Krok za krokem: Konfigurace vícefaktorového ověřování (MFA) v Azure AD

Krok za krokem: Konfigurace vícefaktorového ověřování (MFA) v Azure AD

02/01/2024

Tento technický a vzdělávací článek má za cíl vést bezpečnostní analytiky, IT administrátory a systémové inženýry při konfiguraci a implementaci vícefaktorového ověřování (MFA) v Azure Active Directory (nyní Microsoft Entra ID). MFA je základní bezpečnostní vrstva, která vyžaduje, aby uživatelé před získáním přístupu poskytli dvě nebo více forem ověření k prokázání své identity, což výrazně snižuje riziko kompromitace účtu [1].

Úvod

V dnešním prostředí kybernetických hrozeb již samotná hesla k ochraně uživatelských účtů nestačí. Phishingové útoky, sprejování hesel a krádeže pověření jsou běžné taktiky útočníků. Multi-Factor Authentication (MFA) přidává kritickou vrstvu zabezpečení tím, že vyžaduje, aby uživatelé poskytli něco, co znají (heslo), něco, co mají (telefon, hardwarový token) nebo něco, čím jsou (otisk prstu, rozpoznávání obličeje). Implementace MFA je jedním z nejúčinnějších bezpečnostních opatření, které může organizace přijmout k ochraně svých zdrojů v Microsoft Entra ID a souvisejících službách [2].

Tento návod bude obsahovat kroky pro nastavení MFA v Azure AD se zaměřením na různé metody implementace, od základních konfigurací až po použití zásad podmíněného přístupu pro podrobnější kontrolu. Budou poskytnuty podrobné pokyny, příklady konfigurací a metody ověřování, aby bylo zajištěno, že čtenář může efektivně aplikovat MFA ve svém prostředí.

Proč je makrofinanční pomoc klíčová?

  • Snížení rizika: Dramaticky snižuje pravděpodobnost kompromitace účtu, a to i v případě odcizení hesel.
  • Shoda: Mnoho bezpečnostních standardů a předpisů vyžaduje implementaci MFA k ochraně citlivých dat.
  • Ochrana proti phishingu: Přidává bariéru proti phishingovým útokům, protože útočník by potřeboval nejen heslo, ale také druhý faktor.
  • Flexibilita: Azure AD nabízí několik možností druhého faktoru, jako je aplikace Microsoft Authenticator, SMS, telefonní hovory a hardwarové tokeny, což uživatelům umožňuje vybrat si tu nejpohodlnější a nejbezpečnější metodu.

Předpoklady

K nastavení MFA v Azure AD budete potřebovat následující položky:

  1. Licencování: Licence, která zahrnuje funkce Azure AD MFA. Může to být Azure AD Free (s výchozími nastaveními zabezpečení), Azure AD Premium P1 nebo P2 (pro podmíněný přístup) nebo licence Microsoft 365, které zahrnují Azure AD Premium [3].
  2. Administrativní přístup: Účet s oprávněními Global Administrator nebo Authentication Administrator na Azure Portal (portal.azure.com) nebo Microsoft Entra Admin Center (entra.microsoft.com).
  3. Testovací zařízení: Alespoň jeden testovací uživatelský účet a jedno zařízení (smartphone) pro konfiguraci a ověření MFA.
  4. Účty pro nouzový přístup: Je dobrou praxí vytvořit a zabezpečit rozbité účty, které jsou osvobozeny od MFA, aby se předešlo zablokování v případě problémů se systémem MFA [4].

Krok za krokem: Konfigurace Multi-Factor Authentication (MFA) v Azure AD

Existuje několik způsobů, jak povolit MFA v Azure AD. Budeme se zabývat dvěma nejběžnějšími: Výchozí nastavení zabezpečení (pro rychlé, základní konfigurace) a Zásady podmíněného přístupu (pro podrobné ovládání).

Možnost 1: Povolte MFA pomocí výchozích nastavení zabezpečení (doporučeno pro malé a střední podniky)

Výchozí nastavení zabezpečení poskytuje základní sadu zásad zabezpečení doporučených společností Microsoft, včetně požadavku na MFA pro všechny uživatele a správce. Je to jednoduchý a účinný způsob, jak rychle zvýšit zabezpečení.

  1. Přejděte do centra pro správu Microsoft Entra: https://entra.microsoft.com.
  2. V levém navigačním panelu přejděte na Ochrana > Přehled zabezpečení.
  3. V části Povolit výchozí nastavení zabezpečení klikněte na možnost Spravovat výchozí nastavení zabezpečení.
  4. V podokně Výchozí nastavení zabezpečení nastavte možnost Povolit výchozí nastavení zabezpečení na Ano.
  5. Klikněte na Uložit.

Poznámka: Po aktivaci budou výchozí nastavení zabezpečení vyžadovat, aby všichni uživatelé nakonfigurovali MFA při příštím přihlášení. Budou požádáni o registraci aplikace Microsoft Authenticator. Výchozí nastavení zabezpečení jsou ideální pro organizace, které je nemajím licencí Azure AD Premium P1 nebo P2 a potřebujete rychlou, standardizovanou implementaci MFA. Není možné současně používat podmíněný přístup a výchozí nastavení zabezpečení; jedno vyřadí druhé.

Možnost 2: Povolte MFA pomocí zásad podmíněného přístupu (doporučeno pro podrobnou kontrolu a větší podniky)

Zásady podmíněného přístupu (CA) vám umožňují definovat konkrétní podmínky, za kterých bude MFA vyžadována, a nabízí mnohem větší flexibilitu než výchozí nastavení zabezpečení. Tato možnost vyžaduje licenci Azure AD Premium P1 nebo P2.

2.1. Vytvořte testovací skupinu uživatelů

Před nasazením v celé organizaci je dobré otestovat zásady podmíněného přístupu na malé skupině uživatelů.

  1. V centru pro správu přihlášení Microsoft přejděte na Identita > Skupiny > Všechny skupiny.
  2. Klikněte na Nová skupina.
  3. Vyplňte údaje:
    • Typ skupiny: Zabezpečení
    • Název skupiny: MFA_Users_Test
    • Role Azure AD lze přiřadit skupině: Ne
    • Typ členství: Přiřazeno
  4. Přidejte testovací uživatele jako členy a klikněte na Vytvořit.

2.2. Vytvořte zásady podmíněného přístupu, které budou vyžadovat MFA

  1. V centru pro správu přihlášení Microsoft přejděte na Ochrana > Podmíněný přístup.
  2. Klikněte na Nová zásada > Vytvořit novou zásadu.
  3. Název: Vyžadovat MFA pro všechny uživatele (nebo Vyžadovat MFA pro testovací skupinu při testování).
  4. Odpovědnosti:
    • Identity Users or Workloads: Vyberte All Users (nebo skupinu MFA_Users_Test pro testování).
    • Smazat: Zde je důležité smazat účty pro nouzový přístup, aby nedošlo k jejich zablokování. Přidejte také všechny servisní účty, které nemohou používat MFA.
  5. Cloudové zdroje nebo akce: Vyberte Všechny cloudové aplikace.
  6. Podmínky (Volitelné, pro další podrobnosti):
    • Můžete nakonfigurovat podmínky na základě umístění, zařízení, klientských aplikací atd. Například vyžadovat MFA pouze pro přístup zvenčí podnikové sítě.
  7. Grant:
    • Vyberte Udělit přístup.
    • Zaškrtněte Vyžadovat vícefaktorové ověření.
    • Klikněte na Vybrat.
  8. Relace (Volitelné):
    • Můžete nakonfigurovat kontrolu frekvence přihlášení nebo trvání relace.
  9. Povolit zásady: Nastavte na Pouze hlášení, chcete-li otestovat dopad před použitím, nebo Zapnuto, chcete-li použít okamžitě.
  10. Klikněte na Vytvořit.

2.3. Konfigurace metod ověřování

Je důležité definovat, které metody MFA jsou uživatelům dostupné.

  1. V centru pro správu přihlášení Microsoft přejděte na Ochrana > Metody ověřování > Zásady.
  2. Zde můžete povolit nebo zakázat metody jako Microsoft Authenticator, SMS, Hlasové volání atd. Doporučuje se povolit Microsoft Authenticator a SMS jako primární metody.
  3. Nakonfigurujte možnosti pro každou metodu, jako je režim registrace Authenticator (bez hesla nebo oznámení push).

Validace a testování

Po konfiguraci MFA je nezbytné ověřit, zda funguje podle očekávání.

1. Otestujte přihlášení uživatele

  1. Otevřete okno prohlížeče v anonymním/soukromém režimu.
  2. Přejděte do aplikace, na kterou se vztahují zásady MFA (např. portal.office.com).
  3. Přihlaste se pomocí účtu uživatele, který je součástí zásad MFA.
  4. Uživatel by měl být požádán o konfiguraci MFA (pokud se jedná o první přihlášení po povolení) nebo o poskytnutí druhého faktoru (např. schválení oznámení v aplikaci Microsoft Authenticator, zadání kódu SMS).

2. Zkontrolujte stav registrace MFA

  1. V centru pro správu přihlášení Microsoft přejděte na Identita > Uživatelé > Všichni uživatelé.
  2. Klikněte na uživatele a poté na Authentication Methods.
  3. Zkontrolujte metody ověřování registrované pro uživatele. Tím potvrdíte, že uživatel úspěšně nastavil MFA.

3. Použijte režim pouze přehled (pro podmíněný přístup)

Pokud jste nakonfigurovali zásadu podmíněného přístupu v režimu Pouze sestavy, můžete ověřit výsledky bez vynucení.

  1. V centru pro správu přihlášení Microsoft přejděte na Ochrana > Podmíněný přístup.
  2. Klikněte na zásadu, kterou jste vytvořili, a přejděte na kartu Pouze zpráva.
  3. Analyzujte výsledky a zjistěte, na které uživatele a aplikace by se zásada vztahovala a zda by bylo vyžadováno MFA.

Bezpečnostní tipy a osvědčené postupy

  • Vyžadovat MFA pro administrátory: Vždy vyžadovat MFA pro administrátorské účty, bez ohledu na ostatní zásady. Tyto účty jsou hlavním cílem útoků.
  • Vzdělávání uživatelů: Školte uživatele o důležitosti MFA ao tom, jak je správně nakonfigurovat a používat. Vysvětlete, jak identifikovat a nahlásit pokusy o phishing MFA.
  • Microsoft Authenticator: Propagujte používání aplikace Microsoft Authenticator pomocí oznámení push, protože je považována za jednu z nejbezpečnějších a nejjednodušších metod použití a zároveň je odolná vůči některým typům phishingových útoků.
  • Pravidla pro podrobný podmíněný přístup: Použijte podmíněný přístup k upřesnění, kdy je vyžadována MFA (např. mimo podnikovou síť, pro vysoce rizikové aplikace, pro uživatele s privilegovanými rolemi).
  • Pravidelná kontrola: Pravidelně kontrolujte své zásady MFA a uživatelem registrované metody ověřování, abyste zajistili, že zůstanou účinné a bezpečné.
  • Nouzové účty: Udržujte přísný proces pro účty s nouzovým přístupem, včetně bezpečného ukládání přihlašovacích údajů a pravidelného auditu jejich použití.

Běžné odstraňování problémů

  • Uživatel nemůže konfigurovat MFA: Ověřte, zda má uživatel příslušnou licenci a zda jsou povoleny požadované metody ověřování. Naveďte uživatele, aby pečlivě dodržoval pokyny k registraci.
  • Uživatel zablokován po povolení MFA: Zkontrolujte, zda nebyl uživatel vyloučen ze zásady podmíněného přístupu nebo zda nedošlo k problému s nakonfigurovanou metodou MFA. V případě potřeby použijte účty pro nouzový přístup.
  • MFA se nepožaduje: Ověřte, zda je povolena zásada podmíněného přístupu a zda je přiřazena správným uživatelům a aplikacím. Pokud používáte výchozí nastavení zabezpečení, ujistěte se, že neexistují žádné konfliktní zásady podmíněného přístupu.
  • Problémy s aplikací Authenticator: Zkontrolujte připojení k síti vašeho mobilního zařízení a zda jsou pro aplikaci povolena oznámení. Zkuste účet odebrat a znovu přidat do aplikace.

Závěr

Multi-Factor Authentication je základním pilířem moderní bezpečnosti identity. Konfigurace MFA v Azure AD, zejména prostřednictvím zásad podmíněného přístupu, poskytuje robustní obranu proti neoprávněnému přístupu. Dodržováním pokynů v tomto článku bude vaše organizace lépe vybavena k ochraně identit uživatelů a kritických zdrojů, zmírnění rizik a posílení celkového zabezpečení. Pamatujte, že bezpečnost je neustálý proces, který vyžaduje neustálé přizpůsobování a zlepšování.

Reference:

[1] Microsoft Learn. Co je vícefaktorová autentizace?. Dostupné na: https://learn.microsoft.com/pt-br/entra/identity/authentication/concept-mfa-howitworks [2] Microsoft Learn. Naplánujte nasazení vícefaktorového ověřování Microsoft Entra. Dostupné na: https://learn.microsoft.com/pt-br/entra/identity/authentication/howto-mfa-getstarted [3] Microsoft Learn. Licencování Microsoft Entra Multi-Factor Authentication. Dostupné na: https://learn.microsoft.com/pt-br/entra/identity/authentication/concept-mfa-licensing [4] Microsoft Learn. Vytvářejte účty pro nouzový přístup na Microsoft Entra ID. Dostupné na: https://learn.microsoft.com/pt-br/entra/identity/role-based-access-control/security-emergency-access-accounts