Включение многофакторной проверки подлинности
Упражнение. Включение многофакторной проверки подлинности (MFA)
Многофакторная проверка подлинности (MFA) защищает удостоверения потребителей, запрашивая их для второго метода проверки. Условный доступ Microsoft Entra объединяет сигналы, принимать решения и применять политики безопасности. Для веб-сайта продуктовых продуктов мы применим политику условного доступа, которая запрашивает MFA. Политика условного доступа предназначена для всех пользователей без каких-либо условий.
Примечание.
Для включения многофакторной проверки подлинности потребуется по крайней мере роль администратора политики проверки подлинности.
У вас есть отзывы? Пожалуйста, сообщите нам, как будет идти подтверждение проекта концепции. Мы хотели бы услышать ваше мнение!
Сначала создайте политику условного доступа для защиты приложения. Войдите в Центр администрирования Microsoft Entra и перейдите к условному доступу защиты>. Затем нажмите кнопку "Создать политику".
Присвойте политике имя, например риск входа.
В разделе "Назначения" выберите ссылку в разделе "Пользователи". Затем на вкладке "Включить" выберите "Все пользователи". На вкладке "Исключить " можно выбрать пользователей и группы для учетных записей аварийного доступа или аварийного доступа вашей организации.
В разделе "Назначения" выберите "Целевые ресурсы". Затем на вкладке "Включить " выберите параметр "Выбрать приложения " и нажмите кнопку "Выбрать ". Найдите приложение, выберите его и нажмите кнопку "Выбрать".
Пропустите раздел "Условия " и перейдите к следующему шагу.
В разделе Управление доступом>Предоставить разрешение выберите Предоставить доступ. Затем выберите "Требовать многофакторную проверку подлинности". При использовании этого типа предоставления пользователям необходимо выполнить дополнительные требования к безопасности, такие как электронная почта, телефонный звонок или текстовое сообщение.
Подтвердите параметры и задайте для параметра Включить политику значение Включить. Выберите "Создать", чтобы создать политику.
Отлично! Вы создали политику условного доступа, требующую завершения многофакторной проверки подлинности пользователей. Чтобы проверить взаимодействие с пользователем, войдите в приложение.
Создание политики условного доступа
В следующем примере создается политика условного доступа. Эта политика нацелена на все входы для всех пользователей (за исключением глобального администратора клиента).) В приведенном ниже запросе замените {web-or-mobile-app-ID} собственным веб-приложением или мобильным приложением (идентификатор приложения, а не идентификатор объекта.) Обратите внимание, что можно добавить дополнительные приложения.
POST https://graph.microsoft.com/v1.0/identity/conditionalAccess/policies
{
"templateId": null,
"displayName": "Woodgrove demo - sign in risk",
"state": "enabled",
"sessionControls": null,
"conditions": {
"userRiskLevels": [],
"signInRiskLevels": [
"high",
"medium"
],
"clientAppTypes": [
"all"
],
"platforms": null,
"locations": null,
"times": null,
"deviceStates": null,
"devices": null,
"clientApplications": null,
"applications": {
"includeApplications": [
"{web-or-mobile-app-ID}"
],
"excludeApplications": [],
"includeUserActions": [],
"includeAuthenticationContextClassReferences": [],
"applicationFilter": null
},
"users": {
"includeUsers": [
"All"
],
"excludeUsers": [],
"includeGroups": [],
"excludeGroups": [],
"includeRoles": [],
"excludeRoles": [],
"includeGuestsOrExternalUsers": null,
"excludeGuestsOrExternalUsers": null
}
},
"grantControls": {
"operator": "OR",
"builtInControls": [
"mfa"
],
"customAuthenticationFactors": [],
"termsOfUse": [],
"authenticationStrength": null
}
}