Oktatóanyag: Felhasználói bejelentkezési események biztonságossá tétele a Microsoft Entra többtényezős hitelesítésével

A többtényezős hitelesítés olyan folyamat, amelyben a rendszer további azonosítási formákat kér a felhasználótól a bejelentkezési esemény során. A kérdés például az lehet, hogy be kell írnia egy kódot a mobiltelefonján, vagy ujjlenyomat-vizsgálatot kell adnia. Ha egy második azonosítási formára van szüksége, a biztonság megnő, mert ez a további tényező nem könnyű a támadó számára a beszerzése vagy duplikálása.

A Microsoft Entra többtényezős hitelesítési és feltételes hozzáférési szabályzatai rugalmasan követelik meg a felhasználóktól az MFA-t adott bejelentkezési eseményekhez. Az MFA áttekintéséhez javasoljuk, hogy tekintse meg ezt a videót: Többtényezős hitelesítés konfigurálása és kényszerítése a bérlőben.

Fontos

Ez az oktatóanyag bemutatja a rendszergazdáknak, hogyan engedélyezhetik a Microsoft Entra többtényezős hitelesítést. Ha felhasználóként szeretné végigvezetni a többtényezős hitelesítésen, olvassa el a munkahelyi vagy iskolai fiókba való bejelentkezést a kétlépéses ellenőrzési módszerrel.

Ha az informatikai csapat nem engedélyezte a Microsoft Entra többtényezős hitelesítés használatát, vagy ha a bejelentkezés során problémákat tapasztal, további segítségért forduljon az ügyfélszolgálathoz.

Ezen oktatóanyag segítségével megtanulhatja a következőket:

  • Hozzon létre egy feltételes hozzáférési szabályzatot a Microsoft Entra többtényezős hitelesítésének engedélyezéséhez egy felhasználói csoport számára.
  • Konfigurálja az MFA-t kérő házirendfeltételeket.
  • Tesztelje a többtényezős hitelesítés felhasználóként való konfigurálását és használatát.

Előfeltételek

Az oktatóanyag elvégzéséhez a következő erőforrásokra és jogosultságokra van szüksége:

  • Egy működő Microsoft Entra-bérlő p1-azonosítóval vagy engedélyezett próbaverziós licencekkel.

  • Feltételes hozzáférésű Rendszergazda istrator, biztonsági Rendszergazda istrator vagy globális Rendszergazda istrator jogosultsággal rendelkező fiók. Egyes MFA-beállításokat a hitelesítési házirend Rendszergazda istrator is felügyelhet. További információ: Hitelesítési szabályzat Rendszergazda istrator.

  • Egy nem rendszergazdai fiók, amely rendelkezik egy ön által ismert jelszóval. Ebben az oktatóanyagban létrehoztunk egy ilyen fiókot testuser néven. Ebben az oktatóanyagban teszteli a Microsoft Entra többtényezős hitelesítés konfigurálásának és használatának végfelhasználói élményét.

    • Ha a felhasználói fiók létrehozásával kapcsolatos információkra van szüksége, olvassa el a Felhasználók hozzáadása vagy törlése a Microsoft Entra-azonosítóval című témakört.
  • Olyan csoport, amelynek a nem rendszergazda felhasználó tagja. Ebben az oktatóanyagban létrehoztunk egy MFA-Test-Group nevű csoportot. Ebben az oktatóanyagban engedélyezi a Microsoft Entra többtényezős hitelesítést ehhez a csoporthoz.

    • Ha további információra van szüksége egy csoport létrehozásáról, olvassa el az Alapszintű csoport létrehozása és tagok hozzáadása a Microsoft Entra-azonosítóval című témakört.

Feltételes hozzáférési szabályzat létrehozása

Tipp.

A cikkben szereplő lépések a portáltól függően kissé eltérhetnek.

A Microsoft Entra többtényezős hitelesítés engedélyezésének és használatának ajánlott módja a feltételes hozzáférési szabályzatok használata. A feltételes hozzáféréssel olyan szabályzatokat hozhat létre és határozhat meg, amelyek reagálnak a bejelentkezési eseményekre, és további műveleteket igényelnek, mielőtt a felhasználó hozzáférést kap egy alkalmazáshoz vagy szolgáltatáshoz.

Overview diagram of how Conditional Access works to secure the sign-in process

A feltételes hozzáférési szabályzatok adott felhasználókra, csoportokra és alkalmazásokra alkalmazhatók. A cél a szervezet védelme, ugyanakkor a megfelelő szintű hozzáférés biztosítása azoknak a felhasználóknak, akiknek szükségük van rá.

Ebben az oktatóanyagban létrehozunk egy alapszintű feltételes hozzáférési szabályzatot, amely az MFA megadását kéri, amikor egy felhasználó bejelentkezik. A sorozat egy későbbi oktatóanyagában a Microsoft Entra többtényezős hitelesítését egy kockázatalapú feltételes hozzáférési szabályzat használatával konfiguráljuk.

Először hozzon létre egy feltételes hozzáférési szabályzatot, és rendelje hozzá a felhasználók tesztcsoportját az alábbiak szerint:

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább feltételes hozzáférési Rendszergazda istratorként.

  2. Keresse meg a feltételes védelem>elérését, válassza az + Új szabályzat lehetőséget, majd az Új szabályzat létrehozása lehetőséget.

    A screenshot of the Conditional Access page, where you select 'New policy' and then select 'Create new policy'.

  3. Adja meg a szabályzat nevét, például az MFA próbaüzemét.

  4. A Hozzárendelések csoportban válassza ki az aktuális értéket a Felhasználók vagy számítási feladatok identitása csoportban.

    A screenshot of the Conditional Access page, where you select the current value under 'Users or workload identities'.

  5. A Mire vonatkozik ez a szabályzat? területen ellenőrizze, hogy a Felhasználók és csoportok ki van-e jelölve.

  6. A Belefoglalás csoportban válassza a Felhasználók és csoportok kijelölése, majd a Felhasználók és csoportok lehetőséget.

    A screenshot of the page for creating a new policy, where you select options to specify users and groups.

    Mivel még senki sincs hozzárendelve, a felhasználók és csoportok listája (a következő lépésben látható) automatikusan megnyílik.

  7. Keresse meg és válassza ki a Microsoft Entra-csoportot(például MFA-Test-Group), majd válassza a Kiválasztás lehetőséget.

    A screenshot of the list of users and groups, with results filtered by the letters M F A, and 'MFA-Test-Group' selected.

Kiválasztottuk azt a csoportot, amelyre alkalmazni szeretné a szabályzatot. A következő szakaszban konfiguráljuk a szabályzat alkalmazásának feltételeit.

A többtényezős hitelesítés feltételeinek konfigurálása

Most, hogy létrejött a feltételes hozzáférési szabályzat, és hozzárendelt egy tesztcsoportot a felhasználókhoz, határozza meg a szabályzatot kiváltó felhőalkalmazásokat vagy műveleteket. Ezek a felhőalapú alkalmazások vagy műveletek olyan forgatókönyvek, amelyek további feldolgozást igényelnek, például többtényezős hitelesítés kérése. Dönthet például úgy, hogy egy pénzügyi alkalmazáshoz való hozzáféréshez vagy a felügyeleti eszközök használatához további hitelesítésre van szükség.

A többtényezős hitelesítést igénylő alkalmazások konfigurálása

Ebben az oktatóanyagban konfigurálja a feltételes hozzáférési szabályzatot úgy, hogy többtényezős hitelesítést igényeljen, amikor egy felhasználó bejelentkezik.

  1. Válassza ki az aktuális értéket a Felhőalkalmazások vagy -műveletek területen, majd válassza ki, hogy a szabályzat mire vonatkozik, ellenőrizze, hogy a felhőalkalmazások ki van-e választva.

  2. A Belefoglalás csoportban válassza az Alkalmazások kiválasztása lehetőséget.

    Mivel még nincs kijelölve alkalmazás, az alkalmazások listája (a következő lépésben látható) automatikusan megnyílik.

    Tipp.

    Dönthet úgy, hogy a feltételes hozzáférési szabályzatot az Összes felhőalkalmazásra vagy a Select appsre alkalmazza. A rugalmasság biztosítása érdekében bizonyos alkalmazásokat is kizárhat a szabályzatból.

  3. Tallózzon a használható bejelentkezési események listájában. Ebben az oktatóanyagban válassza a Windows Azure Service Management API-t , hogy a szabályzat a bejelentkezési eseményekre vonatkozjon. Ezután válassza a Kijelölés lehetőséget.

    A screenshot of the Conditional Access page, where you select the app, Windows Azure Service Management API, to which the new policy will apply.

Többtényezős hitelesítés konfigurálása hozzáféréshez

Ezután konfiguráljuk a hozzáférés-vezérlést. A hozzáférés-vezérlésekkel meghatározhatja a hozzáféréshez való hozzáférésre vonatkozó követelményeket. Előfordulhat, hogy egy jóváhagyott ügyfélalkalmazást vagy a Microsoft Entra ID azonosítóhoz hibriden csatlakoztatott eszközt kell használniuk.

Ebben az oktatóanyagban úgy konfigurálja a hozzáférési vezérlőket, hogy többtényezős hitelesítést igényeljenek egy bejelentkezési esemény során.

  1. A Hozzáférés-vezérlés csoportban válassza ki az aktuális értéket a Támogatás területen, majd válassza a Hozzáférés engedélyezése lehetőséget.

    A screenshot of the Conditional Access page, where you select 'Grant' and then select 'Grant access'.

  2. Válassza a Többtényezős hitelesítés megkövetelése, majd a Kiválasztás lehetőséget.

    A screenshot of the options for granting access, where you select 'Require multi-factor authentication'.

A szabályzat aktiválása

A feltételes hozzáférési szabályzatok csak jelentésre állíthatók be, ha látni szeretné, hogy a konfiguráció hogyan érintené a felhasználókat, vagy ki, ha jelenleg nem szeretné használni a használati szabályzatot. Mivel ebben az oktatóanyagban a felhasználók egy tesztcsoportja van megcélzva, engedélyezze a szabályzatot, majd tesztelje a Microsoft Entra többtényezős hitelesítését.

  1. A Szabályzat engedélyezése alatt válassza a Be lehetőséget.

    A screenshot of the control that's near the bottom of the web page where you specify whether the policy is enabled.

  2. A feltételes hozzáférési szabályzat alkalmazásához válassza a Létrehozás lehetőséget.

A Microsoft Entra többtényezős hitelesítésének tesztelése

Tekintse meg a feltételes hozzáférési szabályzatot és a Microsoft Entra többtényezős hitelesítést működés közben.

Először jelentkezzen be olyan erőforrásba, amely nem igényel MFA-t:

  1. Nyisson meg egy új böngészőablakot InPrivate vagy inkognitó módban, és lépjen a következő oldalra: https://account.activedirectory.windowsazure.com.

    A böngésző privát módjának használata megakadályozza, hogy a meglévő hitelesítő adatok befolyásolják ezt a bejelentkezési eseményt.

  2. Jelentkezzen be a nem rendszergazdai tesztfelhasználóval, például a testuserrel. Ügyeljen arra, hogy tartalmazza @ a felhasználói fiók tartománynevét és tartománynevét.

    Ha ez a fiókba való bejelentkezés első példánya, a rendszer kéri a jelszó módosítását. A többtényezős hitelesítés konfigurálására vagy használatára azonban nincs szükség.

  3. Zárja be a böngészőablakot.

A feltételes hozzáférési szabályzatot úgy konfigurálta, hogy további hitelesítést igényeljen a bejelentkezéshez. A konfiguráció miatt a rendszer kérni fogja, hogy használja a Microsoft Entra többtényezős hitelesítést, vagy konfiguráljon egy metódust, ha még nem tette meg. Tesztelje ezt az új követelményt a Microsoft Entra felügyeleti központba való bejelentkezéssel:

  1. Nyisson meg egy új böngészőablakot InPrivate vagy inkognitó módban, és jelentkezzen be a Microsoft Entra felügyeleti központjába.

  2. Jelentkezzen be a nem rendszergazdai tesztfelhasználóval, például a testuserrel. Ügyeljen arra, hogy tartalmazza @ a felhasználói fiók tartománynevét és tartománynevét.

    Regisztrálnia kell a Microsoft Entra többtényezős hitelesítésére és használatára.

    A prompt that says 'More information required.' This is a prompt to configure a method of multi-factor authentication for this user.

  3. A folyamat megkezdéséhez válassza a Tovább gombot.

    Beállíthatja, hogy hitelesítési telefont, irodai telefont vagy mobilalkalmazást konfiguráljon a hitelesítéshez. A hitelesítési telefon támogatja a szöveges üzeneteket és a telefonhívásokat, az Office Phone támogatja a kiterjesztéssel rendelkező számok hívásait, a mobilalkalmazás pedig támogatja a mobilalkalmazások használatát a hitelesítésre vonatkozó értesítések fogadásához vagy hitelesítési kódok létrehozásához.

    A prompt that says, 'Additional security verification.' This is a prompt to configure a method of multi-factor authentication for this user. You can choose as the method an authentication phone, an office phone, or a mobile app.

  4. Adja meg a képernyőn megjelenő utasításokat a kiválasztott többtényezős hitelesítés módszerének konfigurálásához.

  5. Zárja be a böngészőablakot, és jelentkezzen be ismét a Microsoft Entra felügyeleti központba a konfigurált hitelesítési módszer teszteléséhez. Ha például egy mobilalkalmazást konfigurált hitelesítésre, az alábbihoz hasonló üzenetnek kell megjelennie.

    To sign in, follow the prompts in your browser and then the prompt on the device that you registered for multifactor authentication.

  6. Zárja be a böngészőablakot.

Az erőforrások eltávolítása

Ha már nem szeretné használni az oktatóanyag részeként konfigurált feltételes hozzáférési szabályzatot, törölje a szabályzatot az alábbi lépésekkel:

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább feltételes hozzáférési Rendszergazda istratorként.

  2. Keresse meg a Feltételes védelem>elérését, majd válassza ki a létrehozott szabályzatot, például az MFA próbaüzemét.

  3. válassza a Törlés lehetőséget, majd erősítse meg, hogy törölni szeretné a szabályzatot.

    To delete the Conditional Access policy that you've opened, select Delete which is located under the name of the policy.

Következő lépések

Ebben az oktatóanyagban engedélyezte a Microsoft Entra többtényezős hitelesítését feltételes hozzáférési szabályzatok használatával egy kiválasztott felhasználói csoport számára. Megtanulta végrehajtani az alábbi műveleteket:

  • Hozzon létre egy feltételes hozzáférési szabályzatot a Microsoft Entra többtényezős hitelesítésének engedélyezéséhez a Microsoft Entra-felhasználók egy csoportjához.
  • Konfigurálja a többtényezős hitelesítést kérő házirendfeltételeket.
  • Tesztelje a többtényezős hitelesítés felhasználóként való konfigurálását és használatát.