चरण दर चरण: Azure AD में बहु-कारक प्रमाणीकरण (MFA) को कॉन्फ़िगर करना

चरण दर चरण: Azure AD में बहु-कारक प्रमाणीकरण (MFA) को कॉन्फ़िगर करना

02/01/2024

इस तकनीकी और शैक्षिक लेख का उद्देश्य Azure सक्रिय निर्देशिका (अब Microsoft Entra ID) में मल्टी-फैक्टर ऑथेंटिकेशन (MFA) को कॉन्फ़िगर और कार्यान्वित करने में सुरक्षा विश्लेषकों, आईटी प्रशासकों और सिस्टम इंजीनियरों का मार्गदर्शन करना है। एमएफए एक आवश्यक सुरक्षा परत है जिसके लिए उपयोगकर्ताओं को पहुंच प्राप्त करने से पहले अपनी पहचान साबित करने के लिए दो या अधिक प्रकार के सत्यापन प्रदान करने की आवश्यकता होती है, जिससे खाते से छेड़छाड़ का जोखिम काफी कम हो जाता है [1]।

परिचय

आज के साइबर खतरे के परिदृश्य में, उपयोगकर्ता खातों की सुरक्षा के लिए केवल पासवर्ड ही पर्याप्त नहीं है। फ़िशिंग हमले, पासवर्ड स्प्रेइंग और क्रेडेंशियल चोरी हमलावरों द्वारा उपयोग की जाने वाली सामान्य रणनीतियाँ हैं। मल्टी-फैक्टर ऑथेंटिकेशन (एमएफए) सुरक्षा की एक महत्वपूर्ण परत जोड़ता है, जिसके लिए उपयोगकर्ताओं को कुछ ऐसा प्रदान करने की आवश्यकता होती है जिसे वे जानते हैं (पासवर्ड), कुछ जो उनके पास है (फोन, हार्डवेयर टोकन), या कुछ जो वे हैं (फिंगरप्रिंट, चेहरे की पहचान)। एमएफए को लागू करना सबसे प्रभावी सुरक्षा उपायों में से एक है जो एक संगठन माइक्रोसॉफ्ट एंट्रा आईडी और संबंधित सेवाओं में अपने संसाधनों की सुरक्षा के लिए उठा सकता है [2]।

यह कैसे करें मार्गदर्शिका Azure AD में MFA स्थापित करने के चरणों को कवर करेगी, जिसमें बुनियादी कॉन्फ़िगरेशन से लेकर अधिक विस्तृत नियंत्रण के लिए सशर्त पहुंच नीतियों का उपयोग करने तक विभिन्न कार्यान्वयन विधियों पर ध्यान केंद्रित किया जाएगा। यह सुनिश्चित करने के लिए चरण-दर-चरण निर्देश, उदाहरण कॉन्फ़िगरेशन और सत्यापन विधियां प्रदान की जाएंगी ताकि पाठक अपने वातावरण में एमएफए को प्रभावी ढंग से लागू कर सकें।

एमएफए महत्वपूर्ण क्यों है?

  • जोखिम में कमी: पासवर्ड चोरी होने पर भी, खाते से समझौता होने की संभावना नाटकीय रूप से कम हो जाती है।
  • अनुपालन: संवेदनशील डेटा की सुरक्षा के लिए कई सुरक्षा मानकों और विनियमों के लिए एमएफए के कार्यान्वयन की आवश्यकता होती है।
  • फ़िशिंग सुरक्षा: फ़िशिंग हमलों के विरुद्ध एक बाधा जोड़ता है, क्योंकि हमलावर को न केवल पासवर्ड की आवश्यकता होगी, बल्कि दूसरे कारक की भी आवश्यकता होगी।
  • लचीलापन: Azure AD माइक्रोसॉफ्ट ऑथेंटिकेटर ऐप, एसएमएस, फोन कॉल और हार्डवेयर टोकन जैसे कई दूसरे-कारक विकल्प प्रदान करता है, जो उपयोगकर्ताओं को सबसे सुविधाजनक और सुरक्षित विधि चुनने की अनुमति देता है।

पूर्वावश्यकताएँ

Azure AD में MFA स्थापित करने के लिए, आपको निम्नलिखित वस्तुओं की आवश्यकता होगी:

  1. लाइसेंसिंग: एक लाइसेंस जिसमें Azure AD MFA सुविधाएँ शामिल हैं। यह Azure AD मुफ़्त (सुरक्षा डिफ़ॉल्ट के साथ), Azure AD प्रीमियम P1 या P2 (कंडीशनल एक्सेस के लिए), या Microsoft 365 लाइसेंस हो सकता है जिसमें Azure AD प्रीमियम [3] शामिल है।
  2. प्रशासनिक पहुंच: Azure पोर्टल (portal.azure.com) या Microsoft Entra एडमिन सेंटर (entra.microsoft.com) में ग्लोबल एडमिनिस्ट्रेटर या ऑथेंटिकेशन एडमिनिस्ट्रेटर अनुमतियों वाला एक खाता।
  3. परीक्षण उपकरण: एमएफए को कॉन्फ़िगर और मान्य करने के लिए कम से कम एक परीक्षण उपयोगकर्ता खाता और एक उपकरण (स्मार्टफोन)।
  4. आपातकालीन पहुंच खाते: एमएफए प्रणाली के साथ समस्याओं के मामले में तालाबंदी से बचने के लिए एमएफए से मुक्त ब्रेक-ग्लास खाते बनाना और सुरक्षित करना अच्छा अभ्यास है [4]।

चरण दर चरण: Azure AD में मल्टी-फैक्टर ऑथेंटिकेशन (MFA) को कॉन्फ़िगर करना

Azure AD में MFA सक्षम करने के कुछ तरीके हैं। हम दो सबसे सामान्य को कवर करेंगे: सुरक्षा डिफ़ॉल्ट (त्वरित, बुनियादी कॉन्फ़िगरेशन के लिए) और सशर्त पहुंच नीतियां (ग्रेनुलर नियंत्रण के लिए)।

विकल्प 1: सुरक्षा डिफ़ॉल्ट का उपयोग करके एमएफए सक्षम करें (छोटे और मध्यम व्यवसायों के लिए अनुशंसित)

सुरक्षा डिफ़ॉल्ट Microsoft-अनुशंसित सुरक्षा नीतियों का एक बुनियादी सेट प्रदान करते हैं, जिसमें सभी उपयोगकर्ताओं और प्रशासकों के लिए एमएफए की आवश्यकता शामिल है। यह शीघ्रता से सुरक्षा बढ़ाने का एक सरल और प्रभावी तरीका है।

  1. माइक्रोसॉफ्ट एन्ट्रा एडमिन सेंटर तक पहुंचें: https://entra.microsoft.com
  2. बाएँ नेविगेशन फलक में, सुरक्षा > सुरक्षा अवलोकन पर जाएँ।
  3. सुरक्षा डिफ़ॉल्ट सक्षम करें अनुभाग में, सुरक्षा डिफ़ॉल्ट प्रबंधित करें पर क्लिक करें।
  4. सुरक्षा डिफ़ॉल्ट फलक में, सुरक्षा डिफ़ॉल्ट सक्षम करें विकल्प को हाँ पर सेट करें।
  5. सहेजें पर क्लिक करें।

नोट: एक बार सक्षम होने पर, सुरक्षा डिफ़ॉल्ट के लिए सभी उपयोगकर्ताओं को अपने अगले लॉगिन पर एमएफए कॉन्फ़िगर करने की आवश्यकता होगी। उन्हें Microsoft प्रमाणक ऐप पंजीकृत करने के लिए कहा जाएगा। सुरक्षा चूक उन संगठनों के लिए आदर्श हैं जिनके पास नहीं हैm Azure AD प्रीमियम P1 या P2 लाइसेंस और तेज़, मानकीकृत MFA कार्यान्वयन की आवश्यकता है। सशर्त पहुंच और सुरक्षा डिफ़ॉल्ट का एक साथ उपयोग करना संभव नहीं है; एक दूसरे को अक्षम कर देता है.

विकल्प 2: सशर्त पहुंच नीतियों का उपयोग करके एमएफए सक्षम करें (ग्रेन्युलर नियंत्रण और बड़े उद्यमों के लिए अनुशंसित)

सशर्त पहुंच (सीए) नीतियां आपको विशिष्ट शर्तों को परिभाषित करने की अनुमति देती हैं जिनके तहत एमएफए की आवश्यकता होगी, जो सुरक्षा डिफ़ॉल्ट की तुलना में बहुत अधिक लचीलापन प्रदान करती है। इस विकल्प के लिए Azure AD प्रीमियम P1 या P2 लाइसेंस की आवश्यकता है।

2.1. एक परीक्षण उपयोगकर्ता समूह बनाएं

अपने पूरे संगठन में तैनात करने से पहले उपयोगकर्ताओं के एक छोटे समूह पर सशर्त पहुंच नीतियों का परीक्षण करना एक अच्छा अभ्यास है।

  1. माइक्रोसॉफ्ट लॉगिन एडमिन सेंटर में, पहचान > समूह > सभी समूह पर जाएं।
  2. नया समूह पर क्लिक करें।
  3. विवरण भरें:
    • समूह प्रकार: सुरक्षा
    • समूह का नाम: MFA_Users_Test
    • Azure AD भूमिकाएँ समूह को सौंपी जा सकती हैं: नहीं
    • सदस्यता प्रकार: सौंपा गया
  4. परीक्षण उपयोगकर्ताओं को सदस्यों के रूप में जोड़ें और बनाएँ पर क्लिक करें।

2.2. एमएफए की आवश्यकता के लिए एक सशर्त पहुंच नीति बनाएं

  1. Microsoft लॉगिन व्यवस्थापन केंद्र में, सुरक्षा > सशर्त पहुंच पर जाएं।
  2. नई नीति > नई नीति बनाएं पर क्लिक करें।
  3. नाम: सभी उपयोगकर्ताओं के लिए एमएफए की आवश्यकता है (या परीक्षण करते समय परीक्षण समूह के लिए एमएफए की आवश्यकता है)।
  4. जिम्मेदारियाँ:
    • पहचान उपयोगकर्ता या कार्यभार: सभी उपयोगकर्ता (या परीक्षण के लिए MFA_Users_Test समूह) चुनें।
    • हटाएं: अवरुद्ध होने से बचने के लिए यहां अपने आपातकालीन पहुंच खातों को हटाना महत्वपूर्ण है। ऐसे सभी सेवा खाते भी जोड़ें जो एमएफए का उपयोग नहीं कर सकते।
  5. क्लाउड संसाधन या क्रियाएँ: सभी क्लाउड एप्लिकेशन चुनें।
  6. शर्तें (वैकल्पिक, अतिरिक्त विवरण के लिए):
    • आप स्थान, डिवाइस, क्लाइंट एप्लिकेशन आदि के आधार पर शर्तों को कॉन्फ़िगर कर सकते हैं। उदाहरण के लिए, केवल कॉर्पोरेट नेटवर्क के बाहर से पहुंच के लिए एमएफए की आवश्यकता होती है।
  7. अनुदान:
    • पहुँच प्रदान करें चुनें।
    • जांचें बहु-कारक प्रमाणीकरण की आवश्यकता है
    • चयन पर क्लिक करें।
  8. सत्र (वैकल्पिक):
    • आप लॉगिन आवृत्ति नियंत्रण या सत्र दृढ़ता को कॉन्फ़िगर कर सकते हैं।
  9. नीति सक्षम करें: आवेदन करने से पहले प्रभाव का परीक्षण करने के लिए केवल रिपोर्ट करें पर सेट करें, या तुरंत आवेदन करने के लिए चालू पर सेट करें।
  10. बनाएँ पर क्लिक करें।

2.3. प्रमाणीकरण विधियों को कॉन्फ़िगर करें

यह परिभाषित करना महत्वपूर्ण है कि उपयोगकर्ताओं के लिए कौन सी एमएफए विधियाँ उपलब्ध हैं।

  1. Microsoft लॉगिन व्यवस्थापन केंद्र में, सुरक्षा > प्रमाणीकरण विधियां > नीतियां पर जाएं।
  2. यहां आप माइक्रोसॉफ्ट ऑथेंटिकेटर, एसएमएस, वॉयस कॉल आदि जैसे तरीकों को सक्षम या अक्षम कर सकते हैं। माइक्रोसॉफ्ट ऑथेंटिकेटर और एसएमएस को प्राथमिक तरीकों के रूप में सक्षम करने की अनुशंसा की जाती है।
  3. प्रत्येक विधि के लिए विकल्प कॉन्फ़िगर करें, जैसे प्रमाणक पंजीकरण मोड (कोई पासवर्ड या पुश अधिसूचना नहीं)।

सत्यापन और परीक्षण

एमएफए को कॉन्फ़िगर करने के बाद, यह सत्यापित करना आवश्यक है कि यह अपेक्षा के अनुरूप काम कर रहा है।

1. उपयोगकर्ता लॉगिन का परीक्षण करें

  1. ब्राउज़र विंडो को गुप्त/निजी मोड में खोलें।
  2. उस एप्लिकेशन पर नेविगेट करें जिसे एमएफए पॉलिसी कवर करती है (उदाहरण: portal.office.com)।
  3. एमएफए नीति में शामिल उपयोगकर्ता के खाते से लॉग इन करें।
  4. उपयोगकर्ता को एमएफए कॉन्फ़िगर करने के लिए कहा जाना चाहिए (यदि सक्षम करने के बाद यह पहला लॉगिन है) या दूसरा कारक प्रदान करने के लिए कहा जाना चाहिए (उदाहरण के लिए माइक्रोसॉफ्ट प्रमाणक में अधिसूचना को मंजूरी दें, एसएमएस कोड दर्ज करें)।

2. एमएफए पंजीकरण स्थिति की जांच करें

  1. माइक्रोसॉफ्ट लॉगिन एडमिन सेंटर में, पहचान > उपयोगकर्ता > सभी उपयोगकर्ता पर जाएं।
  2. एक उपयोगकर्ता पर क्लिक करें और फिर प्रमाणीकरण विधियां पर क्लिक करें।
  3. उपयोगकर्ता के लिए पंजीकृत प्रमाणीकरण विधियों की जाँच करें। यह पुष्टि करेगा कि उपयोगकर्ता ने सफलतापूर्वक एमएफए स्थापित कर लिया है।

3. केवल रिपोर्ट मोड का उपयोग करें (सशर्त पहुंच के लिए)

यदि आपने सशर्त पहुंच नीति को केवल रिपोर्ट मोड में कॉन्फ़िगर किया है, तो आप बिना प्रवर्तन के परिणामों को सत्यापित कर सकते हैं।

  1. Microsoft लॉगिन व्यवस्थापन केंद्र में, सुरक्षा > सशर्त पहुंच पर जाएं।
  2. आपके द्वारा बनाई गई पॉलिसी पर क्लिक करें और केवल रिपोर्ट टैब पर जाएं।
  3. यह देखने के लिए परिणामों का विश्लेषण करें कि कौन से उपयोगकर्ता और एप्लिकेशन नीति से प्रभावित होंगे और क्या एमएफए की आवश्यकता होगी।

सुरक्षा युक्तियाँ और सर्वोत्तम प्रथाएँ

  • प्रशासकों के लिए एमएफए की आवश्यकता*: अन्य नीतियों की परवाह किए बिना, प्रशासनिक खातों के लिए हमेशा एमएफए की आवश्यकता होती है। ये खाते हमलों के लिए प्रमुख लक्ष्य हैं।
  • उपयोगकर्ता शिक्षा: उपयोगकर्ताओं को एमएफए के महत्व और इसे सही तरीके से कॉन्फ़िगर और उपयोग करने के बारे में प्रशिक्षित करें। एमएफए फ़िशिंग प्रयासों को पहचानने और रिपोर्ट करने का तरीका बताएं।
  • माइक्रोसॉफ्ट ऑथेंटिकेटर: पुश नोटिफिकेशन के साथ माइक्रोसॉफ्ट ऑथेंटिकेटर ऐप के उपयोग को बढ़ावा दें, क्योंकि इसे उपयोग करने के लिए सबसे सुरक्षित और आसान तरीकों में से एक माना जाता है, साथ ही यह कुछ प्रकार के फ़िशिंग हमलों के लिए प्रतिरोधी है।
  • ग्रैन्यूलर कंडीशनल एक्सेस नीतियां: एमएफए की आवश्यकता होने पर परिष्कृत करने के लिए कंडीशनल एक्सेस का उपयोग करें (उदाहरण के लिए कॉर्पोरेट नेटवर्क के बाहर, उच्च जोखिम वाले अनुप्रयोगों के लिए, विशेषाधिकार प्राप्त भूमिकाओं में उपयोगकर्ताओं के लिए)।
  • आवधिक समीक्षा: यह सुनिश्चित करने के लिए कि वे प्रभावी और सुरक्षित रहें, अपनी एमएफए नीतियों और उपयोगकर्ता-पंजीकृत प्रमाणीकरण विधियों की नियमित रूप से समीक्षा करें।
  • आपातकालीन खाते: आपातकालीन पहुंच वाले खातों के लिए एक कठोर प्रक्रिया बनाए रखें, जिसमें सुरक्षित रूप से क्रेडेंशियल संग्रहीत करना और नियमित रूप से उनके उपयोग का ऑडिट करना शामिल है।

सामान्य समस्या निवारण

  • उपयोगकर्ता एमएफए को कॉन्फ़िगर करने में असमर्थ है: सत्यापित करें कि उपयोगकर्ता के पास उचित लाइसेंस है और वांछित प्रमाणीकरण विधियां सक्षम हैं। उपयोगकर्ता को पंजीकरण निर्देशों का सावधानीपूर्वक पालन करने के लिए मार्गदर्शन करें।
  • एमएफए सक्षम करने के बाद उपयोगकर्ता को अवरुद्ध कर दिया गया: जांचें कि क्या उपयोगकर्ता को सशर्त पहुंच नीति से बाहर रखा गया है या कॉन्फ़िगर की गई एमएफए पद्धति में कोई समस्या है। यदि आवश्यक हो तो आपातकालीन पहुंच खातों का उपयोग करें।
  • एमएफए का अनुरोध नहीं किया गया है: सत्यापित करें कि सशर्त पहुंच नीति सक्षम है और सही उपयोगकर्ताओं और अनुप्रयोगों को सौंपी गई है। यदि आप सुरक्षा डिफ़ॉल्ट का उपयोग कर रहे हैं, तो सुनिश्चित करें कि कोई परस्पर विरोधी सशर्त पहुंच नीतियां नहीं हैं।
  • प्रमाणक ऐप संबंधी समस्याएं: अपने मोबाइल डिवाइस की नेटवर्क कनेक्टिविटी जांचें और देखें कि ऐप के लिए सूचनाएं सक्षम हैं या नहीं। खाते को हटाने और फिर से ऐप में जोड़ने का प्रयास करें।

निष्कर्ष

मल्टी-फैक्टर प्रमाणीकरण आधुनिक पहचान सुरक्षा का एक मूलभूत स्तंभ है। Azure AD में MFA को कॉन्फ़िगर करना, विशेष रूप से सशर्त पहुंच नीतियों के माध्यम से, अनधिकृत पहुंच के खिलाफ एक मजबूत सुरक्षा प्रदान करता है। इस लेख में दिशानिर्देशों का पालन करके, आपका संगठन उपयोगकर्ता की पहचान और महत्वपूर्ण संसाधनों की सुरक्षा करने, जोखिमों को कम करने और आपकी समग्र सुरक्षा स्थिति को मजबूत करने के लिए बेहतर ढंग से सुसज्जित होगा। याद रखें, सुरक्षा एक सतत प्रक्रिया है जिसके लिए निरंतर अनुकूलन और सुधार की आवश्यकता होती है।

संदर्भ:

[1] माइक्रोसॉफ्ट लर्न। मल्टी-फैक्टर ऑथेंटिकेशन क्या है?। यहां उपलब्ध है: https://learn.microsoft.com/pt-br/entra/identity/authentication/concept-mfa-howitworks [2] माइक्रोसॉफ्ट लर्न। Microsoft Entra बहु-कारक प्रमाणीकरण परिनियोजन की योजना बनाएं। यहां उपलब्ध है: https://learn.microsoft.com/pt-br/entra/identity/authentication/howto-mfa-getstarted [3] माइक्रोसॉफ्ट लर्न। माइक्रोसॉफ्ट एंट्रा मल्टी-फैक्टर ऑथेंटिकेशन लाइसेंसिंग। यहां उपलब्ध है: https://learn.microsoft.com/pt-br/entra/identity/authentication/concept-mfa-licensing [4] माइक्रोसॉफ्ट लर्न। माइक्रोसॉफ्ट एंट्रा आईडी पर आपातकालीन एक्सेस खाते बनाएं। यहां उपलब्ध है: https://learn.microsoft.com/pt-br/entra/identity/role-आधारित-access-control/security-emergency-access-accounts