Stap vir stap: Konfigureer multi-faktor-verifikasie (MFA) in Azure AD

Stap vir stap: Konfigureer multi-faktor-verifikasie (MFA) in Azure AD

02/01/2024

Hierdie tegniese en opvoedkundige artikel het ten doel om sekuriteitsontleders, IT-administrateurs en stelselingenieurs te lei in die opstel en implementering van Multi-Factor Authentication (MFA) in Azure Active Directory (nou Microsoft Entra ID). MFA is 'n noodsaaklike sekuriteitslaag wat vereis dat gebruikers twee of meer vorme van verifikasie verskaf om hul identiteit te bewys voordat hulle toegang verkry, wat die risiko van rekeningkompromie aansienlik verminder [1].

Inleiding

In vandag se kuberbedreigingslandskap is wagwoorde alleen nie meer genoeg om gebruikersrekeninge te beskerm nie. Uitvissing-aanvalle, wagwoordbespuiting en diefstal van geloofsbriewe is algemene taktieke wat deur aanvallers gebruik word. Multi-Factor Authentication (MFA) voeg 'n kritieke laag sekuriteit by deur van gebruikers te vereis om iets te verskaf wat hulle weet (wagwoord), iets wat hulle het (foon, hardeware-token), of iets wat hulle is (vingerafdruk, gesigsherkenning). Die implementering van MFA is een van die doeltreffendste sekuriteitsmaatreëls wat 'n organisasie kan neem om sy hulpbronne in Microsoft Entra ID en verwante dienste te beskerm [2].

Hierdie hoe-om-gids sal die stappe dek vir die opstel van MFA in Azure AD, met die fokus op verskillende implementeringsmetodes, van basiese konfigurasies tot die gebruik van voorwaardelike toegangsbeleide vir meer granulêre beheer. Stap-vir-stap instruksies, voorbeeldkonfigurasies en valideringsmetodes sal verskaf word om te verseker dat die leser MFA effektief in hul omgewing kan toepas.

Hoekom is MFA van kardinale belang?

  • Risikovermindering: Verminder die waarskynlikheid van 'n rekeningkompromie drasties, selfs al word wagwoorde gesteel.
  • Voldoening: Baie sekuriteitstandaarde en regulasies vereis die implementering van MFA om sensitiewe data te beskerm.
  • Phishing Protection: Voeg 'n versperring teen phishing-aanvalle by, aangesien die aanvaller nie net die wagwoord nodig het nie, maar ook die tweede faktor.
  • Buigsaamheid: Azure AD bied veelvuldige tweede-faktor-opsies soos Microsoft Authenticator-toepassing, SMS, telefoonoproep en hardeware-tokens, wat gebruikers in staat stel om die gerieflikste en veiligste metode te kies.

Voorvereistes

Om MFA in Azure AD op te stel, het jy die volgende items nodig:

  1. Lisensiëring: 'n Lisensie wat Azure AD MFA-kenmerke insluit. Dit kan Azure AD Free (met sekuriteitstandaarde), Azure AD Premium P1 of P2 (vir voorwaardelike toegang), of Microsoft 365-lisensies wees wat Azure AD Premium [3] insluit.
  2. Administratiewe toegang: 'n Rekening met globale administrateur- of stawingadministrateur-toestemmings in die Azure-portaal (portal.azure.com) of Microsoft Entra-administrasiesentrum (entra.microsoft.com).
  3. Toetstoestelle: Ten minste een toetsgebruikerrekening en een toestel (slimfoon) om MFA op te stel en te valideer.
  4. Noodtoegangrekeninge: Dit is goeie praktyk om breekglasrekeninge te skep en te beveilig wat van MFA vrygestel is om uitsluitings te vermy in geval van probleme met die MFA-stelsel [4].

Stap vir stap: die opstel van multi-faktor-verifikasie (MFA) in Azure AD

Daar is 'n paar maniere om MFA in Azure AD te aktiveer. Ons sal die twee algemeenste dek: Sekuriteitverstekpunte (vir vinnige, basiese konfigurasies) en Voorwaardelike toegangsbeleide (vir granulêre beheer).

Opsie 1: Aktiveer MFA met behulp van sekuriteitstandaarde (aanbeveel vir klein en medium besighede)

Sekuriteitstandaarde verskaf 'n basiese stel van Microsoft-aanbevole sekuriteitsbeleide, insluitend die vereiste van MFA vir alle gebruikers en administrateurs. Dit is 'n eenvoudige en effektiewe manier om sekuriteit vinnig te verhoog.

  1. Gaan na die Microsoft Entra-administrasiesentrum: https://entra.microsoft.com.
  2. Gaan in die linkernavigasiepaneel na Beskerming > Sekuriteitoorsig.
  3. In die Enable Security Defaults afdeling, klik Manage Security Defaults.
  4. In die Security Defaults paneel, stel die Enable Security Defaults opsie na Ja.
  5. Klik Stoor.

Let wel: Sodra dit geaktiveer is, sal Sekuriteitverstekpunte vereis dat alle gebruikers MFA op hul volgende aanmelding opstel. Hulle sal gevra word om die Microsoft Authenticator-toepassing te registreer. Sekuriteitstandaarde is ideaal vir organisasies wat nie het niem Azure AD Premium P1- of P2-lisensies en benodig 'n vinnige, gestandaardiseerde MFA-implementering. Dit is nie moontlik om voorwaardelike toegang en sekuriteit verstek gelyktydig te gebruik nie; die een deaktiveer die ander.

Opsie 2: Aktiveer MFA deur gebruik te maak van voorwaardelike toegangsbeleide (aanbeveel vir granulêre beheer en groter ondernemings)

Voorwaardelike Toegang (CA) Beleide laat jou toe om spesifieke voorwaardes te definieer waaronder MFA vereis sal word, wat baie meer buigsaamheid bied as Sekuriteit Defaults. Hierdie opsie vereis 'n Azure AD Premium P1- of P2-lisensie.

2.1. Skep 'n toetsgebruikersgroep

Dit is 'n goeie praktyk om voorwaardelike toegang-beleide op 'n klein groepie gebruikers te toets voordat dit na jou hele organisasie ontplooi word.

  1. Gaan in die Microsoft Login-administrasiesentrum na Identiteit > Groepe > Alle groepe.
  2. Klik Nuwe Groep.
  3. Vul die besonderhede in:
    • Groeptipe: Sekuriteit
    • Groepnaam: MFA_Users_Test
    • Azure AD-rolle kan aan groep toegewys word: Nee
    • Lidmaatskaptipe: Toegewys
  4. Voeg toetsgebruikers as lede by en klik Skep.

2.2. Skep 'n voorwaardelike toegangsbeleid om MFA te vereis

  1. Gaan na Beskerming > Voorwaardelike Toegang in die Microsoft Login-administrasiesentrum.
  2. Klik Nuwe beleid > Skep nuwe beleid.
  3. Naam: Vereis MFA vir alle gebruikers (of Vereis MFA vir toetsgroep as dit getoets word).
  4. Verantwoordelikhede:
    • Identiteitsgebruikers of werkladings: Kies Alle gebruikers (of die MFA_Users_Test-groep vir toetsing).
    • Vee uit: Dit is van kardinale belang om jou noodtoegangsrekeninge hier uit te vee om te verhoed dat jy geblokkeer word. Voeg ook enige diensrekeninge by wat nie MFA kan gebruik nie.
  5. Wolkhulpbronne of -aksies: Kies Alle wolktoepassings.
  6. Voorwaardes (Opsioneel, vir bykomende korreligheid):
    • Jy kan toestande opstel op grond van ligging, toestelle, kliënttoepassings, ens. Vereis byvoorbeeld MFA slegs vir toegang van buite die korporatiewe netwerk.
  7. Toekenning:
    • Kies Gee toegang.
    • Merk Vereis multifaktor-verifikasie.
    • Klik op Kies.
  8. Sessie (Opsioneel):
    • U kan aanmeldfrekwensiebeheer of sessievolharding opstel.
  9. Aktiveer Beleid: Stel op Slegs Rapporteer om die impak te toets voor aansoek, of Aan om onmiddellik aansoek te doen.
  10. Klik Skep.

2.3. Stel verifikasiemetodes op

Dit is belangrik om te definieer watter MFA-metodes vir gebruikers beskikbaar is.

  1. Gaan in die Microsoft Login-administrasiesentrum na Beskerming > Stawingmetodes > Beleide.
  2. Hier kan jy metodes soos Microsoft Authenticator, SMS, Voice Call, ens aktiveer of deaktiveer. Dit word aanbeveel om Microsoft Authenticator en SMS as primêre metodes te aktiveer.
  3. Stel opsies vir elke metode op, soos Authenticator-registrasiemodus (geen wagwoord of drukkennisgewing nie).

Bekragtiging en toetsing

Nadat MFA gekonfigureer is, is dit noodsaaklik om te bevestig dat dit werk soos verwag.

1. Toets 'n gebruikersaanmelding

  1. Maak 'n blaaiervenster oop in incognito-/privaatmodus.
  2. Gaan na 'n aansoek wat die MFA-polis dek (byvoorbeeld: portal.office.com).
  3. Meld aan met die rekening van 'n gebruiker wat by die MFA-beleid ingesluit is.
  4. Die gebruiker moet gevra word om MFA op te stel (indien dit die eerste aanmelding is nadat dit geaktiveer is) of om die tweede faktor te verskaf (bv. keur die kennisgewing in Microsoft Authenticator goed, voer SMS-kode in).

2. Gaan MFA-registrasiestatus na

  1. Gaan in die Microsoft Login-administrasiesentrum na Identiteit > Gebruikers > Alle gebruikers.
  2. Klik 'n gebruiker en dan Authentication Methods.
  3. Kontroleer die verifikasiemetodes wat vir die gebruiker geregistreer is. Dit sal bevestig dat die gebruiker MFA suksesvol opgestel het.

3. Gebruik slegs verslag-modus (vir voorwaardelike toegang)

As jy die voorwaardelike toegang-beleid in Slegs rapporteer-modus opgestel het, kan jy die resultate sonder afdwinging verifieer.

  1. Gaan na Beskerming > Voorwaardelike Toegang in die Microsoft Login-administrasiesentrum.
  2. Klik op die polis wat jy geskep het en gaan na die Report only-oortjie.
  3. Ontleed die resultate om te sien watter gebruikers en toepassings deur die beleid geraak sal word en of MFA vereis sal word.

Sekuriteitswenke en beste praktyke

  • Vereis MFA vir administrateurs: Vereis altyd MFA vir administratiewe rekeninge, ongeag ander beleide. Hierdie rekeninge is die belangrikste teikens vir aanvalle.
  • Gebruikersopvoeding: Lei gebruikers op oor die belangrikheid van MFA en hoe om dit korrek op te stel en te gebruik. Verduidelik hoe om MFA-uitvissingpogings te identifiseer en aan te meld.
  • Microsoft Authenticator: Bevorder die gebruik van die Microsoft Authenticator-toepassing met stootkennisgewings, aangesien dit as een van die veiligste en maklikste metodes beskou word om te gebruik, sowel as bestand teen sommige soorte uitvissing-aanvalle.
  • Korrelvormige voorwaardelike toegangsbeleide: Gebruik voorwaardelike toegang om te verfyn wanneer MFA vereis word (bv. buite die korporatiewe netwerk, vir hoërisiko-toepassings, vir gebruikers in bevoorregte rolle).
  • Periodiese hersiening: Hersien gereeld jou MFA-beleide en gebruiker-geregistreerde stawingmetodes om te verseker dat dit doeltreffend en veilig bly.
  • Noodrekeninge: Handhaaf 'n streng proses vir noodtoegangsrekeninge, insluitend die veilige berging van geloofsbriewe en gereelde ouditering van hul gebruik.

Algemene probleemoplossing

  • Gebruiker kan nie MFA opstel nie: Verifieer dat die gebruiker 'n toepaslike lisensie het en dat die verlangde stawingmetodes geaktiveer is. Lei die gebruiker om die registrasie-instruksies noukeurig te volg.
  • Gebruiker geblokkeer nadat MFA geaktiveer is: Kontroleer of die gebruiker van 'n voorwaardelike toegangsbeleid uitgesluit is of as daar 'n probleem is met die gekonfigureerde MFA-metode. Gebruik noodtoegangsrekeninge indien nodig.
  • MFA word nie versoek nie: Verifieer dat die voorwaardelike toegang-beleid geaktiveer is en aan die korrekte gebruikers en toepassings toegewys is. As jy sekuriteitstandaarde gebruik, maak seker dat daar geen botsende voorwaardelike toegang-beleide is nie.
  • Authenticator-toepassingkwessies: Kontroleer jou mobiele toestel se netwerkverbinding en of kennisgewings vir die toepassing geaktiveer is. Probeer om die rekening weer in die toepassing te verwyder en by te voeg.

Gevolgtrekking

Multi-faktor-verifikasie is 'n fundamentele pilaar van moderne identiteitsekuriteit. Die opstel van MFA in Azure AD, veral deur voorwaardelike toegangsbeleide, bied 'n robuuste verdediging teen ongemagtigde toegang. Deur die riglyne in hierdie artikel te volg, sal jou organisasie beter toegerus wees om gebruikersidentiteite en kritieke hulpbronne te beskerm, risiko's te versag en jou algehele sekuriteitsposisie te versterk. Onthou, sekuriteit is 'n deurlopende proses wat voortdurende aanpassing en verbetering vereis.

Verwysings:

[1] Microsoft Learn. Wat is multi-faktor-verifikasie?. Beskikbaar by: https://learn.microsoft.com/pt-br/entra/identity/authentication/concept-mfa-howitworks [2] Microsoft Learn. Beplan 'n Microsoft Entra-multifaktor-verifikasie-ontplooiing. Beskikbaar by: https://learn.microsoft.com/pt-br/entra/identity/authentication/howto-mfa-getstarted [3] Microsoft Learn. Microsoft Entra Multi-Factor Verifikasie lisensiëring. Beskikbaar by: https://learn.microsoft.com/pt-br/entra/identity/authentication/concept-mfa-licensing [4] Microsoft Learn. Skep noodtoegangsrekeninge op Microsoft Entra ID. Beskikbaar by: https://learn.microsoft.com/pt-br/entra/identity/role-based-access-control/security-emergency-access-accounts