Aktivera med hjälp av Azure MFAUsing Azure MFA for activation

När du konfigurerar en PAM-roll kan du välja hur du ger behörighet till användare som ber att få aktivera rollen.When configuring a PAM role, you can choose how to authorize users that request to activate the role. De alternativ som implementeras med PAM-auktoriseringsuppgiften är:The choices that the PAM authorization activity implements are:

  • Godkännande av rollägareRole owner approval
  • Azure Multi-Factor Authentication (MFA)Azure Multi-Factor Authentication (MFA)

Om ingen kontroll är aktiverad aktiveras kandidatanvändare automatiskt för sina roller.If neither check is enabled, candidate users are automatically activated for their role.

Microsoft Azure Multi-Factor Authentication (MFA) är en autentiseringstjänst med vilken användare måste bekräfta sina inloggningsförsök via mobilapp, telefonsamtal eller SMS.Microsoft Azure Multi-Factor Authentication (MFA) is an authentication service that requires users to verify their sign-in attempts by using a mobile app, phone call, or text message. Den kan användas med Microsoft Azure Active Directory och som en tjänst för molnbaserade och lokala företagsprogram.It is available to use with Microsoft Azure Active Directory, and as a service for cloud and on-premises enterprise applications. I PAM-scenariot ger Azure MFA en ytterligare autentiseringsmekanism som kan användas vid auktorisering, oavsett hur en kandidatanvändare tidigare har autentiserats för Windows PRIV-domän.For the PAM scenario, Azure MFA provides an additional authentication mechanism that can be used at authorization, regardless of how a candidate user previously authenticated to the Windows PRIV domain.

FörutsättningarPrerequisites

Om du ska kunna använda Azure MFA med MIM behöver du:In order to use Azure MFA with MIM, you will need:

  • internetåtkomst från varje MIM-tjänst som tillhandahåller PAM för att kunna kontakta tjänsten Azure MFAInternet access from each MIM Service providing PAM, to contact the Azure MFA service
  • en Azure-prenumerationAn Azure subscription
  • Azure Active Directory Premium-licenser för kandidatanvändare eller ett annat sätt att licensiera Azure MFAAzure Active Directory Premium licenses for candidate users, or an alternate means of licensing Azure MFA
  • telefonnummer till alla kandidatanvändarePhone numbers for all candidate users

Skapa en Azure MFA-leverantörCreating an Azure MFA Provider

I det här avsnittet ska du konfigurera en Azure MFA-leverantör i Microsoft Azure Active Directory.In this section, you will set up your Azure MFA provider in Microsoft Azure Active Directory. Om du använder redan Azure MFA, antingen fristående eller konfigurerat med Azure Active Directory Premium, kan du gå vidare till nästa avsnitt.If you are already using Azure MFA, either standalone or configured with Azure Active Directory Premium, skip to the next section.

  1. Öppna en webbläsare och anslut till den klassiska Azure-portalen som administratör för ett Azure-abonnemang.Open a web browser and connect to the Azure classic portal as an Azure subscription administrator.

  2. Klicka på Ny längst ned till vänster.In the bottom left hand corner, click New.

  3. Klicka på Apptjänster > Active Directory > Leverantör av multifaktorautent. > Snabbregistrering.Click App Services > Active Directory > Multi-Factor Auth Provider > Quick Create.

  4. I fältet Namn skriver du PAM, och i fältet Användningsmodell väljer du Per aktiverad användare.In the Name field, enter PAM, and in the Usage Model field, select Per Enabled User. Om du redan har en Azure AD-katalog väljer du den katalogen.If you have an Azure AD directory already, select that directory. Klicka på Skapa.Finally, click Create.

Ladda ned autentiseringsuppgifter för Azure MFA-tjänstenDownloading the Azure MFA Service Credentials

Nu genererar du en fil som innehåller de autentiseringsuppgifter som krävs för att PAM ska kunna kontakta Azure MFA.Next, you’ll generate a file that includes the authentication material for PAM to contact Azure MFA.

  1. Öppna en webbläsare och anslut till den klassiska Azure-portalen som administratör för ett Azure-abonnemang.Open a web browser and connect to the Azure classic portal as an Azure subscription administrator.

  2. Klicka på Active Directory på menyn Azure Portal och klicka sedan på fliken Leverantör av multifaktorautent.Click Active Directory in the Azure Portal menu, and then click the Multi-Factor Auth Providers tab.

  3. Klicka på Azure MFA-leverantören du ska använda för PAM och klicka på Hantera.Click on the Azure MFA provider you'll be using for PAM, and then click Manage.

  4. I vänsterpanelen i det nya fönstret, under Konfigurera klickar du på Inställningar.In the new window, on the left panel, under Configure, click on Settings.

  5. I fönstret Azure Multi-Factor Authentication klickar du på SDK under Hämtade filer.In the Azure Multi-Factor Authentication window, click SDK under Downloads.

  6. Klicka på länken Hämta i ZIP-kolumnen för filen med språket SDK för ASP.net 2.0 C#.Click the Download link in the ZIP column for the file with language SDK for ASP.net 2.0 C#.

Ladda ned SDK:t för Multi-Factor Authentication – skärmbild

  1. Kopiera den skapade ZIP-filen till alla system där MIM-tjänsten är installerad.Copy the resulting ZIP file to each system where MIM Service is installed.
Anteckning

ZIP-filen innehåller nyckeluppgifter som används vid autentisering via Azure MFA-tjänsten.The ZIP file contains keying material which is used to authenticate to the Azure MFA service.

Konfigurera MIM-tjänsten för Azure MFAConfiguring the MIM Service for Azure MFA

  1. Logga in på datorn där MIM-tjänsten är installerad som administratör eller användaren som installerade MIM.On the computer where the MIM Service is installed, sign in as an administrator or as the user who installed MIM.

  2. Skapa en ny katalogmapp i katalogen där MIM-tjänsten är installeras, exempelvis C:\\Program Files\\Microsoft Forefront Identity Manager\\2010\\Service\\MfaCerts.Create a new directory folder under the directory where the MIM Service was installed, such as C:\\Program Files\\Microsoft Forefront Identity Manager\\2010\\Service\\MfaCerts.

  3. Öppna Utforskaren och gå till mappen pf\certs i ZIP-filen som hämtades i föregående avsnitt och kopiera filen cert_key.p12 till den nya katalogen.Using Windows Explorer, navigate into the pf\certs folder of the ZIP file downloaded in the previous section, and copy the file cert_key.p12 to the new directory.

  4. Öppna Utforskaren och gå till mappen pf i ZIP-filen och öppna filen pf_auth.cs i en textredigerare, till exempel Wordpad.Using Windows Explorer, navigate into the pf folder of the ZIP, and open the file pf_auth.cs in a text editor like Wordpad.

  5. Leta upp de här tre parametrarna: LICENSE_KEY, GROUP_KEY, CERT_PASSWORD.Find these three parameters: LICENSE_KEY, GROUP_KEY, CERT_PASSWORD.

Kopiera värden från filen pf_auth.cs – skärmbild

  1. Använd Anteckningar och öppna MfaSettings.xml som finns i C:\\Program Files\\Microsoft Forefront Identity Manager\\2010\\Service.Using Notepad, open MfaSettings.xml located in C:\\Program Files\\Microsoft Forefront Identity Manager\\2010\\Service.

  2. Kopiera värdena från parametrarna LICENSE_KEY, GROUP_KEY och CERT_PASSWORD i filen pf_auth.cs till deras respektive xml-element i filen MfaSettings.xml.Copy the values from the LICENSE_KEY, GROUP_KEY, and CERT_PASSWORD parameters in the pf_auth.cs file into their respective xml elements in the MfaSettings.xml file.

  3. I XML-elementet anger du den fullständiga sökvägen till filen cert_key.p12 du extraherade tidigare.In the XML element, specify the full path name of the cert_key.p12 file extracted earlier.

  4. Ange ett valfritt användarnamn i elementet .In the element enter any username.

  5. I elementet ange du landskoden till dina användare, till exempel 1 för USA och Kanada.In the element enter the country code for dialing your users, such as 1 for the United States and Canada. Det här värdet används när användare är registrerade med telefonnummer utan landskod.This value is used in case users are registered with telephone numbers that do not have a country code. Om en användares telefonnummer har en annan internationell landskod än den som har konfigurerats för organisationen, måste den landskoden inkluderas i det telefonnumret som registreras.If a user’s phone number has an international country code distinct from that configured for the organization, then that country code must be included in the phone number that will be registered.

  6. Spara och skriv över filen MfaSettings.xml i MIM-tjänstmappen C:\\Program Files\\Microsoft Forefront Identity Manager\\2010\\Service.Save and overwrite the MfaSettings.xml file in the MIM Service folder C:\\Program Files\\Microsoft Forefront Identity Manager\\2010\\Service.

Anteckning

I slutet av processen kontrollerar du att filen MfaSettings.xml, eventuella kopior av den och ZIP-filen inte kan läsas offentligt.At the end of the process, ensure that the file MfaSettings.xml, or any copies of it or the ZIP file are not publically readable.

Konfigurera PAM-användare för Azure MFAConfigure PAM users for Azure MFA

En användarens telefonnummer måste lagras i MIM om användaren ska kunna aktivera en roll som kräver Azure MFA.For a user to activate a role that requires Azure MFA, the user's telephone number must be stored in MIM. Du kan ange det här attributet på två sätt.There are two ways this attribute is set.

Med kommandot New-PAMUser kopieras först ett telefonnummerattribut från användarens katalogpost i CORP-domänen till MIM-tjänstens databas.First, the New-PAMUser command copies a phone number attribute from the user's directory entry in CORP domain, to the MIM Service database. Den här åtgärden behöver bara utföras en gång.Note that this is a one-time operation.

Sedan uppdateras telefonnummerattributet i MIM-tjänstens databas med kommandot Set-PAMUser.Second, the Set-PAMUser command updates the phone number attribute in the MIM Service database. Följande ersätter till exempel en befintlig PAM-användarens telefonnummer i MIM-tjänsten.For example, the following replaces an existing PAM user's phone number in the MIM Service. Användarens katalogpost påverkas inte.Their directory entry is unchanged.

Set-PAMUser (Get-PAMUser -SourceDisplayName Jen) -SourcePhoneNumber 12135551212

Konfigurera PAM-roller för Azure MFAConfigure PAM roles for Azure MFA

När alla telefonnummer till kandidatanvändare för en PAM-roll finns lagrade i MIM-tjänstens databas kan rollen konfigureras att kräva MFA Azure.Once all of the candidate users for a PAM role have their telephone numbers stored in the MIM Service database, the role can be configured to require Azure MFA. Det här gör du med kommandot New-PAMRole eller Set-PAMRole.This is done using the New-PAMRole or Set-PAMRole commands. Exempel:For example,

Set-PAMRole (Get-PAMRole -DisplayName "R") -MFAEnabled 1

Azure MFA kan inaktiveras för en roll genom att parametern "-MFAEnabled 0" anges i kommandot Set-PAMRole.Azure MFA can be disabled for a role by specifying the parameter "-MFAEnabled 0" in the Set-PAMRole command.

FelsökningTroubleshooting

Följande händelser kan du hitta i händelseloggen för Privileged Access Management:The following events can be found in the Privileged Access Management event log:

IDID AllvarlighetsgradSeverity Genererat avGenerated by BeskrivningDescription
101101 FelError MIM-tjänstMIM Service Användaren slutförde inte Azure MFA (t.ex. svarade inte i telefon)User did not complete Azure MFA (e.g., did not answer the phone)
103103 InformationInformation MIM-tjänstMIM Service Användaren slutförde Azure MFA vid aktiveringUser completed Azure MFA during activation
825825 VarningWarning PAM-övervakningstjänstPAM Monitoring Service Telefonnumret har ändratsTelephone number has been changed

Du kan också visa eller ladda ned en rapport från Azure MFA om du vill veta mer om misslyckade telefonsamtal (händelse nummer 101).To find out more information about failing telephone calls (event 101), you can also view or download a report from Azure MFA.

  1. Öppna en webbläsare och anslut till den klassiska Azure-portalen som global administratör för Azure AD.Open a web browser and connect to the Azure classic portal as an Azure AD global administrator.

  2. Välj Active Directory på menyn Azure Portal och klicka sedan på fliken Leverantör av multifaktorautent.Select Active Directory in the Azure Portal menu, and then select the Multi-Factor Auth Providers tab.

  3. Välj Azure MFA-leverantören du använder för PAM och klicka på Hantera.Select the Azure MFA provider you're using for PAM, and then click Manage.

  4. I det nya fönstret klickar du på Användning och sedan på Användarinformation.In the new window, click Usage, then click User Details.

  5. Ange tidsintervall och markera kryssrutan bredvid Namn i den extra rapportkolumnen.Select the time range, and check the box by the Name in the additional report column. Klicka på Exportera till CSV.Click Export to CSV.

  6. När rapporten har skapats kan du visa den i portalen. Om MFA-rapporten är omfattande kan du ladda ned den som en CSV-fil.When the report has been generated, you can view it in the portal or, if the MFA report is extensive, download it to a CSV file. SDK-värdena i kolumnen AUTENTISERINGSTYP visar rader som är relevanta som PAM-aktiveringsbegäranden: de är händelser från MIM och annan lokal programvara.SDK values in the AUTH TYPE column indicate rows that are relevant as PAM activation requests: these are events originating from MIM or other on-premises software. Fältet ANVÄNDARNAMN är GUID för användarobjektet i MIM-tjänstens databas.The USERNAME field is the GUID of the user object in the MIM service database. Om ett samtal misslyckades är värdet i kolumnen AUTHD Nej och värdet i kolumnen SAMTALSRESULTAT innehåller information om felorsaken.If a call was unsuccessful, the value in the AUTHD column will be No and the value of the CALL RESULT column will contain the details of the failure reason.