Självstudie: Skydda användarinloggningshändelser med Microsoft Entra multifaktorautentisering

  • Artikel

Multifaktorautentisering är en process där en användare uppmanas att ange ytterligare former av identifiering under en inloggningshändelse. Till exempel kan uppmaningen vara att ange en kod på sin mobiltelefon eller att tillhandahålla en fingeravtrycksgenomsökning. När du behöver en andra form av identifiering ökar säkerheten eftersom den här extra faktorn inte är lätt för en angripare att hämta eller duplicera.

Microsoft Entra-multifaktorautentisering och principer för villkorsstyrd åtkomst ger dig flexibiliteten att kräva MFA från användare för specifika inloggningshändelser. För en översikt över MFA rekommenderar vi att du tittar på den här videon: Så här konfigurerar och framtvingar du multifaktorautentisering i din klientorganisation.

Viktigt!

Den här självstudien visar en administratör hur du aktiverar Microsoft Entra multifaktorautentisering. Information om hur du går igenom multifaktorautentiseringen som användare finns i Logga in på ditt arbets- eller skolkonto med hjälp av din tvåstegsverifieringsmetod.

Om IT-teamet inte har aktiverat möjligheten att använda Microsoft Entra multifaktorautentisering, eller om du har problem vid inloggningen, kontaktar du supportavdelningen för ytterligare hjälp.

I den här självstudiekursen får du lära du dig att:

  • Skapa en princip för villkorlig åtkomst för att aktivera Microsoft Entra multifaktorautentisering för en grupp användare.
  • Konfigurera de principvillkor som frågar efter MFA.
  • Testa konfiguration och användning av multifaktorautentisering som användare.

Förutsättningar

För att slutföra den här självstudien behöver du följande resurser och behörigheter:

  • En fungerande Microsoft Entra-klient med Microsoft Entra ID P1 eller utvärderingslicenser aktiverade.

  • Ett konto med behörighet som administratör för villkorlig åtkomst, säkerhetsadministratör eller global administratör . Vissa MFA-inställningar kan också hanteras av en administratör för autentiseringsprinciper. Mer information finns i Administratör för autentiseringsprincip.

  • Ett konto som inte är administratör med ett lösenord som du känner till. I den här självstudien skapade vi ett sådant konto med namnet testuser. I den här självstudien testar du slutanvändarens upplevelse av att konfigurera och använda Microsoft Entra multifaktorautentisering.

  • En grupp som användaren som inte är administratör är medlem i. I den här självstudien har vi skapat en sådan grupp med namnet MFA-Test-Group. I den här självstudien aktiverar du Microsoft Entra multifaktorautentisering för den här gruppen.

Skapa en princip för villkorsstyrd åtkomst

Dricks

Stegen i den här artikeln kan variera något beroende på vilken portal du börjar från.

Det rekommenderade sättet att aktivera och använda Microsoft Entra multifaktorautentisering är med principer för villkorsstyrd åtkomst. Med villkorsstyrd åtkomst kan du skapa och definiera principer som reagerar på inloggningshändelser och som begär ytterligare åtgärder innan en användare beviljas åtkomst till ett program eller en tjänst.

Overview diagram of how Conditional Access works to secure the sign-in process

Principer för villkorlig åtkomst kan tillämpas på specifika användare, grupper och appar. Målet är att skydda din organisation samtidigt som du ger rätt åtkomstnivåer till de användare som behöver den.

I den här självstudien skapar vi en grundläggande princip för villkorsstyrd åtkomst för att fråga efter MFA när en användare loggar in. I en senare självstudie i den här serien konfigurerar vi Microsoft Entra multifaktorautentisering med hjälp av en riskbaserad princip för villkorsstyrd åtkomst.

Skapa först en princip för villkorsstyrd åtkomst och tilldela testgruppen med användare på följande sätt:

  1. Logga in på administrationscentret för Microsoft Entra som minst administratör för villkorsstyrd åtkomst.

  2. Bläddra till Villkorlig åtkomst för skydd>, välj + Ny princip och välj sedan Skapa ny princip.

    A screenshot of the Conditional Access page, where you select 'New policy' and then select 'Create new policy'.

  3. Ange ett namn för principen, till exempel MFA Pilot.

  4. Under Tilldelningar väljer du det aktuella värdet under Användare eller arbetsbelastningsidentiteter.

    A screenshot of the Conditional Access page, where you select the current value under 'Users or workload identities'.

  5. Under Vad gäller den här principen för?kontrollerar du att Användare och grupper har valts.

  6. Under Inkludera väljer du Välj användare och grupper och sedan Användare och grupper.

    A screenshot of the page for creating a new policy, where you select options to specify users and groups.

    Eftersom ingen har tilldelats ännu öppnas listan över användare och grupper (visas i nästa steg) automatiskt.

  7. Bläddra efter och välj din Microsoft Entra-grupp, till exempel MFA-Test-Group, och välj sedan Välj.

    A screenshot of the list of users and groups, with results filtered by the letters M F A, and 'MFA-Test-Group' selected.

Vi har valt den grupp som principen ska tillämpas på. I nästa avsnitt konfigurerar vi de villkor under vilka principen ska tillämpas.

Konfigurera villkoren för multifaktorautentisering

Nu när principen för villkorsstyrd åtkomst har skapats och en testgrupp med användare har tilldelats definierar du de molnappar eller åtgärder som utlöser principen. Dessa molnappar eller åtgärder är de scenarier som du bestämmer dig för att kräva ytterligare bearbetning, till exempel frågor om multifaktorautentisering. Du kan till exempel bestämma att åtkomst till ett ekonomiskt program eller användning av hanteringsverktyg kräver ytterligare en uppmaning om autentisering.

Konfigurera vilka appar som kräver multifaktorautentisering

I den här självstudien konfigurerar du principen för villkorsstyrd åtkomst för att kräva multifaktorautentisering när en användare loggar in.

  1. Välj det aktuella värdet under Molnappar eller åtgärder. Under Välj vad den här principen gäller kontrollerar du sedan att Molnappar har valts.

  2. Under Inkludera väljer du Välj appar.

    Eftersom inga appar ännu har valts öppnas listan över appar (visas i nästa steg) automatiskt.

    Dricks

    Du kan välja att tillämpa principen för villkorsstyrd åtkomst på Alla molnappar eller Välj appar. För att ge flexibilitet kan du även undanta vissa appar från principen.

  3. Bläddra i listan över tillgängliga inloggningshändelser som kan användas. I den här självstudien väljer du Windows Azure Service Management API så att principen gäller för inloggningshändelser. Välj sedan Välj.

    A screenshot of the Conditional Access page, where you select the app, Windows Azure Service Management API, to which the new policy will apply.

Konfigurera multifaktorautentisering för åtkomst

Därefter konfigurerar vi åtkomstkontroller. Med åtkomstkontroller kan du definiera kraven för att en användare ska beviljas åtkomst. De kan behöva använda en godkänd klientapp eller en enhet som är hybridanslutning till Microsoft Entra-ID.

I den här självstudien konfigurerar du åtkomstkontrollerna så att de kräver multifaktorautentisering under en inloggningshändelse.

  1. Under Åtkomstkontroller väljer du det aktuella värdet under Bevilja och väljer sedan Bevilja åtkomst.

    A screenshot of the Conditional Access page, where you select 'Grant' and then select 'Grant access'.

  2. Välj Kräv multifaktorautentisering och välj sedan Välj.

    A screenshot of the options for granting access, where you select 'Require multi-factor authentication'.

Aktivera principen

Principer för villkorsstyrd åtkomst kan anges till Endast rapport om du vill se hur konfigurationen skulle påverka användare eller Av om du inte vill använda principen just nu. Eftersom en testgrupp med användare är mål för den här självstudien ska vi aktivera principen och sedan testa Microsoft Entra multifaktorautentisering.

  1. Välj under Aktivera princip.

    A screenshot of the control that's near the bottom of the web page where you specify whether the policy is enabled.

  2. Om du vill tillämpa principen för villkorsstyrd åtkomst väljer du Skapa.

Testa Microsoft Entra multifaktorautentisering

Nu ska vi se din princip för villkorsstyrd åtkomst och Microsoft Entra multifaktorautentisering i praktiken.

Logga först in på en resurs som inte kräver MFA:

  1. Öppna ett nytt webbläsarfönster i InPrivate- eller https://account.activedirectory.windowsazure.com.

    Om du använder ett privat läge för webbläsaren förhindrar du att befintliga autentiseringsuppgifter påverkar den här inloggningshändelsen.

  2. Logga in med testanvändaren som inte är administratör, till exempel testanvändare. Se till att inkludera @ och domännamnet för användarkontot.

    Om detta är den första instansen av inloggning med det här kontot uppmanas du att ändra lösenordet. Du uppmanas dock inte att konfigurera eller använda multifaktorautentisering.

  3. Stäng webbläsarfönstret.

Du har konfigurerat principen för villkorsstyrd åtkomst för att kräva ytterligare autentisering för inloggning. På grund av den konfigurationen uppmanas du att använda Microsoft Entra multifaktorautentisering eller att konfigurera en metod om du ännu inte har gjort det. Testa det här nya kravet genom att logga in på administrationscentret för Microsoft Entra:

  1. Öppna ett nytt webbläsarfönster i InPrivate- eller inkognitoläge och logga in på administrationscentret för Microsoft Entra.

  2. Logga in med testanvändaren som inte är administratör, till exempel testanvändare. Se till att inkludera @ och domännamnet för användarkontot.

    Du måste registrera dig för och använda Microsoft Entra multifaktorautentisering.

    A prompt that says 'More information required.' This is a prompt to configure a method of multi-factor authentication for this user.

  3. Välj Nästa för att påbörja processen.

    Du kan välja att konfigurera en autentiseringstelefon, en office-telefon eller en mobilapp för autentisering. Autentiseringstelefonen stöder textmeddelanden och telefonsamtal, office-telefon stöder samtal till nummer som har ett tillägg och mobilappen stöder användning av en mobilapp för att ta emot meddelanden för autentisering eller för att generera autentiseringskoder.

    A prompt that says, 'Additional security verification.' This is a prompt to configure a method of multi-factor authentication for this user. You can choose as the method an authentication phone, an office phone, or a mobile app.

  4. Slutför anvisningarna på skärmen för att konfigurera metoden för multifaktorautentisering som du har valt.

  5. Stäng webbläsarfönstret och logga in på administrationscentret för Microsoft Entra igen för att testa den autentiseringsmetod som du har konfigurerat. Om du till exempel har konfigurerat en mobilapp för autentisering bör du se en fråga som liknar följande.

    To sign in, follow the prompts in your browser and then the prompt on the device that you registered for multifactor authentication.

  6. Stäng webbläsarfönstret.

Rensa resurser

Om du inte längre vill använda den princip för villkorsstyrd åtkomst som du konfigurerade som en del av den här självstudien tar du bort principen med hjälp av följande steg:

  1. Logga in på administrationscentret för Microsoft Entra som minst administratör för villkorsstyrd åtkomst.

  2. Bläddra till Villkorlig åtkomst för skydd>och välj sedan den princip som du skapade, till exempel MFA Pilot.

  3. välj Ta bort och bekräfta sedan att du vill ta bort principen.

    To delete the Conditional Access policy that you've opened, select Delete which is located under the name of the policy.

Nästa steg

I den här självstudien har du aktiverat Microsoft Entra multifaktorautentisering med hjälp av principer för villkorsstyrd åtkomst för en vald grupp användare. Du har lärt dig att:

  • Skapa en princip för villkorlig åtkomst för att aktivera Microsoft Entra multifaktorautentisering för en grupp Microsoft Entra-användare.
  • Konfigurera de principvillkor som frågar efter multifaktorautentisering.
  • Testa konfiguration och användning av multifaktorautentisering som användare.

Aktivera tillbakaskrivning av lösenord för självbetjäning av lösenordsåterställning (SSPR)