver MFA under en inloggningshändelse till Azure Portal.

1. Under Åtkomstkontroller väljer du Bevilja och kontrollerar sedan att alternativknappen Bevilja åtkomst är markerad.
2. Markera kryssrutan för Kräv multifaktorautentisering och välj sedan Välj.

Principer för villkorsstyrd åtkomst kan anges till Endast rapport om du vill se hur konfigurationen skulle påverka användare eller Av om du inte vill använda principen just nu. Som en testgrupp med användare var mål för den här självstudien aktiverar vi principen och testar sedan Azure AD Multi-Factor Authentication.

1. Ställ in Aktivera princip på På.
2. Om du vill tillämpa principen för villkorlig åtkomst väljer du Skapa.

Testa Azure AD Multi-Factor Authentication

Nu ska vi se hur din princip för villkorlig åtkomst och Azure AD Multi-Factor Authentication fungerar i praktiken. Logga först in på en resurs som inte kräver MFA på följande sätt:

1. Öppna ett nytt webbläsarfönster i InPrivate- eller inkognitoläge och bläddra till https://account.activedirectory.windowsazure.com
2. Logga in med testanvändaren som inte är administratör, till exempel testuser. Du uppmanas inte att slutföra MFA.
3. Stäng webbläsarfönstret.

Logga nu in på Azure Portal. När principen Azure Portal villkorsstyrd åtkomst för att kräva ytterligare verifiering får du en fråga om Azure AD Multi-Factor Authentication.

1. Öppna ett nytt webbläsarfönster i InPrivate- eller inkognitoläge och bläddra till https://portal.azure.com .

2. Logga in med testanvändaren som inte är administratör, till exempel testuser. Du måste registrera dig för och använda Azure AD Multi-Factor Authentication. Följ anvisningarna för att slutföra processen och kontrollera att du har loggat in på Azure Portal.

   

3. Stäng webbläsarfönstret.

Rensa resurser

Om du inte längre vill använda principen för villkorsstyrd åtkomst för att aktivera Azure AD Multi-Factor Authentication som konfigurerats som en del av den här självstudien tar du bort principen med hjälp av följande steg:

1. Logga in på Azure-portalen.
2. Sök efter och Azure Active Directory och välj sedan Säkerhet på menyn till vänster.
3. Välj Villkorlig åtkomst och välj sedan den princip som du skapade, till exempel MFA Pilot
4. Välj Ta bort och bekräfta sedan att du vill ta bort principen.

Nästa steg

I den här självstudien har du aktiverat Azure AD Multi-Factor Authentication med principer för villkorsstyrd åtkomst för en vald grupp användare. Du har lärt dig att: