Планирование развертывания многофакторной проверки подлинности Microsoft Entra
Многофакторная проверка подлинности Microsoft Entra помогает защитить доступ к данным и приложениям, предоставляя другой уровень безопасности с помощью второй формы проверки подлинности. Организации могут включить многофакторную проверку подлинности с условным доступом, чтобы решение соответствовало их нуждам.
В этом руководстве по развертыванию показано, как спланировать и реализовать развертывание многофакторной проверки подлинности Microsoft Entra.
Предварительные требования для развертывания многофакторной проверки подлинности Microsoft Entra
Прежде чем приступать к развертыванию, убедитесь в том, чтоб соблюдены следующие условия для соответствующих сценариев.
Сценарий | Предварительные требования |
---|---|
Среда только облачных удостоверений с современной проверкой подлинности | Действия не требуются |
Гибридные сценарии идентификации | Разверните Microsoft Entra Connect и синхронизируйте удостоверения пользователей между доменными службами локальная служба Active Directory (AD DS) и идентификатором Microsoft Entra. |
Локальные устаревшие приложения, опубликованные для облачного доступа | Развертывание прокси приложения Microsoft Entra |
Выбор методов проверки подлинности для многофакторной проверки подлинности
Существует множество методов, которые можно использовать для добавления второго уровня проверки подлинности. Вы можете выбрать любой из доступных методов проверки подлинности, оценивая их с точки зрения безопасности, удобства использования и доступности.
Внимание
Включите несколько методов проверки подлинности, чтобы пользователи имели доступ к резервному методу, если основной метод проверки подлинности окажется недоступен. Ниже перечислены используемые методы.
- Windows Hello для бизнеса
- Приложение Microsoft Authenticator
- Ключ безопасности FIDO2
- Аппаратные маркеры OATH (предварительная версия)
- Программные маркеры OATH
- Проверка SMS
- Проверка голосового звонка
При выборе методов проверки подлинности, которые будут использоваться в арендаторе, учитывайте безопасность и удобство использования этих методов.
Дополнительные сведения о надежности и безопасности этих методов и принципах их работы см. в следующих ресурсах.
- Какие методы аутентификации и подтверждения доступны в Microsoft Entra ID?
- Видеоролик. Выбор соответствующих методов проверки подлинности для защиты вашей организации
Этот скрипт PowerShell можно использовать для анализа конфигураций многофакторной проверки подлинности для пользователей и рекомендации соответствующего метода проверки подлинности.
Чтобы обеспечить гибкость и удобство использования, рекомендуется использовать приложение Microsoft Authenticator. Данный метод проверки подлинности обеспечивает лучшее взаимодействие с пользователем и несколько режимов, таких как доступ без пароля, Push-уведомления MFA и OATH-коды. Приложение Microsoft Authenticator также соответствует 2 уровню безопасности проверки подлинности, установленным Национальным институтом стандартов и технологий (NIST).
Вы можете самостоятельно управлять методами проверки подлинности, доступными в клиенте. Например, можно заблокировать некоторые из наименее защищенных методов, таких как проверка подлинности с использованием SMS-сообщений.
Authentication method | Управление из | Определение области: |
---|---|---|
Microsoft Authenticator (Push-уведомления и мобильный вход без пароля) | Параметры многофакторной проверки подлинности или политика для методов проверки подлинности | Мобильный вход в систему без пароля через Authenticator можно ограничить конкретными пользователями и группами. |
Ключ безопасности FIDO2 | Политика для методов проверки подлинности | Область действия может быть ограничена для пользователей и групп |
Программные и аппаратные токены OATH | Параметры многофакторной проверки подлинности | |
Верификация с помощи текстового сообщения | Параметры MFA Управление входом в систему по SMS для первичной проверки подлинности в политике проверки подлинности |
Область действия входа по SMS может быть ограничена конкретными пользователями и группами. |
голосовые звонки; | Политика для методов проверки подлинности |
Планирование политики условного доступа
Многофакторная проверка подлинности Microsoft Entra применяется с политиками условного доступа. Эти политики позволяют предлагать пользователям MFA, когда это необходимо для обеспечения безопасности, и не вмешиваться в работу пользователей, когда это не требуется.
В Центре администрирования Microsoft Entra настройте политики условного доступа в разделе "Условный доступ защиты>".
Дополнительные сведения о создании политик условного доступа см. в статье "Политика условного доступа" для запроса многофакторной проверки подлинности Microsoft Entra при входе пользователя. Этот пример поможет вам:
- ознакомиться с пользовательским интерфейсом;
- получить первое впечатление о работе условного доступа.
Полные рекомендации по развертыванию условного доступа Microsoft Entra см. в плане развертывания условного доступа.
Общие политики для многофакторной проверки подлинности Microsoft Entra
Распространенные варианты использования, требующие многофакторной проверки подлинности Microsoft Entra:
- вход администраторов;
- вход конкретных приложений;
- вход всех пользователей;
- вход для управления Azure;
- вход из сетевых расположений, которым вы не доверяете.
Именованные расположения
Для управления политиками условного доступа условие расположения политики условного доступа позволяет привязать параметры управления доступом к расположениям пользователей в сети. Мы рекомендуем использовать именованные расположения, чтобы создать логические группы диапазонов IP-адресов, стран и регионов. При этом создается политика для всех приложений, которая блокирует вход из этого именованного расположения. Обязательно исключите администраторов из этой политики.
Политики на основе рисков
Если ваша организация использует Защита идентификации Microsoft Entra для обнаружения сигналов риска, рассмотрите возможность использования политик на основе рисков вместо именованных расположений. Можно создавать политики для принудительного изменения пароля при наличии угрозы компрометации удостоверения или для обязательного прохождения MFA, если вход в систему считается подверженным риску, например в случае утечки учетных данных, входа с анонимных IP-адресов и т. д.
К политикам на основе рисков относятся:
- Требовать, чтобы все пользователи регистрируются для многофакторной проверки подлинности Microsoft Entra
- Требование изменения пароля для пользователей с высоким риском
- Требование прохождения MFA для пользователей со средним или высоким уровнем риска при входе
Преобразование пользователей из MFA для каждого пользователя в MFA на основе условного доступа
Если пользователи были включены с помощью многофакторной проверки подлинности для каждого пользователя и принудительной многофакторной проверки подлинности Microsoft Entra, рекомендуется включить условный доступ для всех пользователей, а затем вручную отключить многофакторную проверку подлинности для каждого пользователя. Дополнительные сведения см. в статье "Создание политики условного доступа".
Планирование времени существования сеанса пользователя
При планировании развертывания многофакторной проверки подлинности важно подумать о том, как часто потребуется отображать запрос для пользователей. Частые запросы на ввод учетных данных может быть разумным подходом, но у него есть и обратная сторона. Если приучить пользователей вводить учетные данные снова и снова, может произойти так, что они непреднамеренно введут свои данные при появлении вредоносного запроса. Идентификатор Microsoft Entra имеет несколько параметров, определяющих частоту повторной проверки подлинности. Необходимо учитывать бизнес-потребности и запросы пользователей и настраивать параметры так, чтобы создать оптимальный баланс для вашей среды.
Мы рекомендуем использовать устройства с основными токенами обновления (PRT), чтобы повысить удобство работы конечных пользователей и сократить время существования сеанса за счет политики частоты входа только для конкретных бизнес-сценариев использования.
Дополнительные сведения см. в статье "Оптимизация запросов повторной проверки подлинности" и сведения о времени существования сеанса для многофакторной проверки подлинности Microsoft Entra.
Планирование регистрации пользователей
Основным шагом в каждом развертывании многофакторной проверки подлинности является получение пользователей, зарегистрированных для использования многофакторной проверки подлинности Microsoft Entra. Такие методы проверки подлинности, как проверка подлинности с помощью голосовой связи или SMS, допускают предварительную регистрацию, а другие, например, через приложение Authenticator, требует взаимодействия напрямую с пользователем. Администраторы должны определить, как пользователи будут регистрировать свои методы.
Объединенная регистрация для многофакторной проверки подлинности SSPR и Microsoft Entra
Объединенный интерфейс регистрации для многофакторной проверки подлинности Microsoft Entra и самостоятельного сброса пароля (SSPR) позволяет пользователям регистрироваться как для MFA, так и для SSPR в едином интерфейсе. SSPR позволяет пользователям безопасно сбрасывать пароль, используя те же методы, которые они используют для многофакторной проверки подлинности Microsoft Entra. Чтобы хорошо разобраться в этих возможностях и взаимодействии с пользователем, изучите статью Общие сведения об объединенной регистрации сведений о безопасности.
Очень важно информировать пользователей о предстоящих изменениях, требованиях к регистрации и обо всех действиях, которые пользователю необходимо будет предпринять. Мы предоставляем шаблоны сообщений и документацию для пользователей, чтобы подготовить пользователей к новым возможностям и обеспечить успешный выпуск. Отправьте пользователей в https://myprofile.microsoft.com для регистрации, выбрав ссылку Сведения о безопасности на этой странице.
Регистрация с помощью Защита идентификации Microsoft Entra
Защита идентификации Microsoft Entra способствует как политике регистрации, так и автоматическому обнаружению рисков и устранению рисков в истории многофакторной проверки подлинности Microsoft Entra. Можно создавать политики для принудительного изменения пароля при возникновении угрозы компрометации идентификатора или при необходимости использования MFA, когда вход считается рискованным. Если вы используете Защита идентификации Microsoft Entra, настройте политику регистрации многофакторной проверки подлинности Microsoft Entra, чтобы пользователи запросили регистрацию при следующем входе.
Регистрация без Защита идентификации Microsoft Entra
Если у вас нет лицензий, которые позволяют Защита идентификации Microsoft Entra, пользователям предлагается зарегистрировать следующий раз, когда требуется MFA при входе. Чтобы обязать пользователей использовать MFA, можно использовать политики условного доступа и целевые часто используемые приложения, такие как системы отдела кадров. Если пароль пользователя скомпрометирован, его можно использовать при регистрации для проведения MFA и контроля учетной записи. Поэтому рекомендуется защитить процесс регистрации безопасности с помощью политик условного доступа, требующих доверенных устройств и расположений. Кроме того, для дополнительной защиты можно также затребовать временный секретный код. Временный секретный код — это секретный код, действующий ограниченное время, которые выдается администратором, удовлетворяет требованиям строгой проверки подлинности и может использоваться для подключения других методов проверки подлинности, включая беcпарольные.
Дополнительная защита зарегистрированных пользователей
Если у вас есть пользователи, зарегистрированные для MFA посредством SMS или голосовой связи, вам, возможно, потребуется выбрать для них более безопасные методы, такие как приложение Microsoft Authenticator. Теперь корпорация Microsoft предлагает общедоступную предварительную версию функции, которая позволяют предлагать пользователям настроить приложение Microsoft Authenticator во время входа. Вы можете настроить эти запросы по группам, чтобы указать, кто будет получать запрос. Это позволит перемещать пользователей в более безопасный метод с помощью целевых кампаний.
Планирование сценариев восстановления
Как уже говорилось ранее, необходимо убедиться в том, что пользователи зарегистрированы для использования нескольких методов MFA, чтобы обеспечить наличие резервного метода при недоступности основного. Если пользователю недоступен резервный метод, можно:
- предоставить временный секретный код, чтобы пользователи могли управлять собственными методами проверки подлинности. Кроме того, можно также предоставить временный секретный код, чтобы разрешить временный доступ к ресурсам;
- обновить их методы, используя права администратора. Для этого выберите пользователя в Центре администрирования Microsoft Entra, а затем выберите методы проверки подлинности защиты>и обновите их методы.
Планирование интеграции журналов с локальными системами
Приложения, которые проходят проверку подлинности непосредственно с помощью идентификатора Microsoft Entra и имеют современную проверку подлинности (WS-Fed, SAML, OAuth, OpenID Connect) могут использовать политики условного доступа. Некоторые устаревшие и локальные приложения не проходят проверку подлинности непосредственно в идентификаторе Microsoft Entra и требуют дополнительных шагов для использования многофакторной проверки подлинности Microsoft Entra. Их можно интегрировать с помощью прокси приложения Microsoft Entra или служб политики сети.
Интеграция с ресурсами AD FS
Мы рекомендуем перенести приложения, защищенные с помощью службы федерации Active Directory (AD FS) (AD FS) в идентификатор Microsoft Entra. Однако если вы не готовы перенести их в идентификатор Microsoft Entra, можно использовать адаптер многофакторной проверки подлинности Azure с AD FS 2016 или более поздней версии.
Если ваша организация федеративна с идентификатором Microsoft Entra, можно настроить многофакторную проверку подлинности Microsoft Entra в качестве поставщика проверки подлинности с ресурсами AD FS как в локальной среде, так и в облаке.
Клиенты RADIUS и многофакторная проверка подлинности Microsoft Entra
Для приложений, использующих проверку подлинности RADIUS, рекомендуется переместить клиентские приложения в современные протоколы, такие как SAML, OpenID Connect или OAuth в идентификаторе Microsoft Entra ID. Если приложение не может быть обновлено, можно развернуть расширение сервера политики сети (NPS). Расширение сервера политики сети (NPS) выступает в качестве адаптера между приложениями на основе RADIUS и многофакторной проверкой подлинности Microsoft Entra, чтобы обеспечить второй фактор проверки подлинности.
Общие интеграции
Многие поставщики теперь поддерживают проверку подлинности SAML для своих приложений. По возможности рекомендуется федеративные приложения с идентификатором Microsoft Entra ИД и применение MFA с помощью условного доступа. Если поставщик не поддерживает современные методы проверки подлинности, можно использовать расширение NPS. Обычные интеграции клиентов RADIUS включают такие приложения, как шлюзы удаленного рабочего стола и VPN-серверы.
Другие интеграции:
Шлюз Citrix
Шлюз Citrix поддерживает интеграцию расширений RADIUS и NPS, а также интеграцию SAML.
Cisco VPN
- Cisco VPN поддерживает проверку подлинности RADIUS и SAML для единого входа.
- Переход от проверки подлинности RADIUS к SAML позволяет интегрировать Cisco VPN без развертывания расширения NPS.
Все VPN
Развертывание многофакторной проверки подлинности Microsoft Entra
План развертывания многофакторной проверки подлинности Microsoft Entra должен включать пилотное развертывание, за которым следуют волны развертывания, находящиеся в вашей емкости поддержки. Начните развертывание, применив политики условного доступа к небольшой группе пилотных пользователей. После оценки влияния на пилотных пользователей, используемого процесса и вариантов поведения при регистрации можно добавить дополнительные группы в политику или дополнительных пользователей в существующие группы.
Выполните приведенные ниже действия:
- Обеспечьте соблюдение необходимых предварительных требований
- Настройте выбранные методы проверки подлинности.
- Настройте политики условного доступа.
- Настройте параметры времени существования сеанса
- Настройка политик регистрации многофакторной проверки подлинности Microsoft Entra
Управление многофакторной проверкой подлинности Microsoft Entra
В этом разделе содержатся сведения о отчетах и устранении неполадок для многофакторной проверки подлинности Microsoft Entra.
Создание отчетов и мониторинг
Идентификатор Microsoft Entra содержит отчеты, предоставляющие техническую и бизнес-аналитику, следуйте ходу развертывания и проверьте, успешно ли ваши пользователи войдите с помощью MFA. Предложите владельцам технических и бизнес-приложений принять на себя ответственность за эти отчеты и использовать их в соответствии с требованиями вашей организации.
Вы можете отслеживать регистрацию и использование метода проверки подлинности в своей организации с помощью панели мониторинга действий для методов проверки подлинности. Это поможет понять, какие методы зарегистрированы и как они используются.
Отчет о входе для просмотра событий MFA
Отчеты о входе Microsoft Entra включают сведения о проверке подлинности для событий, когда пользователю предлагается MFA, и если какие-либо политики условного доступа использовались. Вы также можете использовать PowerShell для создания отчетов о пользователях, зарегистрированных для многофакторной проверки подлинности Microsoft Entra.
Расширения NPS и журналы AD FS для действия облачной MFA теперь включены в журналы входа и больше не публикуются в отчете о действиях.
Дополнительные сведения и дополнительные отчеты многофакторной проверки подлинности Microsoft Entra см. в разделе "Просмотр событий многофакторной проверки подлинности Microsoft Entra".
Устранение неполадок многофакторной проверки подлинности Microsoft Entra
Сведения об устранении распространенных проблем см. в статье "Устранение неполадок с многофакторной проверкой подлинности Microsoft Entra".
Пошаговое руководство
Пошаговое руководство по многим рекомендациям, приведенным в этой статье, см . в пошаговом руководстве по настройке многофакторной проверки подлинности Microsoft 365.