Руководство. Защита событий входа пользователей с помощью многофакторной проверки подлинности Microsoft Entra

Многофакторная проверка подлинности — это процесс, в котором пользователь запрашивает дополнительные формы идентификации во время события входа. Например, может быть предложено ввести код с мобильного телефона или пройти сканирование отпечатка пальца. Требование второго варианта идентификации повышает безопасность, так как злоумышленнику будет нелегко получить или скопировать дополнительный фактор проверки.

Политики многофакторной проверки подлинности и условного доступа Microsoft Entra позволяют гибко требовать многофакторную проверку подлинности от пользователей для определенных событий входа.

Внимание

В этом руководстве показано, как включить многофакторную проверку подлинности Microsoft Entra. Чтобы выполнить многофакторную проверку подлинности в качестве пользователя, см . раздел "Вход в рабочую или учебную учетную запись" с помощью двухфакторной проверки подлинности.

Если ИТ-команда не включила возможность использовать многофакторную проверку подлинности Microsoft Entra или если у вас возникли проблемы во время входа, обратитесь в службу технической поддержки для получения дополнительной помощи.

Из этого руководства вы узнаете, как выполнить следующие задачи:

  • Создайте политику условного доступа, чтобы включить многофакторную проверку подлинности Microsoft Entra для группы пользователей.
  • Настройка условий политики, запрашивающих MFA.
  • Проверьте настройку и использование многофакторной проверки подлинности в качестве пользователя.

Необходимые компоненты

Для работы с этим учебником требуются следующие ресурсы и разрешения:

  • Рабочий клиент Microsoft Entra с включенными лицензиями Microsoft Entra ID P1 или пробной версии.

  • Учетная запись с по крайней мере ролью администратора условного доступа. Некоторыми параметрами MFA также может управлять администратор политик проверки подлинности.

  • Учетная запись без прав администратора с известным вам паролем. Для этого учебника мы создали такую учетную запись под названием testuser. В этом руководстве описано, как протестировать взаимодействие с конечным пользователем по настройке и использованию многофакторной проверки подлинности Microsoft Entra.

  • Группа, в которую входит пользователь без прав администратора. Для этого учебника мы создали такую группу под названием MFA-Test-Group. В этом руководстве описано, как включить многофакторную проверку подлинности Microsoft Entra для этой группы.

Создание политики условного доступа

Совет

Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.

Рекомендуемый способ включения и использования многофакторной проверки подлинности Microsoft Entra — с политиками условного доступа. Условный доступ позволяет создавать и определять политики, реагирующие на события входа, которые запрашивают дополнительные действия перед предоставлением пользователю доступа к приложению или службе.

Обзорная схема защиты процесса входа с помощью условного доступа

Политики условного доступа можно применять к конкретным пользователям, группам и приложениям. Их целью является защита вашей организации и одновременное обеспечение необходимых уровней доступа пользователей.

В этом руководстве мы создадим базовую политику условного доступа для запроса MFA при входе пользователя. В следующем руководстве этой серии мы настраиваем многофакторную проверку подлинности Microsoft Entra с помощью политики условного доступа на основе рисков.

Сначала создайте политику условного доступа и назначьте тестовую группу пользователей следующим образом.

  1. Войдите в Центр администрирования Microsoft Entra в качестве администратора условного доступа.

  2. Перейдите к условному доступу защиты>, выберите +Создать политику, а затем нажмите кнопку "Создать политику".

    Снимок экрана: страница

  3. Введите имя политики, например MFA Pilot.

  4. В разделе Назначения выберите текущее значение в пункте Пользователи или удостоверения рабочей нагрузки.

    Снимок экрана: страница

  5. Убедитесь, что в пункте К кому применяется эта политика? выбрано Пользователи и группы.

  6. В пункте Включить выберите Выбрать пользователей или группы, а затем — Пользователи и группы.

    Снимок экрана страницы для создания новой политики, где выбираются параметры для указания пользователей и групп.

    Поскольку они еще не назначены, автоматически откроется список пользователей и групп (как показано на следующем этапе).

  7. Найдите и выберите группу Microsoft Entra, например MFA-Test-Group, а затем нажмите кнопку "Выбрать".

    Снимок экрана: список пользователей и групп, где результаты отфильтрованы по строке M F A и выбран элемент MFA-Test-Group.

Мы выбрали группу, к которой необходимо применить политику. В следующем разделе мы настроим условия, при которых она будет применяться.

Настройка условий многофакторной проверки подлинности

Создав политику условного доступа и назначив тестовую группу пользователей, определите облачные приложения или действия, активирующие политику. Эти облачные приложения или действия — это сценарии, которые требуют дополнительной обработки, например запрос на многофакторную проверку подлинности. Например, вы могли решить, что для доступа к финансовому приложению или средствам управления требуется дополнительный запрос проверки подлинности.

Настройка приложений, которым требуется многофакторная проверка подлинности

В этом руководстве настройте политику условного доступа, чтобы требовать многофакторную проверку подлинности при входе пользователя.

  1. Выберите текущее значение в разделе Облачные приложения или действия и убедитесь, что в пункте Выбрать объект, к которому будет применяться эта политика выбрано Облачные приложения.

  2. В разделе "Включить" выберите " Выбрать ресурсы".

    Поскольку приложения еще не выбраны, автоматически откроется список приложений (как показано на следующем этапе).

    Совет

    Вы можете применить политику условного доступа ко всем ресурсам (ранее "Все облачные приложения") или выбрать ресурсы. Для обеспечения гибкости можно также исключить определенные приложения из политики.

  3. Просмотрите список доступных событий входа, которые можно использовать. В этом руководстве выберите API управления службами Windows Azure, чтобы политика применялось к событиям входа. Затем выберите Выбрать.

    Снимок экрана: страница условного доступа, в которой выбрано приложение, API управления службами Windows Azure, к которому будет применена новая политика.

Настройка многофакторной проверки подлинности для доступа

Теперь настроим элементы управления доступом. Они позволяют определять требования к пользователю для предоставления доступа. Они могут потребоваться для использования утвержденного клиентского приложения или устройства, присоединенного к идентификатору Microsoft Entra.

В этом руководстве настройте элементы управления доступом, чтобы требовать многофакторную проверку подлинности во время события входа.

  1. В разделе Элементы управления доступом выберите текущее значение в пункте Предоставление разрешения, а затем нажмите Предоставить доступ.

    Снимок экрана: страница условного доступа, на которой выбраны элементы

  2. Выберите " Требовать многофакторную проверку подлинности" и нажмите кнопку "Выбрать".

    Снимок экрана: параметры для предоставления доступа при выборе варианта

Активация политики

Для политик условного доступа можно задать параметр Только отчет, если вы хотите узнать, как эта конфигурация повлияет на пользователей, или Выключено, если вы не хотите сейчас ее использовать. Так как тестовая группа пользователей предназначена для этого руководства, давайте включите политику, а затем протестируем многофакторную проверку подлинности Microsoft Entra.

  1. В разделе Включить политику нажмите кнопку Вкл.

    Снимок экрана: элемент управления, расположенный в нижней части веб-страницы, где указывается, включена ли политика.

  2. Чтобы применить политику условного доступа, выберите Создать.

Проверка многофакторной проверки подлинности Microsoft Entra

Давайте увидим политику условного доступа и многофакторную проверку подлинности Microsoft Entra в действии.

Сначала войдите в ресурс, который не требует MFA:

  1. Откройте новое окно браузера в режиме InPrivate или в режиме инкогнито, а затем перейдите по адресу https://account.activedirectory.windowsazure.com.

    Приватный режим браузера защитит событие входа от влияния существующих учетных данных.

  2. Выполните вход с помощью тестового пользователя без прав администратора, например testuser. Не забудьте включить @ и доменное имя в учетной записи пользователя.

    При первом входе в эту учетную запись появится запрос на изменение пароля. Однако нет запроса на настройку или использование многофакторной проверки подлинности.

  3. Закройте окно браузера.

Вы настроили политику условного доступа, чтобы требовать дополнительную проверку подлинности для входа. Из-за этой конфигурации вам будет предложено использовать многофакторную проверку подлинности Microsoft Entra или настроить метод, если вы еще не сделали этого. Проверьте это новое требование, войдите в Центр администрирования Microsoft Entra:

  1. Откройте новое окно браузера в режиме InPrivate или incognito и войдите в Центр администрирования Microsoft Entra.

  2. Выполните вход с помощью тестового пользователя без прав администратора, например testuser. Не забудьте включить @ и доменное имя в учетной записи пользователя.

    Необходимо зарегистрировать и использовать многофакторную проверку подлинности Microsoft Entra.

    Запрос с сообщением

  3. Нажмите Далее, чтобы запустить процесс.

    Для проверки подлинности можно настроить номер мобильного или рабочего телефона, а также мобильное приложение. Телефон для проверки подлинности поддерживает текстовые сообщения и звонки, рабочий телефон поддерживает звонки на номера с расширением, а мобильное приложение поддерживает получение уведомлений для проверки подлинности или создание кодов проверки подлинности в приложении.

    Запрос с сообщением

  4. Выполните инструкции на экране, чтобы настроить выбранный метод многофакторной проверки подлинности.

  5. Закройте окно браузера и войдите в Центр администрирования Microsoft Entra еще раз, чтобы проверить настроенный метод проверки подлинности. Например, если для проверки подлинности вы настроили мобильное приложение, вы увидите подсказку следующего типа.

    Чтобы войти, следуйте инструкциям в браузере, а затем запрос на устройстве, зарегистрированном для многофакторной проверки подлинности.

  6. Закройте окно браузера.

Очистка ресурсов

Если вы больше не хотите использовать политику условного доступа, которую вы настроили в рамках этого учебника, удалите ее, выполнив следующие действия:

  1. Войдите в Центр администрирования Microsoft Entra в качестве администратора условного доступа.

  2. Перейдите к условному доступу к защите>и выберите созданную политику, например пилотное приложение MFA.

  3. Нажмите Удалить и подтвердите, что хотите удалить политику.

    Чтобы удалить открытую политику условного доступа, выберите действие

Следующие шаги

В этом руководстве вы включили многофакторную проверку подлинности Microsoft Entra с помощью политик условного доступа для выбранной группы пользователей. Вы научились выполнять следующие задачи:

  • Создайте политику условного доступа, чтобы включить многофакторную проверку подлинности Microsoft Entra для группы пользователей Microsoft Entra.
  • Настройте условия политики, запрашивающие многофакторную проверку подлинности.
  • Проверьте настройку и использование многофакторной проверки подлинности в качестве пользователя.