Självstudie: Skydda användarinloggningshändelser med Microsoft Entra multifaktorautentisering

Multifaktorautentisering är en process där en användare uppmanas att ange ytterligare former av identifiering under en inloggningshändelse. Till exempel kan uppmaningen vara att ange en kod på sin mobiltelefon eller att tillhandahålla en fingeravtrycksgenomsökning. När du behöver en andra form av identifiering ökar säkerheten eftersom den här extra faktorn inte är lätt för en angripare att hämta eller duplicera.

Microsoft Entra-multifaktorautentisering och principer för villkorsstyrd åtkomst ger dig flexibiliteten att kräva MFA från användare för specifika inloggningshändelser.

Viktigt!

Den här självstudien visar en administratör hur du aktiverar Microsoft Entra multifaktorautentisering. Information om hur du går igenom multifaktorautentiseringen som användare finns i Logga in på ditt arbets- eller skolkonto med hjälp av din tvåstegsverifieringsmetod.

Om IT-teamet inte har aktiverat möjligheten att använda Microsoft Entra multifaktorautentisering, eller om du har problem vid inloggningen, kontaktar du supportavdelningen för ytterligare hjälp.

I den här självstudiekursen får du lära du dig att:

  • Skapa en princip för villkorlig åtkomst för att aktivera Microsoft Entra multifaktorautentisering för en grupp användare.
  • Konfigurera de principvillkor som frågar efter MFA.
  • Testa konfiguration och användning av multifaktorautentisering som användare.

Förutsättningar

För att slutföra den här självstudien behöver du följande resurser och behörigheter:

  • En fungerande Microsoft Entra-klient med Microsoft Entra ID P1 eller utvärderingslicenser aktiverade.

  • Ett konto med minst rollen Administratör för villkorlig åtkomst. Vissa MFA-inställningar kan också hanteras av en administratör för autentiseringsprinciper.

  • Ett konto som inte är administratör med ett lösenord som du känner till. I den här självstudien skapade vi ett sådant konto med namnet testuser. I den här självstudien testar du slutanvändarens upplevelse av att konfigurera och använda Microsoft Entra multifaktorautentisering.

  • En grupp som användaren som inte är administratör är medlem i. I den här självstudien har vi skapat en sådan grupp med namnet MFA-Test-Group. I den här självstudien aktiverar du Microsoft Entra multifaktorautentisering för den här gruppen.

Skapa en princip för villkorsstyrd åtkomst

Dricks

Stegen i den här artikeln kan variera något beroende på vilken portal du börjar från.

Det rekommenderade sättet att aktivera och använda Microsoft Entra multifaktorautentisering är med principer för villkorsstyrd åtkomst. Med villkorsstyrd åtkomst kan du skapa och definiera principer som reagerar på inloggningshändelser och som begär ytterligare åtgärder innan en användare beviljas åtkomst till ett program eller en tjänst.

Översiktsdiagram över hur villkorsstyrd åtkomst fungerar för att skydda inloggningsprocessen

Principer för villkorlig åtkomst kan tillämpas på specifika användare, grupper och appar. Målet är att skydda din organisation samtidigt som du ger rätt åtkomstnivåer till de användare som behöver den.

I den här självstudien skapar vi en grundläggande princip för villkorsstyrd åtkomst för att fråga efter MFA när en användare loggar in. I en senare självstudie i den här serien konfigurerar vi Microsoft Entra multifaktorautentisering med hjälp av en riskbaserad princip för villkorsstyrd åtkomst.

Skapa först en princip för villkorsstyrd åtkomst och tilldela testgruppen med användare på följande sätt:

  1. Logga in på Microsoft Entra admincenter som administratör för villkorsstyrd åtkomst.

  2. Bläddra till Villkorlig åtkomst för skydd>, välj + Ny princip och välj sedan Skapa ny princip.

    En skärmbild av sidan Villkorsstyrd åtkomst där du väljer ”Ny princip” och sedan ”Skapa ny princip”.

  3. Ange ett namn för principen, till exempel MFA Pilot.

  4. Under Tilldelningar väljer du det aktuella värdet under Användare eller arbetsbelastningsidentiteter.

    En skärmbild av sidan Villkorsstyrd åtkomst, där du väljer det aktuella värdet under

  5. Under Vad gäller den här principen för?kontrollerar du att Användare och grupper har valts.

  6. Under Inkludera väljer du Välj användare och grupper och sedan Användare och grupper.

    En skärmbild av sidan för att skapa en ny princip, där du väljer alternativ för att ange användare och grupper.

    Eftersom ingen har tilldelats ännu öppnas listan över användare och grupper (visas i nästa steg) automatiskt.

  7. Bläddra efter och välj din Microsoft Entra-grupp, till exempel MFA-Test-Group, och välj sedan Välj.

    En skärmbild av listan över användare och grupper, med resultat filtrerade efter bokstäverna M F A och MFA-Test-Group valda.

Vi har valt den grupp som principen ska tillämpas på. I nästa avsnitt konfigurerar vi de villkor under vilka principen ska tillämpas.

Konfigurera villkoren för multifaktorautentisering

Nu när principen för villkorsstyrd åtkomst har skapats och en testgrupp med användare har tilldelats definierar du de molnappar eller åtgärder som utlöser principen. Dessa molnappar eller åtgärder är de scenarier som du bestämmer dig för att kräva ytterligare bearbetning, till exempel frågor om multifaktorautentisering. Du kan till exempel bestämma att åtkomst till ett ekonomiskt program eller användning av hanteringsverktyg kräver ytterligare en uppmaning om autentisering.

Konfigurera vilka appar som kräver multifaktorautentisering

I den här självstudien konfigurerar du principen för villkorsstyrd åtkomst för att kräva multifaktorautentisering när en användare loggar in.

  1. Välj det aktuella värdet under Molnappar eller åtgärder. Under Välj vad den här principen gäller kontrollerar du sedan att Molnappar har valts.

  2. Under Inkludera väljer du Välj resurser.

    Eftersom inga appar ännu har valts öppnas listan över appar (visas i nästa steg) automatiskt.

    Dricks

    Du kan välja att tillämpa principen för villkorsstyrd åtkomst på Alla resurser (tidigare "Alla molnappar") eller Välj resurser. För att ge flexibilitet kan du även undanta vissa appar från principen.

  3. Bläddra i listan över tillgängliga inloggningshändelser som kan användas. I den här självstudien väljer du Windows Azure Service Management API så att principen gäller för inloggningshändelser. Välj sedan Välj.

    En skärmbild av sidan Villkorsstyrd åtkomst, där du väljer appen, Windows Azure Service Management API, som den nya principen ska tillämpas på.

Konfigurera multifaktorautentisering för åtkomst

Därefter konfigurerar vi åtkomstkontroller. Med åtkomstkontroller kan du definiera kraven för att en användare ska beviljas åtkomst. De kan behöva använda en godkänd klientapp eller en enhet som är hybridanslutning till Microsoft Entra-ID.

I den här självstudien konfigurerar du åtkomstkontrollerna så att de kräver multifaktorautentisering under en inloggningshändelse.

  1. Under Åtkomstkontroller väljer du det aktuella värdet under Bevilja och väljer sedan Bevilja åtkomst.

    En skärmbild av sidan Villkorsstyrd åtkomst, där du väljer

  2. Välj Kräv multifaktorautentisering och välj sedan Välj.

    En skärmbild av alternativen för att bevilja åtkomst, där du väljer

Aktivera principen

Principer för villkorsstyrd åtkomst kan anges till Endast rapport om du vill se hur konfigurationen skulle påverka användare eller Av om du inte vill använda principen just nu. Eftersom en testgrupp med användare är mål för den här självstudien ska vi aktivera principen och sedan testa Microsoft Entra multifaktorautentisering.

  1. Välj under Aktivera princip.

    En skärmbild av kontrollen som ligger längst ned på webbsidan där du anger om principen är aktiverad.

  2. Om du vill tillämpa principen för villkorsstyrd åtkomst väljer du Skapa.

Testa Microsoft Entra multifaktorautentisering

Nu ska vi se din princip för villkorsstyrd åtkomst och Microsoft Entra multifaktorautentisering i praktiken.

Logga först in på en resurs som inte kräver MFA:

  1. Öppna ett nytt webbläsarfönster i InPrivate- eller https://account.activedirectory.windowsazure.com.

    Om du använder ett privat läge för webbläsaren förhindrar du att befintliga autentiseringsuppgifter påverkar den här inloggningshändelsen.

  2. Logga in med testanvändaren som inte är administratör, till exempel testanvändare. Se till att inkludera @ och domännamnet för användarkontot.

    Om detta är den första instansen av inloggning med det här kontot uppmanas du att ändra lösenordet. Du uppmanas dock inte att konfigurera eller använda multifaktorautentisering.

  3. Stäng webbläsarfönstret.

Du har konfigurerat principen för villkorsstyrd åtkomst för att kräva ytterligare autentisering för inloggning. På grund av den konfigurationen uppmanas du att använda Microsoft Entra multifaktorautentisering eller att konfigurera en metod om du ännu inte har gjort det. Testa det här nya kravet genom att logga in på administrationscentret för Microsoft Entra:

  1. Öppna ett nytt webbläsarfönster i InPrivate- eller inkognitoläge och logga in på administrationscentret för Microsoft Entra.

  2. Logga in med testanvändaren som inte är administratör, till exempel testanvändare. Se till att inkludera @ och domännamnet för användarkontot.

    Du måste registrera dig för och använda Microsoft Entra multifaktorautentisering.

    En uppmaning med texten

  3. Välj Nästa för att påbörja processen.

    Du kan välja att konfigurera en autentiseringstelefon, en office-telefon eller en mobilapp för autentisering. Autentiseringstelefonen stöder textmeddelanden och telefonsamtal, office-telefon stöder samtal till nummer som har ett tillägg och mobilappen stöder användning av en mobilapp för att ta emot meddelanden för autentisering eller för att generera autentiseringskoder.

    En uppmaning med texten

  4. Slutför anvisningarna på skärmen för att konfigurera metoden för multifaktorautentisering som du har valt.

  5. Stäng webbläsarfönstret och logga in på administrationscentret för Microsoft Entra igen för att testa den autentiseringsmetod som du har konfigurerat. Om du till exempel har konfigurerat en mobilapp för autentisering bör du se en fråga som liknar följande.

    Om du vill logga in följer du anvisningarna i webbläsaren och sedan kommandotolken på den enhet som du registrerade för multifaktorautentisering.

  6. Stäng webbläsarfönstret.

Rensa resurser

Om du inte längre vill använda den princip för villkorsstyrd åtkomst som du konfigurerade som en del av den här självstudien tar du bort principen med hjälp av följande steg:

  1. Logga in på Microsoft Entra admincenter som administratör för villkorsstyrd åtkomst.

  2. Bläddra till Villkorlig åtkomst för skydd>och välj sedan den princip som du skapade, till exempel MFA Pilot.

  3. välj Ta bort och bekräfta sedan att du vill ta bort principen.

    Om du vill ta bort den princip för villkorsstyrd åtkomst som du har öppnat väljer du Ta bort som finns under namnet på principen.

Nästa steg

I den här självstudien har du aktiverat Microsoft Entra multifaktorautentisering med hjälp av principer för villkorsstyrd åtkomst för en vald grupp användare. Du har lärt dig att:

  • Skapa en princip för villkorlig åtkomst för att aktivera Microsoft Entra multifaktorautentisering för en grupp Microsoft Entra-användare.
  • Konfigurera de principvillkor som frågar efter multifaktorautentisering.
  • Testa konfiguration och användning av multifaktorautentisering som användare.