規劃 Azure Active Directory Multi-Factor Authentication 部署

Azure Active Directory (Azure AD) Multi-Factor Authentication (MFA) 可協助保護資料和應用程式的存取,並使用第二種形式的驗證來提供另一層安全性。 組織可以使用 條件式存取 啟用多重要素驗證,讓解決方案符合其特定需求。

此部署指南說明如何規劃和實行Azure AD MFA推出。

部署 Azure AD MFA 的必要條件

開始部署之前,請確定您符合相關案例的下列必要條件。

狀況 必要條件
僅限雲端 的身分識別環境 (含新式驗證) 沒有必要的工作
混合 式身分識別案例 部署Azure AD 連線,並同步處理內部部署 Active Directory Domain Services (AD DS) 和 Azure AD 之間的使用者身分識別。
針對雲端存取發佈的 內部部署繼承應用程式 部署Azure AD 應用程式 Proxy

選擇 MFA 的驗證方法

有許多方法可用於第二因素驗證。 您可以從可用的驗證方法清單中進行選擇,在安全性、可用性和可用性方面進行評估。

重要

啟用多個 MFA 方法,如此一來,當使用者的主要方法無法使用時,就會有可用的備份方法。 方法如下:

選擇將在您的租使用者中使用的驗證方法時,請考慮這些方法的安全性和可用性:

選擇正確的驗證方法

若要深入瞭解這些方法的強度和安全性,以及它們的運作方式,請參閱下列資源:

您可以使用此 PowerShell 腳本 來分析使用者的 mfa 設定,並建議適當的 mfa 驗證方法。

為了獲得最佳的彈性和可用性,請使用 Microsoft Authenticator 應用程式。 此驗證方法可提供最佳的使用者體驗和多種模式,例如無密碼、MFA 推播通知和 OATH 代碼。 Microsoft Authenticator 應用程式也符合美國國家標準和技術的規範, (NIST) Authenticator 保證層級2需求

您可以控制租使用者中可用的驗證方法。 例如,您可能會想要封鎖某些最不安全的方法,例如 SMS。

驗證方法 管理來源 範圍
Microsoft Authenticator (推播通知和無密碼手機登入) MFA 設定或驗證方法原則 Authenticator 無密碼手機登入可設定為使用者和群組的範圍
FIDO2 安全性金鑰 驗證方法原則 可以設定為使用者和群組的範圍
軟體或硬體 OATH 權杖 MFA 設定
簡訊驗證 MFA 設定
管理驗證原則中主要驗證的 SMS 登入
您可以將 SMS 登入範圍設定為使用者和群組。
語音通話 驗證方法原則

規劃條件式存取原則

Azure AD MFA 是使用條件式存取原則來強制執行。 這些原則可讓您在需要安全性時提示使用者進行多重要素驗證,並在不需要時,以使用者的方式保持不變。

概念性的條件式存取流程

在 Azure 入口網站中,您可以在 Azure Active Directory > 安全性 > 條件式存取 下設定條件式存取原則。

若要深入瞭解如何建立條件式存取原則,請參閱條件式存取原則,以在使用者登入 Azure 入口網站時提示要求 Azure AD MFA。 這可協助您:

  • 熟悉使用者介面
  • 取得條件式存取如何運作的第一印象

如需有關 Azure AD 條件式存取部署的端對端指引,請參閱條件式存取部署計畫

Azure AD MFA 的一般原則

需要 Azure AD MFA 的常見使用案例包括:

具名位置

若要管理您的條件式存取原則,條件式存取原則的位置條件可讓您將存取控制設定與使用者的網路位置結合。 建議您使用 命名位置 ,讓您能夠建立 IP 位址範圍或國家或地區的邏輯分組。 這會為封鎖從該命名位置登入的所有應用程式建立原則。 請確保您的管理員不受此原則約束。

以風險為基礎的原則

如果您的組織使用Azure AD Identity Protection來偵測風險信號,請考慮使用以風險為基礎的原則,而不是指定的位置。 您可以建立原則,以在發生遭盜用的身分識別威脅時強制變更密碼,或在登入被視為有 風險的事件 (例如,洩漏的認證、來自匿名 IP 位址的登入等)時需要多重要素驗證。

風險原則包括:

將使用者從個別使用者 MFA 轉換成條件式存取形式的 MFA

如果您的使用者已啟用並強制執行每個使用者 Azure AD Multi-Factor Authentication 下列 PowerShell 可協助您根據 Azure AD Multi-Factor Authentication 進行條件式存取的轉換。

在 ISE 視窗中執行此 PowerShell,或儲存為 .PS1 檔案在本機執行。 只有使用 MSOnline 模組才能完成作業。

# Sets the MFA requirement state
function Set-MfaState {
    [CmdletBinding()]
    param(
        [Parameter(ValueFromPipelineByPropertyName=$True)]
        $ObjectId,
        [Parameter(ValueFromPipelineByPropertyName=$True)]
        $UserPrincipalName,
        [ValidateSet("Disabled","Enabled","Enforced")]
        $State
    )
    Process {
        Write-Verbose ("Setting MFA state for user '{0}' to '{1}'." -f $ObjectId, $State)
        $Requirements = @()
        if ($State -ne "Disabled") {
            $Requirement =
                [Microsoft.Online.Administration.StrongAuthenticationRequirement]::new()
            $Requirement.RelyingParty = "*"
            $Requirement.State = $State
            $Requirements += $Requirement
        }
        Set-MsolUser -ObjectId $ObjectId -UserPrincipalName $UserPrincipalName `
                     -StrongAuthenticationRequirements $Requirements
    }
}
# Disable MFA for all users
Get-MsolUser -All | Set-MfaState -State Disabled

規劃使用者會話存留期

規劃 MFA 部署時,請務必考慮您想要提示使用者的頻率。 要求使用者提供認證通常是很好的事,但它可以 backfire。 如果使用者在不考慮的情況下輸入其認證,他們可能會不慎將他們提供給惡意認證提示。 Azure AD 有多個設定可決定您需要重新驗證的頻率。 瞭解您的企業和使用者的需求,並設定為您的環境提供最佳平衡的設定。

我們建議使用具有主要重新整理權杖的裝置 (PRT) 以改善終端使用者體驗,並只在特定的商務使用案例中使用登入頻率原則來減少會話存留期。

如需詳細資訊,請參閱優化重新驗證提示,以及瞭解 Azure AD MFA 的會話存留期

規劃使用者註冊

每個 MFA 部署中的一個主要步驟是讓使用者註冊使用 MFA。 語音和 SMS 等驗證方法允許預先註冊,有些則像是 Authenticator 的應用程式需要使用者互動。 系統管理員必須判斷使用者會如何註冊其方法。

SSPR 和 Azure AD MFA 的合併註冊

我們建議 Azure AD MFA 使用結合的註冊體驗,並Azure AD (SSPR) 的自助式密碼重設。 SSPR 可讓使用者使用用於 Azure AD MFA 的相同方法,以安全的方式重設其密碼。 合併的註冊是供一般使用者使用的單一步驟。

使用 Identity Protection 註冊

Azure AD Identity Protection 會將的註冊原則和自動化的風險偵測和補救原則同時提供給 Azure AD MFA 案例。 您可以建立原則,以在有洩漏的身分識別威脅時強制變更密碼,或在登入被視為有風險時要求 MFA。 如果您使用 Azure AD Identity Protection,請設定 Azure AD MFA 註冊原則,以提示使用者在下一次以互動方式登入時註冊。

不使用 Identity Protection 註冊

如果您沒有啟用 Azure AD Identity Protection 的授權,則使用者會在下次登入時要求 MFA 時,收到註冊的提示。 若要要求使用者使用 MFA,您可以使用條件式存取原則,並以頻繁使用的應用程式(例如 HR 系統)為目標。 如果使用者的密碼遭到入侵,它可以用來註冊 MFA,並控制其帳戶。 因此,建議使用要求受信任裝置和位置 的條件式存取原則來保護安全性註冊 程式。 您也可以進一步保護程式,也就是需要 暫時的存取權。 系統管理員發出的限時密碼,可滿足強式驗證需求,而且可用來讓其他驗證方法(包括無密碼)。

提高已註冊使用者的安全性

如果您的使用者已使用 SMS 或語音通話註冊 MFA,您可能會想要將它們移至更安全的方法,例如 Microsoft Authenticator 應用程式。 Microsoft 現在提供功能的公開預覽,可讓您在登入期間提示使用者設定 Microsoft Authenticator 應用程式。 您可以依群組設定這些提示,控制系統提示的物件,讓目標活動能夠將使用者移至更安全的方法。

方案修復案例

如先前所述,請確定使用者已註冊一個以上的 MFA 方法,如此一來,如果無法使用,則會有備份。 如果使用者沒有可用的備份方法,您可以:

  • 提供暫時存取權給他們,讓他們可以管理自己的驗證方法。 您也可以提供暫時的存取權,以啟用資源的暫時存取權。
  • 以系統管理員身分更新其方法。 若要這樣做,請在 [Azure 入口網站中選取使用者,然後選取 [驗證方法],並更新其方法。 與使用者溝通

請務必通知使用者即將進行的變更、Azure AD MFA 註冊需求,以及任何必要的使用者動作。 我們會提供 通訊範本使用者檔 ,以協助草擬您的通訊。 https://myprofile.microsoft.com選取該頁面上的 [安全性資訊] 連結,將使用者傳送到註冊。

規劃內部部署系統整合

直接向 Azure AD 驗證並具有新式驗證的應用程式 (WS-饋送、SAML、OAuth、OpenID Connect) 可以利用條件式存取原則。 某些舊版和內部部署應用程式不會直接針對 Azure AD 進行驗證,且需要額外的步驟才能使用 Azure AD MFA。 您可以使用 Azure AD 應用程式 proxy 或網路原則服務來進行整合。

與 AD FS 資源整合

建議您將使用 Active Directory 同盟服務 (AD FS) 保護的應用程式遷移至 Azure AD。 但是,如果您還沒準備好將它們遷移到 Azure AD,可以使用 Azure MFA 介面卡搭配 AD FS 2016 或更新版本。 如果您的組織與 Azure AD 同盟,您可以使用內部部署和雲端中的AD FS 資源,將 Azure AD MFA 設定為驗證提供者

RADIUS 用戶端和 Azure AD MFA

針對使用 RADIUS 驗證的應用程式,建議您將用戶端應用程式移至 Azure AD 上的新式通訊協定,例如 SAML、Open ID 連線或 OAuth。 如果無法更新應用程式,您可以 使用 Azure MFA 擴充功能來部署網路原則伺服器 (NPS) 。 網路原則伺服器 (NPS) 擴充功能可作為 RADIUS 應用程式與 Azure AD MFA 之間的介面卡,以提供第二個驗證因素。

一般整合

許多廠商現在支援其應用程式的 SAML 驗證。 可能的話,建議您將這些應用程式與 Azure AD 同盟,並透過條件式存取強制執行 MFA。 如果您的廠商不支援新式驗證–您可以使用 NPS 擴充功能。 常見的 RADIUS 用戶端整合包含應用程式,例如 遠端桌面閘道VPN 伺服器

其他可能包括:

  • Citrix 閘道

    Citrix 閘道 支援 RADIUS 和 NPS 擴充功能整合,以及 SAML 整合。

  • Cisco VPN

    • Cisco VPN 支援 SSO 的 RADIUS 和 SAML 驗證
    • 藉由將 RADIUS 驗證移至 SAML,您就可以整合 Cisco VPN,而不需要部署 NPS 擴充功能。
  • 所有 Vpn

部署 Azure AD MFA

您的 MFA 首度發行計劃應該包含試驗部署,隨後迎接支援能力可容許的部署潮。 開始推出時,請將條件式存取原則套用到一小組試驗使用者上。 評估了對試驗使用者、使用流程和註冊行為的效果之後,就可以將更多群組新增至原則,或將更多使用者新增至現有群組。

遵循下列步驟:

  1. 符合必要的必要條件
  2. 設定所選的驗證方法
  3. 設定設定條件式存取原則
  4. 設定會話存留期設定
  5. 設定 Azure AD MFA 註冊原則

管理 Azure AD MFA

本節提供 Azure AD MFA 的報告和疑難排解資訊。

報告和監視

Azure AD 具有可提供技術和商業見解的報表,請遵循您的部署進度,並檢查您的使用者是否成功登入 MFA。 讓您的商務和技術應用程式擁有者假設擁有權,並根據您組織的需求來取用這些報表。

您可以使用 [驗證方法] 活動儀表板來監視整個組織的驗證方法註冊和使用方式。 這可協助您瞭解正在註冊的方法,以及其使用方式。

用來檢查 MFA 事件的登入報告

當系統提示使用者進行多重要素驗證,以及是否正在使用任何條件式存取原則時,Azure AD 登入報告包含事件的驗證詳細資料。 您也可以使用 PowerShell 來報告已註冊 MFA 的使用者。

您可以從 安全性 > MFA > 活動報告 中查看 NPS 擴充功能和 AD FS 記錄。

如需詳細資訊和其他 MFA 報告,請參閱審核 Azure AD Multi-Factor Authentication 事件

針對 Azure AD MFA 進行疑難排解

如需常見問題,請參閱Azure AD MFA 的疑難排解

下一步

部署其他身分識別功能