Udostępnij za pośrednictwem

Samouczek: zabezpieczanie zdarzeń logowania użytkownika za pomocą uwierzytelniania wieloskładnikowego firmy Microsoft

  • Artykuł

Uwierzytelnianie wieloskładnikowe to proces, w którym użytkownik jest monitowany o dodatkowe formy identyfikacji podczas zdarzenia logowania. Na przykład, może pojawić się prośba o wprowadzenie kodu na telefonie komórkowym lub zeskanowanie odcisku palca. Jeśli potrzebujesz drugiej formy identyfikacji, bezpieczeństwo jest zwiększane, ponieważ ten dodatkowy czynnik nie jest łatwy do uzyskania lub duplikatu przez osobę atakującą.

Zasady uwierzytelniania wieloskładnikowego i dostępu warunkowego firmy Microsoft umożliwiają elastyczne wymaganie uwierzytelniania wieloskładnikowego od użytkowników w przypadku określonych zdarzeń logowania.

Ważne

W tym samouczku pokazano administratorowi, jak włączyć uwierzytelnianie wieloskładnikowe firmy Microsoft. Aby jako użytkownik przejść przez uwierzytelnianie wieloskładnikowe, zobacz Logowanie się do konta służbowego lub szkolnego przy użyciu dwuetapowej metody weryfikacji.

Jeśli twój zespół IT nie włączył możliwości korzystania z uwierzytelniania wieloskładnikowego firmy Microsoft lub jeśli masz problemy podczas logowania, skontaktuj się z pomocą techniczną, aby uzyskać dodatkową pomoc.

Ten samouczek zawiera informacje na temat wykonywania następujących czynności:

  • Utwórz zasady dostępu warunkowego, aby włączyć uwierzytelnianie wieloskładnikowe Microsoft Entra dla grupy użytkowników.
  • Skonfiguruj warunki zasad monitujące o uwierzytelnianie wieloskładnikowe.
  • Przetestuj konfigurowanie i używanie uwierzytelniania wieloskładnikowego jako użytkownika.

Wymagania wstępne

Do ukończenia tego samouczka potrzebne są następujące zasoby i uprawnienia:

  • Działająca dzierżawa Microsoft Entra z aktywowanym Microsoft Entra ID P1 lub włączonymi licencjami wersji próbnej.

  • Konto z co najmniej rolą administratora dostępu warunkowego. Niektóre ustawienia uwierzytelniania wieloskładnikowego mogą być również zarządzane przez administratora zasad uwierzytelniania.

  • Konto inne niż administrator z hasłem, które znasz. Na potrzeby tego samouczka utworzyliśmy takie konto o nazwie testuser. W tym samouczku przetestujesz doświadczenie użytkownika końcowego związane z konfigurowaniem i używaniem uwierzytelniania wieloskładnikowego firmy Microsoft.

  • Grupa, do którego należy użytkownik niebędący administratorem. Na potrzeby tego samouczka utworzyliśmy taką grupę o nazwie MFA-Test-Group. W tym samouczku włączysz uwierzytelnianie wieloskładnikowe Microsoft Entra dla tej grupy.

Tworzenie zasady dostępu warunkowego

Zalecanym sposobem włączania i używania uwierzytelniania wieloskładnikowego firmy Microsoft jest użycie zasad dostępu warunkowego. Dostęp warunkowy umożliwia tworzenie i definiowanie zasad, które reagują na zdarzenia logowania oraz żądają dodatkowych akcji przed przyznaniem użytkownikowi dostępu do aplikacji lub usługi.

Diagram przeglądu sposobu działania dostępu warunkowego w celu zabezpieczenia procesu logowania

Zasady dostępu warunkowego można stosować do określonych użytkowników, grup i aplikacji. Celem jest ochrona organizacji przy jednoczesnym zapewnieniu odpowiednich poziomów dostępu do użytkowników, którzy jej potrzebują.

W tym samouczku utworzymy podstawowe zasady dostępu warunkowego w celu wyświetlenia monitu o uwierzytelnianie wieloskładnikowe podczas logowania użytkownika. W kolejnym samouczku z tej serii skonfigurujemy uwierzytelnianie wieloskładnikowe firmy Microsoft przy użyciu zasad dostępu warunkowego opartego na ryzyku.

Najpierw utwórz zasady dostępu warunkowego i przypisz grupę testową użytkowników w następujący sposób:

  1. Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej Administrator dostępu warunkowego.
  2. Przejdź do Ochrona>Dostęp Warunkowy> Przegląd, wybierz pozycję + Utwórz nową politykę.

Zrzut ekranu przedstawiający stronę Dostęp warunkowy, na której wybierasz pozycję „Nowe zasady”, a następnie pozycję „Utwórz nowe zasady”.

  1. Wprowadź nazwę dla polityki, na przykład MFA Pilot.

  2. W obszarze Przypisania wybierz bieżącą wartość w obszarze Użytkownicy lub tożsamości obciążenia.

    Zrzut ekranu przedstawiający stronę Dostęp warunkowy, na której należy wybrać bieżącą wartość w obszarze

  3. W obszarze Co mają zastosowanie te zasady?, sprawdź, czy wybrano opcję Użytkownicy i grupy .

  4. W obszarze Uwzględnij wybierz pozycję Wybierz użytkowników i grupy, a następnie wybierz pozycję Użytkownicy i grupy.

    Zrzut ekranu przedstawiający stronę tworzenia nowych zasad, gdzie wybierasz opcje określania użytkowników i grup.

    Ponieważ nikt nie jest jeszcze przypisany, lista użytkowników i grup (pokazana w następnym kroku) zostanie otwarta automatycznie.

  5. Wyszukaj i wybierz grupę Microsoft Entra, taką jak MFA-Test-Group, a następnie wybierz Wybierz.

    Zrzut ekranu przedstawiający listę użytkowników i grup, z wynikami filtrowanymi według liter M F A i zaznaczoną grupą

Wybraliśmy grupę, do których mają być stosowane zasady. W następnej sekcji skonfigurujemy warunki, w których mają być stosowane zasady.

Konfigurowanie warunków uwierzytelniania wieloskładnikowego

Po utworzeniu zasad dostępu warunkowego i przypisaniu grupy testowej użytkowników zdefiniuj aplikacje w chmurze lub akcje wyzwalające zasady. Te aplikacje lub działania w chmurze to sytuacje, które według twojej decyzji wymagają dodatkowego przetwarzania, takie jak wymagające uwierzytelniania wieloskładnikowego. Możesz na przykład zdecydować, że dostęp do aplikacji finansowej lub korzystanie z narzędzi do zarządzania wymaga dodatkowego monitu o uwierzytelnienie.

Konfigurowanie aplikacji wymagających uwierzytelniania wieloskładnikowego

Na potrzeby tego samouczka skonfiguruj zasady dostępu warunkowego, aby wymagać uwierzytelniania wieloskładnikowego, gdy użytkownik się zaloguje.

  1. Wybierz bieżącą wartość w obszarze Aplikacje lub akcje w chmurze, a następnie w obszarze Wybierz, do czego mają zastosowanie te zasady, sprawdź, czy wybrano aplikacje w chmurze.

  2. W obszarze Dołącz wybierz pozycję Wybierz zasoby.

    Ponieważ żadne aplikacje nie są jeszcze wybrane, lista aplikacji (pokazana w następnym kroku) zostanie otwarta automatycznie.

    Napiwek

    Możesz zastosować zasady dostępu warunkowego do wszystkich zasobów (dawniej "Wszystkie aplikacje w chmurze") lub Wybierz zasoby. Aby zapewnić elastyczność, możesz również wykluczyć niektóre aplikacje z zasad.

  3. Przejrzyj listę dostępnych zdarzeń logowania, którymi można się posłużyć. Na potrzeby tego samouczka wybierz Windows Azure Service Management API, aby zasady obowiązywały podczas zdarzeń logowania. Następnie naciśnij przycisk Wybierz.

    Zrzut ekranu przedstawiający stronę Dostęp warunkowy, na której wybierzesz aplikację, interfejs API zarządzania usługami Platformy Windows Azure, do której zostaną zastosowane nowe zasady.

Konfigurowanie uwierzytelniania wieloskładnikowego na potrzeby dostępu

Następnie skonfigurujemy mechanizmy kontroli dostępu. Mechanizmy kontroli dostępu umożliwiają zdefiniowanie wymagań dotyczących udzielenia dostępu użytkownikowi. Może być wymagane użycie zatwierdzonej aplikacji klienckiej lub urządzenia dołączonego hybrydowo do identyfikatora Entra firmy Microsoft.

W tym samouczku skonfiguruj mechanizmy kontroli dostępu, aby wymagać uwierzytelniania wieloskładnikowego podczas procesu logowania.

  1. W sekcji Kontrole dostępu wybierz bieżącą wartość w rubryce Udziel, a następnie wybierz opcję Udziel dostępu.

    Zrzut ekranu przedstawiający stronę Dostęp warunkowy, na której wybierz opcję

  2. Wybierz pozycję Wymagaj uwierzytelniania wieloskładnikowego, a następnie wybierz pozycję Wybierz.

    Zrzut ekranu przedstawiający opcje udzielania dostępu, w którym wybrano pozycję

Aktywuj politykę

Zasady dostępu warunkowego można ustawić na Tylko raportowanie, jeśli chcesz zobaczyć, jak konfiguracja wpłynie na użytkowników, lub Wyłączone, jeśli nie chcesz teraz używać tych zasad. Ponieważ grupa testowa użytkowników jest przeznaczona dla tego samouczka, włączmy zasady, a następnie przetestujmy uwierzytelnianie wieloskładnikowe firmy Microsoft.

  1. W obszarze Włączanie zasad wybierz pozycję Włączone.

    Zrzut ekranu przedstawiający kontrolkę znajdującą się w dolnej części strony internetowej, w której określasz, czy zasady są włączone.

  2. Aby zastosować zasady dostępu warunkowego, wybierz pozycję Utwórz.

Testowanie usługi Microsoft Entra do uwierzytelniania wieloskładnikowego

Przyjrzyjmy się zasadom dostępu warunkowego oraz uwierzytelnianiu wieloskładnikowemu Microsoft Entra w praktyce.

Najpierw zaloguj się do zasobu, który nie wymaga uwierzytelniania wieloskładnikowego:

  1. Otwórz nowe okno przeglądarki w trybie incognito lub InPrivate i przejdź do adresu https://account.activedirectory.windowsazure.com.

    Korzystanie z trybu prywatnego w przeglądarce uniemożliwia wpływ jakichkolwiek istniejących poświadczeń na to zdarzenie logowania.

  2. Zaloguj się przy użyciu użytkownika testowego innego niż administrator, takiego jak testuser. Pamiętaj, aby uwzględnić @ oraz nazwę domeny dla konta użytkownika.

    Jeśli jest to pierwsze wystąpienie logowania przy użyciu tego konta, zostanie wyświetlony monit o zmianę hasła. Nie ma jednak monitu o skonfigurowanie lub użycie uwierzytelniania wieloskładnikowego.

  3. Zamknij okno przeglądarki.

Skonfigurowano zasady dostępu warunkowego, aby wymagać dodatkowego uwierzytelniania na potrzeby logowania. W związku z tą konfiguracją zostanie wyświetlony monit o użycie uwierzytelniania wieloskładnikowego firmy Microsoft lub skonfigurowanie metody, jeśli jeszcze tego nie zrobiono. Przetestuj to nowe wymaganie, logując się do centrum administracyjnego firmy Microsoft Entra:

  1. Otwórz nowe okno przeglądarki w trybie InPrivate lub incognito i zaloguj się do centrum administracyjnego firmy Microsoft Entra.

  2. Zaloguj się przy użyciu użytkownika testowego innego niż administrator, takiego jak testuser. Pamiętaj, aby uwzględnić @ oraz nazwę domeny dla konta użytkownika.

    Musisz zarejestrować się na potrzeby uwierzytelniania wieloskładnikowego firmy Microsoft i korzystać z niego.

    Monit z komunikatem

  3. Wybierz przycisk Dalej , aby rozpocząć proces.

    Możesz skonfigurować telefon uwierzytelniania, telefon biurowy lub aplikację mobilną na potrzeby uwierzytelniania. Telefon uwierzytelniania obsługuje wiadomości SMS i połączenia telefoniczne, telefon biurowy obsługuje połączenia z numerami, które mają rozszerzenie, a aplikacja mobilna obsługuje używanie aplikacji mobilnej do odbierania powiadomień na potrzeby uwierzytelniania lub generowania kodów uwierzytelniania.

    Monit z komunikatem

  4. Wykonaj instrukcje na ekranie, aby skonfigurować wybraną metodę uwierzytelniania wieloskładnikowego.

  5. Zamknij okno przeglądarki i zaloguj się ponownie do centrum administracyjnego firmy Microsoft Entra, aby przetestować skonfigurowaną metodę uwierzytelniania. Jeśli na przykład skonfigurowano aplikację mobilną do uwierzytelniania, powinien zostać wyświetlony monit podobny do poniższego.

    Aby się zalogować, postępuj zgodnie z monitami w przeglądarce, a następnie monit na urządzeniu, które zostało zarejestrowane do uwierzytelniania wieloskładnikowego.

  6. Zamknij okno przeglądarki.

Czyszczenie zasobów

Jeśli nie chcesz już używać zasad dostępu warunkowego skonfigurowanego w ramach tego samouczka, usuń zasady, wykonując następujące czynności:

  1. Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej Administrator dostępu warunkowego.

  2. Przejdź do Zasady>Dostęp Warunkowy, a następnie wybierz utworzoną zasadę, taką jak MFA Pilot.

  3. wybierz pozycję Usuń, a następnie potwierdź, że chcesz usunąć zasady.

    Aby usunąć otwarte zasady dostępu warunkowego, wybierz pozycję Usuń, która znajduje się pod nazwą zasad.

Następne kroki

W tym samouczku włączono uwierzytelnianie wieloskładnikowe Microsoft Entra przy użyciu zasad dostępu warunkowego dla wybranej grupy użytkowników. Nauczyłeś się, jak:

  • Utwórz politykę dostępu warunkowego, aby włączyć uwierzytelnianie wieloskładnikowe Microsoft Entra dla grupy użytkowników Entra.
  • Skonfiguruj warunki polityki, które monitują o uwierzytelnianie wieloskładnikowe.
  • Przetestuj konfigurowanie i używanie uwierzytelniania wieloskładnikowego jako użytkownika.

Włącz zapisywanie zwrotne haseł na potrzeby samoobsługowego resetowania hasła (SSPR)