Samouczek: zabezpieczanie zdarzeń logowania użytkownika za pomocą uwierzytelniania wieloskładnikowego firmy Microsoft

  • Artykuł

Uwierzytelnianie wieloskładnikowe to proces, w którym użytkownik jest monitowany o dodatkowe formy identyfikacji podczas zdarzenia logowania. Na przykład może pojawić się monit o wprowadzenie kodu na telefonie komórkowym lub dostarczenie skanowania odciskiem palca. Jeśli potrzebujesz drugiej formy identyfikacji, bezpieczeństwo jest zwiększane, ponieważ ten dodatkowy czynnik nie jest łatwy do uzyskania lub duplikatu przez osobę atakującą.

Zasady uwierzytelniania wieloskładnikowego i dostępu warunkowego firmy Microsoft umożliwiają elastyczne wymaganie uwierzytelniania wieloskładnikowego od użytkowników w przypadku określonych zdarzeń logowania. Aby uzyskać omówienie uwierzytelniania wieloskładnikowego, zalecamy obejrzenie tego wideo: Jak skonfigurować i wymusić uwierzytelnianie wieloskładnikowe w dzierżawie.

Ważne

W tym samouczku pokazano administratorowi, jak włączyć uwierzytelnianie wieloskładnikowe firmy Microsoft. Aby przejść przez uwierzytelnianie wieloskładnikowe jako użytkownik, zobacz Logowanie się do konta służbowego przy użyciu metody weryfikacji dwuetapowej.

Jeśli twój zespół IT nie włączył możliwości korzystania z uwierzytelniania wieloskładnikowego firmy Microsoft lub jeśli masz problemy podczas logowania, skontaktuj się z pomocą techniczną, aby uzyskać dodatkową pomoc.

Ten samouczek zawiera informacje na temat wykonywania następujących czynności:

  • Utwórz zasady dostępu warunkowego, aby włączyć uwierzytelnianie wieloskładnikowe firmy Microsoft dla grupy użytkowników.
  • Skonfiguruj warunki zasad monitujące o uwierzytelnianie wieloskładnikowe.
  • Przetestuj konfigurowanie i używanie uwierzytelniania wieloskładnikowego jako użytkownika.

Wymagania wstępne

Do ukończenia tego samouczka potrzebne są następujące zasoby i uprawnienia:

  • Działająca dzierżawa firmy Microsoft Entra z włączonym identyfikatorem Entra ID P1 lub licencjami wersji próbnej firmy Microsoft.

  • Konto z uprawnieniami Administracja istratora dostępu warunkowego, Administracja istratora zabezpieczeń lub globalnego Administracja istratora. Niektóre ustawienia uwierzytelniania wieloskładnikowego mogą być również zarządzane przez Administracja istratora zasad uwierzytelniania. Aby uzyskać więcej informacji, zobacz Administracja istrator zasad uwierzytelniania.

  • Konto inne niż administrator z hasłem, które znasz. Na potrzeby tego samouczka utworzyliśmy takie konto o nazwie testuser. W tym samouczku przetestujesz środowisko użytkownika końcowego dotyczące konfigurowania i używania uwierzytelniania wieloskładnikowego firmy Microsoft.

  • Grupa, do którego należy użytkownik niebędący administratorem. Na potrzeby tego samouczka utworzyliśmy taką grupę o nazwie MFA-Test-Group. W tym samouczku włączysz uwierzytelnianie wieloskładnikowe firmy Microsoft dla tej grupy.

Tworzenie zasad dostępu warunkowego

Napiwek

Kroki opisane w tym artykule mogą się nieznacznie różnić w zależności od portalu, od którego zaczynasz.

Zalecanym sposobem włączania i używania uwierzytelniania wieloskładnikowego firmy Microsoft jest użycie zasad dostępu warunkowego. Dostęp warunkowy umożliwia tworzenie i definiowanie zasad, które reagują na zdarzenia logowania oraz żądają dodatkowych akcji przed przyznaniem użytkownikowi dostępu do aplikacji lub usługi.

Overview diagram of how Conditional Access works to secure the sign-in process

Zasady dostępu warunkowego można stosować do określonych użytkowników, grup i aplikacji. Celem jest ochrona organizacji przy jednoczesnym zapewnieniu odpowiednich poziomów dostępu do użytkowników, którzy jej potrzebują.

W tym samouczku utworzymy podstawowe zasady dostępu warunkowego w celu wyświetlenia monitu o uwierzytelnianie wieloskładnikowe podczas logowania użytkownika. W kolejnym samouczku z tej serii skonfigurujemy uwierzytelnianie wieloskładnikowe firmy Microsoft przy użyciu zasad dostępu warunkowego opartego na ryzyku.

Najpierw utwórz zasady dostępu warunkowego i przypisz grupę testową użytkowników w następujący sposób:

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator dostępu warunkowego.

  2. Przejdź do pozycji Ochrona>dostępu warunkowego, wybierz pozycję + Nowe zasady, a następnie wybierz pozycję Utwórz nowe zasady.

    A screenshot of the Conditional Access page, where you select 'New policy' and then select 'Create new policy'.

  3. Wprowadź nazwę zasad, na przykład pilotaż usługi MFA.

  4. W obszarze Przypisania wybierz bieżącą wartość w obszarze Użytkownicy lub tożsamości obciążenia.

    A screenshot of the Conditional Access page, where you select the current value under 'Users or workload identities'.

  5. W obszarze Co mają zastosowanie te zasady?, sprawdź, czy wybrano opcję Użytkownicy i grupy .

  6. W obszarze Uwzględnij wybierz pozycję Wybierz użytkowników i grupy, a następnie wybierz pozycję Użytkownicy i grupy.

    A screenshot of the page for creating a new policy, where you select options to specify users and groups.

    Ponieważ nikt nie jest jeszcze przypisany, lista użytkowników i grup (pokazana w następnym kroku) zostanie otwarta automatycznie.

  7. Wyszukaj i wybierz grupę Microsoft Entra, taką jak MFA-Test-Group, a następnie wybierz pozycję Wybierz.

    A screenshot of the list of users and groups, with results filtered by the letters M F A, and 'MFA-Test-Group' selected.

Wybraliśmy grupę, do których mają być stosowane zasady. W następnej sekcji skonfigurujemy warunki, w których mają być stosowane zasady.

Konfigurowanie warunków uwierzytelniania wieloskładnikowego

Po utworzeniu zasad dostępu warunkowego i przypisaniu grupy testowej użytkowników zdefiniuj aplikacje w chmurze lub akcje wyzwalające zasady. Te aplikacje lub akcje w chmurze to scenariusze, które decydujesz o konieczności dodatkowego przetwarzania, takich jak monitowanie o uwierzytelnianie wieloskładnikowe. Możesz na przykład zdecydować, że dostęp do aplikacji finansowej lub korzystanie z narzędzi do zarządzania wymaga dodatkowego monitu o uwierzytelnienie.

Konfigurowanie aplikacji wymagających uwierzytelniania wieloskładnikowego

Na potrzeby tego samouczka skonfiguruj zasady dostępu warunkowego, aby wymagać uwierzytelniania wieloskładnikowego, gdy użytkownik się zaloguje.

  1. Wybierz bieżącą wartość w obszarze Aplikacje lub akcje w chmurze, a następnie w obszarze Wybierz, do czego mają zastosowanie te zasady, sprawdź, czy wybrano aplikacje w chmurze.

  2. W obszarze Dołącz wybierz pozycję Wybierz aplikacje.

    Ponieważ żadne aplikacje nie są jeszcze wybrane, lista aplikacji (pokazana w następnym kroku) zostanie otwarta automatycznie.

    Napiwek

    Możesz zastosować zasady dostępu warunkowego do wszystkich aplikacji w chmurze lub Wybrać aplikacje. Aby zapewnić elastyczność, możesz również wykluczyć niektóre aplikacje z zasad.

  3. Przejrzyj listę dostępnych zdarzeń logowania, których można użyć. Na potrzeby tego samouczka wybierz pozycję Interfejs API zarządzania usługami platformy Windows Azure, aby zasady miały zastosowanie do zdarzeń logowania. Następnie naciśnij przycisk Wybierz.

    A screenshot of the Conditional Access page, where you select the app, Windows Azure Service Management API, to which the new policy will apply.

Konfigurowanie uwierzytelniania wieloskładnikowego na potrzeby dostępu

Następnie skonfigurujemy mechanizmy kontroli dostępu. Mechanizmy kontroli dostępu umożliwiają zdefiniowanie wymagań dotyczących udzielenia dostępu użytkownikowi. Może być wymagane użycie zatwierdzonej aplikacji klienckiej lub urządzenia dołączonego hybrydowo do identyfikatora Entra firmy Microsoft.

W tym samouczku skonfiguruj mechanizmy kontroli dostępu, aby wymagać uwierzytelniania wieloskładnikowego podczas zdarzenia logowania.

  1. W obszarze Kontrola dostępu wybierz bieżącą wartość w obszarze Udziel, a następnie wybierz pozycję Udziel dostępu.

    A screenshot of the Conditional Access page, where you select 'Grant' and then select 'Grant access'.

  2. Wybierz pozycję Wymagaj uwierzytelniania wieloskładnikowego, a następnie wybierz pozycję Wybierz.

    A screenshot of the options for granting access, where you select 'Require multi-factor authentication'.

Aktywowanie zasad

Zasady dostępu warunkowego można ustawić na tylko raport, jeśli chcesz zobaczyć, jak konfiguracja wpłynie na użytkowników, lub Wyłączone , jeśli nie chcesz teraz używać zasad. Ponieważ grupa testowa użytkowników jest przeznaczona dla tego samouczka, włączmy zasady, a następnie przetestujmy uwierzytelnianie wieloskładnikowe firmy Microsoft.

  1. W obszarze Włączanie zasad wybierz pozycję Włączone.

    A screenshot of the control that's near the bottom of the web page where you specify whether the policy is enabled.

  2. Aby zastosować zasady dostępu warunkowego, wybierz pozycję Utwórz.

Testowanie uwierzytelniania wieloskładnikowego firmy Microsoft

Zobaczmy zasady dostępu warunkowego i uwierzytelnianie wieloskładnikowe firmy Microsoft w działaniu.

Najpierw zaloguj się do zasobu, który nie wymaga uwierzytelniania wieloskładnikowego:

  1. Otwórz nowe okno przeglądarki w trybie incognito lub InPrivate i przejdź do adresu https://account.activedirectory.windowsazure.com.

    Korzystanie z trybu prywatnego w przeglądarce uniemożliwia wszelkim istniejącym poświadczenie wpływające na to zdarzenie logowania.

  2. Zaloguj się przy użyciu użytkownika testowego innego niż administrator, takiego jak testuser. Pamiętaj, aby uwzględnić @ nazwę domeny i nazwę domeny dla konta użytkownika.

    Jeśli jest to pierwsze wystąpienie logowania przy użyciu tego konta, zostanie wyświetlony monit o zmianę hasła. Nie ma jednak monitu o skonfigurowanie lub użycie uwierzytelniania wieloskładnikowego.

  3. Zamknij okno przeglądarki.

Skonfigurowano zasady dostępu warunkowego, aby wymagać dodatkowego uwierzytelniania na potrzeby logowania. W związku z tą konfiguracją zostanie wyświetlony monit o użycie uwierzytelniania wieloskładnikowego firmy Microsoft lub skonfigurowanie metody, jeśli jeszcze tego nie zrobiono. Przetestuj to nowe wymaganie, logując się do centrum administracyjnego firmy Microsoft Entra:

  1. Otwórz nowe okno przeglądarki w trybie InPrivate lub incognito i zaloguj się do centrum administracyjnego firmy Microsoft Entra.

  2. Zaloguj się przy użyciu użytkownika testowego innego niż administrator, takiego jak testuser. Pamiętaj, aby uwzględnić @ nazwę domeny i nazwę domeny dla konta użytkownika.

    Musisz zarejestrować się na potrzeby uwierzytelniania wieloskładnikowego firmy Microsoft i korzystać z niego.

    A prompt that says 'More information required.' This is a prompt to configure a method of multi-factor authentication for this user.

  3. Wybierz przycisk Dalej , aby rozpocząć proces.

    Możesz skonfigurować telefon uwierzytelniania, telefon biurowy lub aplikację mobilną na potrzeby uwierzytelniania. Telefon uwierzytelniania obsługuje wiadomości SMS i połączenia telefoniczne, telefon biurowy obsługuje połączenia z numerami, które mają rozszerzenie, a aplikacja mobilna obsługuje używanie aplikacji mobilnej do odbierania powiadomień na potrzeby uwierzytelniania lub generowania kodów uwierzytelniania.

    A prompt that says, 'Additional security verification.' This is a prompt to configure a method of multi-factor authentication for this user. You can choose as the method an authentication phone, an office phone, or a mobile app.

  4. Wykonaj instrukcje na ekranie, aby skonfigurować wybraną metodę uwierzytelniania wieloskładnikowego.

  5. Zamknij okno przeglądarki i zaloguj się ponownie do centrum administracyjnego firmy Microsoft Entra, aby przetestować skonfigurowaną metodę uwierzytelniania. Jeśli na przykład skonfigurowano aplikację mobilną do uwierzytelniania, powinien zostać wyświetlony monit podobny do poniższego.

    To sign in, follow the prompts in your browser and then the prompt on the device that you registered for multifactor authentication.

  6. Zamknij okno przeglądarki.

Czyszczenie zasobów

Jeśli nie chcesz już używać zasad dostępu warunkowego skonfigurowanego w ramach tego samouczka, usuń zasady, wykonując następujące czynności:

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator dostępu warunkowego.

  2. Przejdź do pozycji Ochrona>dostępu warunkowego, a następnie wybierz utworzone zasady, takie jak pilotaż usługi MFA.

  3. wybierz pozycję Usuń, a następnie potwierdź, że chcesz usunąć zasady.

    To delete the Conditional Access policy that you've opened, select Delete which is located under the name of the policy.

Następne kroki

W tym samouczku włączono uwierzytelnianie wieloskładnikowe firmy Microsoft przy użyciu zasad dostępu warunkowego dla wybranej grupy użytkowników. W tym samouczku omówiono:

  • Utwórz zasady dostępu warunkowego, aby włączyć uwierzytelnianie wieloskładnikowe firmy Microsoft dla grupy użytkowników firmy Microsoft Entra.
  • Skonfiguruj warunki zasad, które monituje o uwierzytelnianie wieloskładnikowe.
  • Przetestuj konfigurowanie i używanie uwierzytelniania wieloskładnikowego jako użytkownika.

Włączanie zapisywania zwrotnego haseł na potrzeby samoobsługowego resetowania hasła (SSPR)