| Azure AD 多重身份验证部署注意事项 | 您所在的位置:网站首页 › azure mfa › Azure AD 多重身份验证部署注意事项 |
|
你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。 规划 Azure Active Directory 多重身份验证部署 项目 03/13/2023Azure Active Directory (Azure AD) 多重身份验证通过使用第二种形式的身份验证提供另一层安全性,有助于保护对数据和应用程序的访问。 组织可以使用条件访问来启用多重身份验证 (MFA),以使解决方案满足其特定需求。 本部署指南介绍了如何计划及成功推出 Azure AD 多重身份验证。 部署 Azure AD 多重身份验证的先决条件在开始部署之前,请确保满足相关方案的以下先决条件。 场景 先决条件 具有新式身份验证的仅限云的标识环境 无先决条件任务 混合标识方案 部署 Azure AD Connect 并在本地 Active Directory 域服务 (AD DS) 和 Azure AD 之间同步用户身份。 为云访问发布的本地旧版应用程序 部署 Azure AD 应用程序代理 为 MFA 选择身份验证方法有许多方法可用于第二因素身份验证。 可以从可用身份验证方法列表中选择,在安全性、易用性和可用性方面评估每种方法。 重要 启用多种 MFA 方法,以便用户在其主要方法不可用时具有可用的备用方法。 方法包括: Windows Hello for Business Microsoft Authenticator 应用 FIDO2 安全密钥(预览版) OATH 硬件令牌(预览版) OATH 软件令牌 短信验证 语音呼叫验证选择将在租户中使用的身份验证方法时,请考虑这些方法的安全性和易用性: 若要详细了解这些方法的优势和安全性及其工作方式,请参阅以下资源: Azure Active Directory 中有哪些可用的身份验证和验证方法? 视频:选择正确的身份验证方法,确保组织安全可以使用此 PowerShell 脚本来分析用户的 MFA 配置并建议适当的 MFA 身份验证方法。 为获得最佳灵活性和易用性,请使用 Microsoft Authenticator 应用。 此身份验证方法提供最佳用户体验和多种模式,如无密码、MFA 推送通知和 OATH 代码。 Microsoft Authenticator 应用还符合美国国家标准和技术研究所 (NIST) 的验证器确定性 2 级要求。 你可以控制租户中可用的身份验证方法。 例如,你可能想要阻止一些安全性最低的方法,例如短信。 身份验证方法 管理方式 Scoping Microsoft Authenticator(推送通知和无密码手机登录) MFA 设置或身份验证方法策略 Authenticator 无密码电话登录的范围可缩小到用户和组 FIDO2 安全密钥 身份验证方法策略 可以将范围限定为用户和组 软件或硬件 OATH 令牌 MFA 设置 短信验证 MFA 设置管理身份验证策略中主要身份验证的短信登录。 可以短信登录的范围限定为用户和组。 语音呼叫 身份验证方法策略 计划条件访问策略Azure AD 多重身份验证是通过条件访问策略强制执行。 通过这些策略,你可以在有安全性需要时提示用户进行 MFA,并在不需要时避免打扰用户。 在 Azure 门户中,你将在“Azure Active Directory”>“安全性”>“条件访问”下配置条件访问策略。 如要详细了解如何创建条件访问策略,请参阅创建条件访问策略,以便用户登录 Azure 门户时提示其进行 Azure AD 多重身份验证。 这有助于: 熟悉用户界面 初步认识条件访问的工作原理有关 Azure AD 条件访问部署的端到端指南,请参阅条件访问部署计划。 Azure AD 多重身份验证的常见策略要求进行 Azure AD 多重身份验证的常见用例包括: 对于管理员 到特定应用程序 对于所有用户 对于 Azure 管理 从你不信任的网络位置 命名位置要管理条件访问策略,使用条件访问策略的位置条件可将访问控制设置绑定到用户的网络位置。 建议使用命名位置,这样就可以创建 IP 地址范围或国家/地区和区域的逻辑分组。 这将为所有应用创建一条策略:阻止从命名位置中登录。 请确保从此策略中排除你的管理员。 基于风险的政策如果你的组织使用 Azure AD 标识保护来检测风险信号,请考虑使用基于风险的策略,而不是命名位置。 组织可以创建策略,以在存在标识泄露威胁时强制更改密码,或者将登录视为存在风险(如凭据泄露、从匿名 IP 地址登录等)时要求进行 MFA。 风险策略包括: 要求所有用户注册 Azure AD 多重身份验证 要求高风险用户更改密码 要求存在中高登录风险的用户进行 MFA 将用户从每用户 MFA 转换为基于条件访问的 MFA如果你使用按用户启用并强制执行的 MFA 为用户启用了多重身份验证策略,以下 PowerShell 可帮助你将此类 MFA 转换为基于条件访问的 MFA。 在 ISE 窗口中运行此 PowerShell,或另存为要在本地运行的 .PS1 文件。 操作只能使用 MSOnline 模块完成。 # Sets the MFA requirement state function Set-MfaState { [CmdletBinding()] param( [Parameter(ValueFromPipelineByPropertyName=$True)] $ObjectId, [Parameter(ValueFromPipelineByPropertyName=$True)] $UserPrincipalName, [ValidateSet("Disabled","Enabled","Enforced")] $State ) Process { Write-Verbose ("Setting MFA state for user '{0}' to '{1}'." -f $ObjectId, $State) $Requirements = @() if ($State -ne "Disabled") { $Requirement = [Microsoft.Online.Administration.StrongAuthenticationRequirement]::new() $Requirement.RelyingParty = "*" $Requirement.State = $State $Requirements += $Requirement } Set-MsolUser -ObjectId $ObjectId -UserPrincipalName $UserPrincipalName ` -StrongAuthenticationRequirements $Requirements } } # Disable MFA for all users Get-MsolUser -All | Set-MfaState -State Disabled 规划用户会话生存期规划多重身份验证部署时,请务必考虑提示用户的频率。 经常要求用户提供凭据看似很明智,但有时会适得其反。 如果用户习惯于不加思索地输入凭据,可能会无意中将凭据提供给恶意的凭据提示。 Azure AD 包含多个设置,用于确定用户需要重新执行身份验证的频率。 了解业务和用户的需求,并配置可为你的环境提供最佳平衡的设置。 我们建议使用带有主刷新令牌 (PRT) 的设备以改善最终用户体验,并且仅针对特定业务用例采取登录频率策略,以缩短会话生存期。 详情请参阅优化重新验证提示并了解 Azure AD 多重身份验证的会话生存期。 计划用户注册每个多重身份验证部署都包含一个重要步骤,即让用户注册使用 Azure AD 多重身份验证。 身份验证方法(如语音和短信)允许预先注册,而其他身份验证方法(如 Authenticator 应用)则需要用户交互。 管理员必须确定用户注册其方法的方式。 SSPR 和 Azure AD MFA 的组合注册借助 Azure AD 多重身份验证和自助式密码重置 (SSPR) 的组合注册体验,用户能够在统一的体验中注册 MFA 和 SSPR。 SSPR 允许用户使用其在进行 Azure AD 多重身份验证时所采用的方法,以安全方式重置密码。 为确保自己了解该功能和最终用户体验,请参阅合并安全信息注册概念。 请务必通知用户即将发生的更改、注册要求以及任何必要的用户操作。 我们提供通信模板和用户文档,可让用户做好准备迎接新体验,并有助确保新体验成功推出。 在该页上选择“安全信息”链接,将用户导航到 https://myprofile.microsoft.com 以注册。 使用标识保护进行注册Azure AD 标识保护同时为 Azure AD 多重身份验证过程提供自动风险检测的注册策略以及修正策略。 可以创建策略,以便在存在标识泄露威胁时强制更改密码,或者在登录操作被视为有风险时要求使用 MFA。 如果你使用 Azure Active Directory 标识保护,请配置 Azure AD MFA 注册策略,以提示用户在下次以交互方式登录时进行注册。 不使用标识保护进行注册如果你没有用于启用 Azure Active Directory 标识保护的许可证,则在下一次需要使用 MFA 进行登录时,系统会提示用户进行注册。 要要求用户使用 MFA,你可以使用条件访问策略并针对 HR 系统等常用应用程序实施策略。 如果用户的密码已泄露,则泄露的密码可用于注册 MFA,从而控制用户的帐户。 因此,我们建议使用条件访问策略来保护安全注册过程,因为条件访问策略要求可信设备和位置。 还可以通过要求临时访问密码来进一步确保该过程的安全。 由管理员颁发的一种有时间限制的密码,可满足强身份验证要求,并可用于载入其他身份验证方法(包括无密码方法)。 提高已注册用户的安全性如果你的用户使用短信或语音呼叫注册了 MFA,可能需要将其切换为更安全的方法,例如 Microsoft Authenticator 应用。 Microsoft 现在提供功能的公共预览版,可在用户登录过程中提示用户设置 Microsoft Authenticator 应用。 可以按组设置这些提示,控制要提示的用户,从而通过针对性的宣传活动将用户切换为更安全的方法。 规划恢复方案如前所述,确保用户注册了多种 MFA 方法,这样在某种 MFA 方法不可用时,用户可以采用备用方法。 如果用户没有可用的备用方法,你可以进行以下操作: 为用户提供一个临时访问密码,以便用户能够管理自己的身份验证方法。 还可以提供一个临时访问密码以便能够临时访问资源。 以管理员角色更新用户的方法。 为此,请在 Azure 门户中选择用户,然后选择“身份验证方法”并更新其方法。 计划与本地系统进行集成直接向 Azure AD 进行身份验证和具有新式身份验证(WS-Fed、SAML、OAuth 和 OpenID Connect)的应用程序可以使用条件访问策略。 某些旧版和本地应用程序不会直接对 Azure AD 进行身份验证,而需要采取额外步骤才能使用 Azure AD 多重身份验证。 可以使用 Azure AD 应用程序代理或网络策略服务来集成这些应用程序。 与 AD FS 资源集成我们建议将使用 Active Directory 联合身份验证服务 (AD FS) 保护的应用程序迁移到 Azure AD。 但若尚未准备好将这些应用程序迁移到 Azure AD,你可以使用 AD FS 2016 或更高版本的 Azure 多重身份验证适配器。 如果你的组织已与 Azure AD 联合,则可在本地和云端使用 AD FS 资源将 Azure AD 多重身份验证配置为身份验证提供程序。 RADIUS 客户端与 Azure AD 多重身份验证对于使用 RADIUS 身份验证的应用程序,我们建议将客户端应用程序迁移到新式协议,例如 SAML、Open ID Connect,或 Azure AD 上的 OAuth。 如果无法更新应用程序,可以使用 Azure MFA 扩展部署网络策略服务器 (NPS)。 网络策略服务器 (NPS) 扩展充当基于 RADIUS 的应用程序与 Azure AD MFA 之间的适配器,提供身份验证的第二因素。 常见集成许多供应商现在支持其应用程序的 SAML 身份验证。 如果可能,我们建议将这些应用程序与 Azure AD 联合并通过条件访问强制实施 MFA。 如果供应商不支持新式身份验证,你可以使用 NPS 扩展。 常见的 RADIUS 客户端集成包括远程桌面网关和 VPN 服务器等应用程序。 其他应用程序可能包括: Citrix Gateway Citrix Gateway 支持 RADIUS 和 NPS 扩展集成,以及 SAML 集成。 Cisco VPN Cisco VPN 支持 RADIUS 以及用于 SSO 的 SAML 身份验证。 从 RADIUS 身份验证迁移到 SAML 后,无需部署 NPS 扩展即可集成 Cisco VPN。所有 VPN 部署 Azure AD 多重身份验证你的 Azure AD 多重身份验证推出计划应由试点部署开始,随后再在自身支持能力范围内进行后续部署。 通过将条件访问策略应用于一小组试点用户来开始推出。 在评估对试点用户、使用的进程和注册行为的影响后,可以向策略添加更多的组,也可以向现有组添加更多用户。 请遵循以下步骤进行配置: 满足必需的先决条件 配置所选的身份验证方法 配置条件访问策略 配置会话生存期设置 配置 Azure AD MFA 注册策略 管理 Azure AD 多重身份验证本节提供有关 Azure AD 多重身份验证的报告和故障排除信息。 报告和监视Azure AD 具有提供技术和业务见解的报告,请跟踪部署进度并检查用户是否成功使用 MFA 登录。 根据贵组织的要求,让业务负责人和技术应用程序所有者拥有和使用这些报告。 可以使用身份验证方法活动仪表板监控整个组织中的身份验证方法注册和使用情况。 这有助于了解正在注册哪些方法以及这些方法的使用情况。 用于查看 MFA 事件的登录报表Azure AD 登录报告包括提示用户进行 MFA 时有关事件的身份验证详细信息,且会显示是否使用了任何条件访问策略。 你还可使用 PowerShell 来报告注册了 Azure AD 多重身份验证的用户。 云 MFA 活动的 NPS 扩展和 AD FS 日志现在包含在登录日志中,并且不再发布到“安全”>“MFA”>“活动报告”。 有关详细信息和其他 Azure AD 多重身份验证报表,请参阅查看 Azure AD 多重身份验证事件。 排查 Azure AD 多重身份验证问题有关常见问题,请参阅排查 Azure AD 多重身份验证问题。 引导式演练有关本文中许多建议的引导式演练,请参阅 Microsoft 365 配置多重身份验证引导式演练。 后续步骤部署其他标识功能 |
| CopyRight 2018-2019 实验室设备网 版权所有 |