Планирование развертывания многофакторной проверки подлинности Microsoft Entra

Многофакторная проверка подлинности Microsoft Entra помогает защитить доступ к данным и приложениям, предоставляя другой уровень безопасности с помощью второй формы проверки подлинности. Организации могут включить многофакторную проверку подлинности с условным доступом, чтобы решение соответствовало их нуждам.

В этом руководстве по развертыванию показано, как спланировать и реализовать развертывание многофакторной проверки подлинности Microsoft Entra.

Предварительные требования для развертывания многофакторной проверки подлинности Microsoft Entra

Прежде чем приступать к развертыванию, убедитесь в том, чтоб соблюдены следующие условия для соответствующих сценариев.

Сценарий Необходимые условия
Среда только облачных удостоверений с современной проверкой подлинности Действия не требуются
Гибридные сценарии идентификации Разверните microsoft Entra Подключение и синхронизируйте удостоверения пользователей между доменными службами локальная служба Active Directory (AD DS) и идентификатором Microsoft Entra.
Локальные устаревшие приложения, опубликованные для облачного доступа Развертывание прокси приложения Microsoft Entra

Выбор методов проверки подлинности для многофакторной проверки подлинности

Существует множество методов, которые можно использовать для добавления второго уровня проверки подлинности. Вы можете выбрать любой из доступных методов проверки подлинности, оценивая их с точки зрения безопасности, удобства использования и доступности.

Важно!

Включите несколько методов проверки подлинности, чтобы пользователи имели доступ к резервному методу, если основной метод проверки подлинности окажется недоступен. Ниже перечислены используемые методы.

При выборе методов проверки подлинности, которые будут использоваться в арендаторе, учитывайте безопасность и удобство использования этих методов.

Choose the right authentication method

Дополнительные сведения о надежности и безопасности этих методов и принципах их работы см. в следующих ресурсах.

Этот скрипт PowerShell можно использовать для анализа конфигураций многофакторной проверки подлинности для пользователей и рекомендации соответствующего метода проверки подлинности.

Чтобы обеспечить гибкость и удобство использования, рекомендуется использовать приложение Microsoft Authenticator. Данный метод проверки подлинности обеспечивает лучшее взаимодействие с пользователем и несколько режимов, таких как доступ без пароля, Push-уведомления MFA и OATH-коды. Приложение Microsoft Authenticator также соответствует 2 уровню безопасности проверки подлинности, установленным Национальным институтом стандартов и технологий (NIST).

Вы можете самостоятельно управлять методами проверки подлинности, доступными в клиенте. Например, можно заблокировать некоторые из наименее защищенных методов, таких как проверка подлинности с использованием SMS-сообщений.

Authentication method Управление из Scoping
Microsoft Authenticator (Push-уведомления и мобильный вход без пароля) Параметры многофакторной проверки подлинности или политика для методов проверки подлинности Мобильный вход в систему без пароля через Authenticator можно ограничить конкретными пользователями и группами.
Ключ безопасности FIDO2 Политика для методов проверки подлинности Область действия может быть ограничена для пользователей и групп
Программные и аппаратные токены OATH Параметры многофакторной проверки подлинности
Верификация с помощи текстового сообщения Параметры MFA
Управление входом в систему по SMS для первичной проверки подлинности в политике проверки подлинности
Область действия входа по SMS может быть ограничена конкретными пользователями и группами.
голосовые звонки; Политика для методов проверки подлинности

Планирование политики условного доступа

Многофакторная проверка подлинности Microsoft Entra применяется с политиками условного доступа. Эти политики позволяют предлагать пользователям MFA, когда это необходимо для обеспечения безопасности, и не вмешиваться в работу пользователей, когда это не требуется.

Conceptual Conditional Access process flow

В Центре администрирования Microsoft Entra настройте политики условного доступа в разделе "Условный доступ защиты>".

Дополнительные сведения о создании политик условного доступа см. в статье "Политика условного доступа" для запроса многофакторной проверки подлинности Microsoft Entra при входе пользователя. Этот пример поможет вам:

  • ознакомиться с пользовательским интерфейсом;
  • получить первое впечатление о работе условного доступа.

Полные рекомендации по развертыванию условного доступа Microsoft Entra см. в плане развертывания условного доступа.

Общие политики для многофакторной проверки подлинности Microsoft Entra

Распространенные варианты использования, требующие многофакторной проверки подлинности Microsoft Entra:

Именованные расположения

Для управления политиками условного доступа условие расположения политики условного доступа позволяет привязать параметры управления доступом к расположениям пользователей в сети. Мы рекомендуем использовать именованные расположения, чтобы создать логические группы диапазонов IP-адресов, стран и регионов. При этом создается политика для всех приложений, которая блокирует вход из этого именованного расположения. Обязательно исключите администраторов из этой политики.

Политики на основе рисков

Если ваша организация использует Защита идентификации Microsoft Entra для обнаружения сигналов риска, рассмотрите возможность использования политик на основе рисков вместо именованных расположений. Можно создавать политики для принудительного изменения пароля при наличии угрозы компрометации удостоверения или для обязательного прохождения MFA, если вход в систему считается подверженным риску, например в случае утечки учетных данных, входа с анонимных IP-адресов и т. д.

К политикам на основе рисков относятся:

Преобразование пользователей из MFA для каждого пользователя в MFA на основе условного доступа

Если пользователи были включены с помощью многофакторной проверки подлинности для каждого пользователя и принудительной многофакторной проверки подлинности Microsoft Entra, рекомендуется включить условный доступ для всех пользователей, а затем вручную отключить многофакторную проверку подлинности для каждого пользователя. Дополнительные сведения см. в статье "Создание политики условного доступа".

Планирование времени существования сеанса пользователя

При планировании развертывания многофакторной проверки подлинности важно подумать о том, как часто потребуется отображать запрос для пользователей. Частые запросы на ввод учетных данных может быть разумным подходом, но у него есть и обратная сторона. Если приучить пользователей вводить учетные данные снова и снова, может произойти так, что они непреднамеренно введут свои данные при появлении вредоносного запроса. Идентификатор Microsoft Entra имеет несколько параметров, определяющих частоту повторной проверки подлинности. Необходимо учитывать бизнес-потребности и запросы пользователей и настраивать параметры так, чтобы создать оптимальный баланс для вашей среды.

Мы рекомендуем использовать устройства с основными токенами обновления (PRT), чтобы повысить удобство работы конечных пользователей и сократить время существования сеанса за счет политики частоты входа только для конкретных бизнес-сценариев использования.

Дополнительные сведения см. в статье "Оптимизация запросов повторной проверки подлинности" и сведения о времени существования сеанса для многофакторной проверки подлинности Microsoft Entra.

Планирование регистрации пользователей

Основным шагом в каждом развертывании многофакторной проверки подлинности является получение пользователей, зарегистрированных для использования многофакторной проверки подлинности Microsoft Entra. Такие методы проверки подлинности, как проверка подлинности с помощью голосовой связи или SMS, допускают предварительную регистрацию, а другие, например, через приложение Authenticator, требует взаимодействия напрямую с пользователем. Администраторы должны определить, как пользователи будут регистрировать свои методы.

Объединенная регистрация для многофакторной проверки подлинности SSPR и Microsoft Entra

Объединенный интерфейс регистрации для многофакторной проверки подлинности Microsoft Entra и самостоятельного сброса пароля (SSPR) позволяет пользователям регистрироваться как для MFA, так и для SSPR в едином интерфейсе. SSPR позволяет пользователям безопасно сбрасывать пароль, используя те же методы, которые они используют для многофакторной проверки подлинности Microsoft Entra. Чтобы хорошо разобраться в этих возможностях и взаимодействии с пользователем, изучите статью Общие сведения об объединенной регистрации сведений о безопасности.

Очень важно информировать пользователей о предстоящих изменениях, требованиях к регистрации и обо всех действиях, которые пользователю необходимо будет предпринять. Мы предоставляем шаблоны сообщений и документацию для пользователей, чтобы подготовить пользователей к новым возможностям и обеспечить успешный выпуск. Отправьте пользователей в https://myprofile.microsoft.com для регистрации, выбрав ссылку Сведения о безопасности на этой странице.

Регистрация с помощью Защиты идентификации

Защита идентификации Microsoft Entra способствует как политике регистрации, так и автоматическому обнаружению рисков и устранению рисков в истории многофакторной проверки подлинности Microsoft Entra. Можно создавать политики для принудительного изменения пароля при возникновении угрозы компрометации идентификатора или при необходимости использования MFA, когда вход считается рискованным. Если вы используете Защита идентификации Microsoft Entra, настройте политику регистрации многофакторной проверки подлинности Microsoft Entra, чтобы пользователи запросили регистрацию при следующем входе.

Регистрация без Защиты идентификации

Если у вас нет лицензий, которые позволяют Защита идентификации Microsoft Entra, пользователям предлагается зарегистрировать следующий раз, когда требуется MFA при входе. Чтобы обязать пользователей использовать MFA, можно использовать политики условного доступа и целевые часто используемые приложения, такие как системы отдела кадров. Если пароль пользователя скомпрометирован, его можно использовать при регистрации для проведения MFA и контроля учетной записи. Поэтому рекомендуется защитить процесс регистрации безопасности с помощью политик условного доступа, требующих доверенных устройств и расположений. Кроме того, для дополнительной защиты можно также затребовать временный секретный код. Временный секретный код — это секретный код, действующий ограниченное время, которые выдается администратором, удовлетворяет требованиям строгой проверки подлинности и может использоваться для подключения других методов проверки подлинности, включая беcпарольные.

Дополнительная защита зарегистрированных пользователей

Если у вас есть пользователи, зарегистрированные для MFA посредством SMS или голосовой связи, вам, возможно, потребуется выбрать для них более безопасные методы, такие как приложение Microsoft Authenticator. Теперь корпорация Microsoft предлагает общедоступную предварительную версию функции, которая позволяют предлагать пользователям настроить приложение Microsoft Authenticator во время входа. Вы можете настроить эти запросы по группам, чтобы указать, кто будет получать запрос. Это позволит перемещать пользователей в более безопасный метод с помощью целевых кампаний.

Планирование сценариев восстановления

Как уже говорилось ранее, необходимо убедиться в том, что пользователи зарегистрированы для использования нескольких методов MFA, чтобы обеспечить наличие резервного метода при недоступности основного. Если пользователю недоступен резервный метод, можно:

  • предоставить временный секретный код, чтобы пользователи могли управлять собственными методами проверки подлинности. Кроме того, можно также предоставить временный секретный код, чтобы разрешить временный доступ к ресурсам;
  • обновить их методы, используя права администратора. Для этого выберите пользователя в Центре администрирования Microsoft Entra, а затем выберите методы проверки подлинности защиты>и обновите их методы.

Планирование интеграции журналов с локальными системами

Приложения, которые проходят проверку подлинности непосредственно с помощью идентификатора Microsoft Entra и имеют современную проверку подлинности (WS-Fed, SAML, OAuth, OpenID Подключение) могут использовать политики условного доступа. Некоторые устаревшие и локальные приложения не проходят проверку подлинности непосредственно в идентификаторе Microsoft Entra и требуют дополнительных шагов для использования многофакторной проверки подлинности Microsoft Entra. Их можно интегрировать с помощью прокси приложения Microsoft Entra или служб политики сети.

Интеграция с ресурсами AD FS

Мы рекомендуем перенести приложения, защищенные с помощью службы федерации Active Directory (AD FS) (AD FS) в идентификатор Microsoft Entra. Однако если вы не готовы перенести их в идентификатор Microsoft Entra, можно использовать адаптер многофакторной проверки подлинности Azure с AD FS 2016 или более поздней версии.

Если ваша организация федеративна с идентификатором Microsoft Entra, можно настроить многофакторную проверку подлинности Microsoft Entra в качестве поставщика проверки подлинности с ресурсами AD FS как в локальной среде, так и в облаке.

Клиенты RADIUS и многофакторная проверка подлинности Microsoft Entra

Для приложений, использующих проверку подлинности RADIUS, рекомендуется переместить клиентские приложения в современные протоколы, такие как SAML, OpenID Подключение или OAuth в идентификаторе Microsoft Entra. Если приложение нельзя обновить, можно развернуть сервер сетевой политики (NPS) с расширением Azure MFA. Расширение сервера политики сети (NPS) выступает в качестве адаптера между приложениями на основе RADIUS и многофакторной проверкой подлинности Microsoft Entra, чтобы обеспечить второй фактор проверки подлинности.

Общие интеграции

Многие поставщики теперь поддерживают проверку подлинности SAML для своих приложений. По возможности рекомендуется федеративные приложения с идентификатором Microsoft Entra ИД и применение MFA с помощью условного доступа. Если поставщик не поддерживает современные методы проверки подлинности, можно использовать расширение NPS. Обычные интеграции клиентов RADIUS включают такие приложения, как шлюзы удаленного рабочего стола и VPN-серверы.

Другие интеграции:

  • Шлюз Citrix

    Шлюз Citrix поддерживает интеграцию расширений RADIUS и NPS, а также интеграцию SAML.

  • Cisco VPN

    • Cisco VPN поддерживает проверку подлинности RADIUS и SAML для единого входа.
    • Переход от проверки подлинности RADIUS к SAML позволяет интегрировать Cisco VPN без развертывания расширения NPS.
  • Все VPN

Развертывание многофакторной проверки подлинности Microsoft Entra

План развертывания многофакторной проверки подлинности Microsoft Entra должен включать пилотное развертывание, за которым следуют волны развертывания, находящиеся в вашей емкости поддержки. Начните развертывание, применив политики условного доступа к небольшой группе пилотных пользователей. После оценки влияния на пилотных пользователей, используемого процесса и вариантов поведения при регистрации можно добавить дополнительные группы в политику или дополнительных пользователей в существующие группы.

Выполните приведенные ниже действия:

  1. Обеспечьте соблюдение необходимых предварительных требований
  2. Настройте выбранные методы проверки подлинности.
  3. Настройте политики условного доступа.
  4. Настройте параметры времени существования сеанса
  5. Настройка политик регистрации многофакторной проверки подлинности Microsoft Entra

Управление многофакторной проверкой подлинности Microsoft Entra

В этом разделе содержатся сведения о отчетах и устранении неполадок для многофакторной проверки подлинности Microsoft Entra.

Создание отчетов и мониторинг

Идентификатор Microsoft Entra содержит отчеты, предоставляющие техническую и бизнес-аналитику, следуйте ходу развертывания и проверка если ваши пользователи успешно выполняют вход с помощью MFA. Предложите владельцам технических и бизнес-приложений принять на себя ответственность за эти отчеты и использовать их в соответствии с требованиями вашей организации.

Вы можете отслеживать регистрацию и использование метода проверки подлинности в своей организации с помощью панели мониторинга действий для методов проверки подлинности. Это поможет понять, какие методы зарегистрированы и как они используются.

Отчет о входе для просмотра событий MFA

Отчеты о входе Microsoft Entra включают сведения о проверке подлинности для событий, когда пользователю предлагается MFA, и если какие-либо политики условного доступа использовались. Вы также можете использовать PowerShell для создания отчетов о пользователях, зарегистрированных для многофакторной проверки подлинности Microsoft Entra.

Расширения NPS и журналы AD FS для действия облачной MFA теперь включены в журналы входа и больше не публикуются в отчете о действиях.

Дополнительные сведения и дополнительные отчеты многофакторной проверки подлинности Microsoft Entra см. в разделе "Просмотр событий многофакторной проверки подлинности Microsoft Entra".

Устранение неполадок многофакторной проверки подлинности Microsoft Entra

Сведения об устранении распространенных проблем см. в статье "Устранение неполадок с многофакторной проверкой подлинности Microsoft Entra".

Пошаговое руководство

Пошаговое руководство по многим рекомендациям, приведенным в этой статье, см . в пошаговом руководстве по настройке многофакторной проверки подлинности Microsoft 365.

Следующие шаги

Развертывание других функций удостоверений