Kurz: Zabezpečení událostí přihlašování uživatelů pomocí vícefaktorového ověřování Microsoft Entra

  • Článek

Vícefaktorové ověřování je proces, při kterém se uživateli během přihlášení zobrazí výzva k zadání dalších forem identifikace. Například výzva může být zadání kódu na mobilním telefonu nebo poskytnutí otisku prstu. Pokud požadujete druhou formu identifikace, zvyšuje se zabezpečení, protože tento dodatečný faktor není snadný, aby útočník získal nebo duplikuje.

Vícefaktorové ověřování Microsoft Entra a zásady podmíněného přístupu umožňují flexibilně vyžadovat vícefaktorové ověřování od uživatelů pro konkrétní události přihlášení. Pro přehled vícefaktorového ověřování doporučujeme sledovat toto video: Jak nakonfigurovat a vynutit vícefaktorové ověřování ve vašem tenantovi.

Důležité

V tomto kurzu se dozvíte, jak povolit vícefaktorové ověřování Microsoft Entra. Pokud chcete procházet vícefaktorové ověřování jako uživatel, přečtěte si téma Přihlášení k pracovnímu nebo školnímu účtu pomocí dvoustupňové metody ověřování.

Pokud váš IT tým nepovolil možnost používat vícefaktorové ověřování Microsoft Entra nebo pokud máte problémy při přihlašování, obraťte se na helpdesk a požádejte ho o další pomoc.

V tomto kurzu se naučíte:

  • Vytvořte zásadu podmíněného přístupu pro povolení vícefaktorového ověřování Microsoft Entra pro skupinu uživatelů.
  • Nakonfigurujte podmínky zásad, které se zobrazí výzva k vícefaktorovém ověřování.
  • Otestujte konfiguraci a použití vícefaktorového ověřování jako uživatel.

Požadavky

K dokončení tohoto kurzu potřebujete následující prostředky a oprávnění:

  • Funkční tenant Microsoft Entra s povolenými licencemi Microsoft Entra ID P1 nebo zkušební verze.

  • Účet s oprávněními podmíněného přístupu Správa istrator, zabezpečení Správa istrator nebo globální Správa istrator. Některá nastavení vícefaktoru se dají spravovat také pomocí zásad ověřování Správa istrator. Další informace naleznete v tématu Zásady ověřování Správa istrator.

  • Účet bez oprávnění správce s heslem, které znáte. Pro účely tohoto kurzu jsme vytvořili takový účet s názvem testuser. V tomto kurzu otestujete prostředí koncového uživatele při konfiguraci a používání vícefaktorového ověřování Microsoft Entra.

  • Skupina, ve které je uživatel bez oprávnění správce členem. Pro účely tohoto kurzu jsme vytvořili takovou skupinu s názvem MFA-Test-Group. V tomto kurzu povolíte vícefaktorové ověřování Microsoft Entra pro tuto skupinu.

Vytvoření zásad podmíněného přístupu

Tip

Postup v tomto článku se může mírně lišit v závislosti na portálu, od který začínáte.

Doporučený způsob povolení a používání vícefaktorového ověřování Microsoft Entra je se zásadami podmíněného přístupu. Podmíněný přístup umožňuje vytvářet a definovat zásady, které reagují na události přihlášení a které před udělením přístupu uživatele k aplikaci nebo službě požadují další akce.

Overview diagram of how Conditional Access works to secure the sign-in process

Zásady podmíněného přístupu se dají použít pro konkrétní uživatele, skupiny a aplikace. Cílem je chránit vaši organizaci a zároveň poskytovat správné úrovně přístupu uživatelům, kteří ho potřebují.

V tomto kurzu vytvoříme základní zásady podmíněného přístupu, které při přihlášení uživatele zobrazí výzvu k vícefaktorovém ověřování. V pozdějším kurzu této série nakonfigurujeme vícefaktorové ověřování Microsoft Entra pomocí zásad podmíněného přístupu na základě rizika.

Nejprve vytvořte zásadu podmíněného přístupu a následujícím způsobem přiřaďte testovací skupinu uživatelů:

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň podmíněný přístup Správa istrator.

  2. Přejděte do části Podmíněný přístup ochrany>, vyberte + Nové zásady a pak vyberte Vytvořit novou zásadu.

    A screenshot of the Conditional Access page, where you select 'New policy' and then select 'Create new policy'.

  3. Zadejte název zásady, například pilotní nasazení vícefaktorového ověřování.

  4. V části Přiřazení vyberte aktuální hodnotu v části Uživatelé nebo identity úloh.

    A screenshot of the Conditional Access page, where you select the current value under 'Users or workload identities'.

  5. V části Na co se tato zásada vztahuje?, ověřte, že je vybraná možnost Uživatelé a skupiny .

  6. V části Zahrnout zvolte Vybrat uživatele a skupiny a pak vyberte Uživatelé a skupiny.

    A screenshot of the page for creating a new policy, where you select options to specify users and groups.

    Vzhledem k tomu, že nikdo ještě není přiřazený, otevře se automaticky seznam uživatelů a skupin (zobrazený v dalším kroku).

  7. Vyhledejte a vyberte skupinu Microsoft Entra, například MFA-Test-Group, a pak zvolte Vybrat.

    A screenshot of the list of users and groups, with results filtered by the letters M F A, and 'MFA-Test-Group' selected.

Vybrali jsme skupinu, na které se mají zásady použít. V další části nakonfigurujeme podmínky, za kterých se mají zásady použít.

Konfigurace podmínek pro vícefaktorové ověřování

Teď, když se vytvoří zásada podmíněného přístupu a přiřadí se testovací skupina uživatelů, definujte cloudové aplikace nebo akce, které zásadu aktivují. Tyto cloudové aplikace nebo akce jsou scénáře, které se rozhodnete vyžadovat další zpracování, jako je například výzva k vícefaktorovém ověřování. Můžete se například rozhodnout, že přístup k finanční aplikaci nebo použití nástrojů pro správu vyžaduje další výzvu k ověření.

Konfigurace aplikací vyžadujících vícefaktorové ověřování

Pro účely tohoto kurzu nakonfigurujte zásady podmíněného přístupu tak, aby při přihlášení uživatele vyžadovaly vícefaktorové ověřování.

  1. Vyberte aktuální hodnotu v části Cloudové aplikace nebo akce a potom v části Vyberte, na co se tato zásada vztahuje, ověřte, že jsou vybrané cloudové aplikace .

  2. V části Zahrnout zvolte Vybrat aplikace.

    Vzhledem k tomu, že ještě nejsou vybrané žádné aplikace, otevře se automaticky seznam aplikací (zobrazený v dalším kroku).

    Tip

    Můžete se rozhodnout použít zásady podmíněného přístupu pro všechny cloudové aplikace nebo vybrat aplikace. Pokud chcete zajistit flexibilitu, můžete z těchto zásad také vyloučit určité aplikace.

  3. Projděte si seznam dostupných událostí přihlašování, které je možné použít. Pro účely tohoto kurzu vyberte rozhraní API služby Windows Azure Service Management, aby se zásady vztahovaly na události přihlášení. Poté zvolte Vybrat.

    A screenshot of the Conditional Access page, where you select the app, Windows Azure Service Management API, to which the new policy will apply.

Konfigurace vícefaktorového ověřování pro přístup

Dále nakonfigurujeme řízení přístupu. Řízení přístupu umožňují definovat požadavky na udělení přístupu uživateli. Můžou být potřeba použít schválenou klientskou aplikaci nebo zařízení, které je hybridní připojené k ID Microsoft Entra.

V tomto kurzu nakonfigurujte řízení přístupu tak, aby vyžadovalo vícefaktorové ověřování během události přihlášení.

  1. V části Řízení přístupu vyberte aktuální hodnotu v části Udělení a pak vyberte Udělit přístup.

    A screenshot of the Conditional Access page, where you select 'Grant' and then select 'Grant access'.

  2. Vyberte Vyžadovat vícefaktorové ověřování a pak zvolte Vybrat.

    A screenshot of the options for granting access, where you select 'Require multi-factor authentication'.

Aktivace zásady

Zásady podmíněného přístupu je možné nastavit jenom v případě, že chcete zjistit, jak by konfigurace ovlivnila uživatele, nebo vypnuto, pokud nechcete zásady použití použít právě teď. Vzhledem k tomu, že pro účely tohoto kurzu cílí testovací skupina uživatelů, povolíme zásadu a pak otestujeme vícefaktorové ověřování Microsoft Entra.

  1. V části Povolit zásadu vyberte Zapnuté.

    A screenshot of the control that's near the bottom of the web page where you specify whether the policy is enabled.

  2. Pokud chcete použít zásady podmíněného přístupu, vyberte Vytvořit.

Testování vícefaktorového ověřování Microsoft Entra

Pojďme se podívat na zásady podmíněného přístupu a vícefaktorové ověřování Microsoft Entra v akci.

Nejprve se přihlaste k prostředku, který nevyžaduje vícefaktorové ověřování:

  1. Otevřete nové okno prohlížeče v režimu InPrivate nebo Incognito a přejděte na adresu https://account.activedirectory.windowsazure.com.

    Použití privátního režimu pro váš prohlížeč brání všem existujícím přihlašovacím údajům v ovlivnění této události přihlášení.

  2. Přihlaste se pomocí testovacího uživatele bez oprávnění správce, jako je testuser. Nezapomeňte zahrnout @ a název domény pro uživatelský účet.

    Pokud se jedná o první instanci přihlášení pomocí tohoto účtu, zobrazí se výzva ke změně hesla. Není však k dispozici žádná výzva ke konfiguraci nebo použití vícefaktorového ověřování.

  3. Zavřete okno prohlížeče.

Nakonfigurovali jste zásady podmíněného přístupu tak, aby vyžadovaly další ověřování pro přihlášení. Kvůli této konfiguraci se zobrazí výzva k použití vícefaktorového ověřování Microsoft Entra nebo ke konfiguraci metody, pokud jste to ještě neudělali. Otestujte tento nový požadavek přihlášením do Centra pro správu Microsoft Entra:

  1. Otevřete nové okno prohlížeče v režimu InPrivate nebo anonymním režimu a přihlaste se do Centra pro správu Microsoft Entra.

  2. Přihlaste se pomocí testovacího uživatele bez oprávnění správce, jako je testuser. Nezapomeňte zahrnout @ a název domény pro uživatelský účet.

    Musíte se zaregistrovat a používat vícefaktorové ověřování Microsoft Entra.

    A prompt that says 'More information required.' This is a prompt to configure a method of multi-factor authentication for this user.

  3. Výběrem možnosti Další zahájíte proces.

    Můžete nakonfigurovat telefon pro ověřování, telefon do kanceláře nebo mobilní aplikaci pro ověřování. Ověřovací telefon podporuje textové zprávy a telefonní hovory, telefon do kanceláře podporuje hovory na čísla, která mají příponu, a mobilní aplikace podporuje používání mobilní aplikace k přijímání oznámení o ověření nebo generování ověřovacích kódů.

    A prompt that says, 'Additional security verification.' This is a prompt to configure a method of multi-factor authentication for this user. You can choose as the method an authentication phone, an office phone, or a mobile app.

  4. Dokončete pokyny na obrazovce a nakonfigurujte metodu vícefaktorového ověřování, kterou jste vybrali.

  5. Zavřete okno prohlížeče a znovu se přihlaste do Centra pro správu Microsoft Entra a otestujte metodu ověřování, kterou jste nakonfigurovali. Pokud jste například nakonfigurovali mobilní aplikaci pro ověřování, měla by se zobrazit výzva podobná následující.

    To sign in, follow the prompts in your browser and then the prompt on the device that you registered for multifactor authentication.

  6. Zavřete okno prohlížeče.

Vyčištění prostředků

Pokud už nechcete používat zásady podmíněného přístupu, které jste nakonfigurovali v rámci tohoto kurzu, pomocí následujících kroků zásad odstraňte:

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň podmíněný přístup Správa istrator.

  2. Přejděte do části Podmíněný přístup ochrany> a vyberte zásady, které jste vytvořili, například pilotní nasazení vícefaktorového ověřování.

  3. vyberte Odstranit a potvrďte, že chcete zásadu odstranit.

    To delete the Conditional Access policy that you've opened, select Delete which is located under the name of the policy.

Další kroky

V tomto kurzu jste povolili vícefaktorové ověřování Microsoft Entra pomocí zásad podmíněného přístupu pro vybranou skupinu uživatelů. Naučili jste se:

  • Vytvořte zásadu podmíněného přístupu pro povolení vícefaktorového ověřování Microsoft Entra pro skupinu uživatelů Microsoft Entra.
  • Nakonfigurujte podmínky zásad, které se zobrazí výzva k vícefaktorovém ověřování.
  • Otestujte konfiguraci a použití vícefaktorového ověřování jako uživatel.

Povolení zpětného zápisu hesla pro samoobslužné resetování hesla (SSPR)