Шаг за шагом: настройка многофакторной аутентификации (MFA) в Azure AD.

Шаг за шагом: настройка многофакторной аутентификации (MFA) в Azure AD.

01.02.2024

Эта техническая и образовательная статья призвана помочь аналитикам безопасности, ИТ-администраторам и системным инженерам настроить и внедрить многофакторную аутентификацию (MFA) в Azure Active Directory (теперь Microsoft Entra ID). MFA — это важный уровень безопасности, который требует от пользователей предоставить две или более формы проверки для подтверждения своей личности перед получением доступа, что значительно снижает риск компрометации учетной записи [1].

Введение

В современных условиях киберугроз одних лишь паролей уже недостаточно для защиты учетных записей пользователей. Фишинговые атаки, распыление паролей и кража учетных данных — распространенные тактики, используемые злоумышленниками. Многофакторная аутентификация (MFA) добавляет критический уровень безопасности, требуя от пользователей предоставить то, что они знают (пароль), то, что у них есть (телефон, аппаратный токен) или то, чем они являются (отпечаток пальца, распознавание лица). Внедрение MFA — одна из наиболее эффективных мер безопасности, которую может предпринять организация для защиты своих ресурсов в Microsoft Entra ID и связанных с ней службах [2].

В этом практическом руководстве будут описаны шаги по настройке MFA в Azure AD с упором на различные методы реализации: от базовых конфигураций до использования политик условного доступа для более детального управления. Будут предоставлены пошаговые инструкции, примеры конфигураций и методы проверки, чтобы читатель мог эффективно применять MFA в своей среде.

Почему МИД так важен?

  • Снижение риска: Значительно снижает вероятность компрометации учетной записи, даже если пароли украдены.
  • Соответствие: многие стандарты и правила безопасности требуют внедрения MFA для защиты конфиденциальных данных.
  • Защита от фишинга: добавляет барьер против фишинговых атак, поскольку злоумышленнику потребуется не только пароль, но и второй фактор.
  • Гибкость: Azure AD предлагает несколько вариантов второго фактора, таких как приложение Microsoft Authenticator, SMS, телефонный звонок и аппаратные токены, что позволяет пользователям выбирать наиболее удобный и безопасный метод.

Предварительные условия

Чтобы настроить MFA в Azure AD, вам потребуются следующие элементы:

  1. Лицензирование: лицензия, включающая функции Azure AD MFA. Это могут быть лицензии Azure AD Free (со настройками безопасности по умолчанию), Azure AD Premium P1 или P2 (для условного доступа) или лицензии Microsoft 365, включающие Azure AD Premium [3].
  2. Административный доступ: учетная запись с разрешениями глобального администратора или администратора проверки подлинности на портале Azure (portal.azure.com) или центре администрирования Microsoft Entra (entra.microsoft.com).
  3. Тестовые устройства: как минимум одна тестовая учетная запись пользователя и одно устройство (смартфон) для настройки и проверки MFA.
  4. Учетные записи с экстренным доступом: рекомендуется создавать и защищать учетные записи «разбить стекло», освобожденные от MFA, чтобы избежать блокировки в случае проблем с системой MFA [4].

Шаг за шагом: настройка многофакторной аутентификации (MFA) в Azure AD

Есть несколько способов включить MFA в Azure AD. Мы рассмотрим две наиболее распространенные: Настройки безопасности по умолчанию (для быстрой базовой настройки) и Политики условного доступа (для детального контроля).

Вариант 1. Включите MFA, используя параметры безопасности по умолчанию (рекомендуется для малого и среднего бизнеса)

Параметры безопасности по умолчанию предоставляют базовый набор политик безопасности, рекомендованных Microsoft, включая требование MFA для всех пользователей и администраторов. Это простой и эффективный способ быстро повысить безопасность.

  1. Войдите в центр администрирования Microsoft Entra: https://entra.microsoft.com.
  2. На левой панели навигации выберите Защита > Обзор безопасности.
  3. В разделе Включить параметры безопасности по умолчанию нажмите Управление параметрами безопасности по умолчанию.
  4. На панели Параметры безопасности по умолчанию установите для параметра Включить параметры безопасности по умолчанию значение Да.
  5. Нажмите Сохранить.

Примечание. После включения параметров безопасности по умолчанию всем пользователям потребуется настроить MFA при следующем входе в систему. Им будет предложено зарегистрировать приложение Microsoft Authenticator. Параметры безопасности по умолчанию идеально подходят для организаций, у которых нетm лицензии Azure AD Premium P1 или P2 и нуждаются в быстрой стандартизированной реализации MFA. Невозможно одновременно использовать условный доступ и параметры безопасности по умолчанию; одно отключает другое.

Вариант 2. Включите MFA с помощью политик условного доступа (рекомендуется для детального контроля и на крупных предприятиях).

Политики условного доступа (CA) позволяют определять конкретные условия, при которых потребуется MFA, предлагая гораздо большую гибкость, чем настройки безопасности по умолчанию. Для этого варианта требуется лицензия Azure AD Premium P1 или P2.

2.1. Создайте группу тестовых пользователей

Хорошей практикой является тестирование политик условного доступа на небольшой группе пользователей перед их развертыванием во всей организации.

  1. В центре администрирования входа в Microsoft выберите Идентификация > Группы > Все группы.
  2. Нажмите Новая группа.
  3. Заполните данные:
    • Тип группы: Безопасность
    • Имя группы: MFA_Users_Test
    • Роли Azure AD можно назначить группе: Нет
    • Тип членства: Назначено
  4. Добавьте тестовых пользователей в качестве участников и нажмите Создать.

2.2. Создайте политику условного доступа, требующую MFA

  1. В центре администрирования входа в Microsoft выберите Защита > Условный доступ.
  2. Нажмите Новая политика > Создать новую политику.
  3. Имя: «Требовать MFA для всех пользователей» (или «Требовать MFA для тестовой группы» при тестировании).
  4. Обязанности:
    • Идентификационные пользователи или рабочие нагрузки: выберите Все пользователи (или группу MFA_Users_Test для тестирования).
    • Удалить: очень важно удалить здесь свои учетные записи экстренного доступа, чтобы избежать блокировки. Также добавьте все учетные записи служб, которые не могут использовать MFA.
  5. Облачные ресурсы или действия: выберите Все облачные приложения.
  6. Условия (необязательно, для большей детализации):
    • Вы можете настроить условия в зависимости от местоположения, устройств, клиентских приложений и т. д. Например, требовать MFA только для доступа извне корпоративной сети.
  7. Грант:
    • Выберите Предоставить доступ.
    • Установите флажок Требовать многофакторную аутентификацию.
    • Нажмите Выбрать.
  8. Сеанс (необязательно):
    • Вы можете настроить контроль частоты входа в систему или сохранение сеанса.
  9. Включить политику: установите значение Только отчет, чтобы проверить влияние перед применением, или Вкл., чтобы применить немедленно.
  10. Нажмите Создать.

2.3. Настройка методов аутентификации

Важно определить, какие методы MFA доступны пользователям.

  1. В центре администрирования входа в Microsoft выберите Защита > Методы аутентификации > Политики.
  2. Здесь вы можете включить или отключить такие методы, как Microsoft Authenticator, SMS, голосовой вызов и т. д. Рекомендуется включить Microsoft Authenticator и SMS в качестве основных методов.
  3. Настройте параметры для каждого метода, например режим регистрации аутентификатора (без пароля или push-уведомлений).

Проверка и тестирование

После настройки MFA важно убедиться, что он работает должным образом.

1. Проверка входа пользователя

  1. Откройте окно браузера в режиме инкогнито/приватном режиме.
  2. Перейдите к приложению, на которое распространяется политика MFA (например: «portal.office.com»).
  3. Войдите под учетной записью пользователя, включенного в политику MFA.
  4. Пользователю будет предложено настроить MFA (если это первый вход в систему после включения) или указать второй фактор (например, одобрить уведомление в Microsoft Authenticator, ввести код SMS).

2. Проверьте статус регистрации MFA

  1. В центре администрирования входа в Microsoft выберите Идентификация > Пользователи > Все пользователи.
  2. Выберите пользователя, а затем Методы аутентификации.
  3. Проверьте методы аутентификации, зарегистрированные для пользователя. Это подтвердит, что пользователь успешно настроил MFA.

3. Используйте режим «Только отчет» (для условного доступа)

Если вы настроили политику условного доступа в режиме Только отчет, вы можете проверить результаты без принудительного применения.

  1. В центре администрирования входа в Microsoft выберите Защита > Условный доступ.
  2. Нажмите на созданную политику и перейдите на вкладку Только отчет.
  3. Проанализируйте результаты, чтобы увидеть, на каких пользователей и приложения будет распространяться политика и потребуется ли MFA.

Советы по безопасности и лучшие практики

  • Требовать MFA для администраторов: Всегда требуйте MFA для учетных записей администраторов, независимо от других политик. Эти учетные записи являются основной мишенью для атак.
  • Обучение пользователей: обучайте пользователей важности MFA, а также тому, как правильно его настраивать и использовать. Объясните, как выявлять попытки фишинга MFA и сообщать о них.
  • Microsoft Authenticator: рекламируйте использование приложения Microsoft Authenticator с помощью push-уведомлений, поскольку оно считается одним из самых безопасных и простых в использовании методов, а также устойчивым к некоторым типам фишинговых атак.
  • Детализированные политики условного доступа: используйте условный доступ, чтобы указать, когда требуется MFA (например, за пределами корпоративной сети, для приложений с высоким уровнем риска, для пользователей с привилегированными ролями).
  • Периодическая проверка. Регулярно проверяйте политики MFA и методы аутентификации, зарегистрированные пользователями, чтобы гарантировать, что они остаются эффективными и безопасными.
  • Аварийные учетные записи. Поддерживайте строгий процесс для учетных записей экстренного доступа, включая безопасное хранение учетных данных и регулярный аудит их использования.

Распространенное устранение неполадок

  • Пользователь не может настроить MFA. Убедитесь, что у пользователя есть соответствующая лицензия и включены нужные методы аутентификации. Попросите пользователя внимательно следовать инструкциям по регистрации.
  • Пользователь заблокирован после включения MFA: проверьте, не был ли пользователь исключен из политики условного доступа или существует ли проблема с настроенным методом MFA. При необходимости используйте учетные записи экстренного доступа.
  • MFA не запрашивается. Убедитесь, что политика условного доступа включена и назначена правильным пользователям и приложениям. Если вы используете параметры безопасности по умолчанию, убедитесь, что нет конфликтующих политик условного доступа.
  • Проблемы с приложением аутентификации. Проверьте сетевое подключение вашего мобильного устройства и включены ли уведомления для приложения. Попробуйте удалить и снова добавить учетную запись в приложении.

Заключение

Многофакторная аутентификация является фундаментальной основой современной безопасности личности. Настройка MFA в Azure AD, особенно с помощью политик условного доступа, обеспечивает надежную защиту от несанкционированного доступа. Следуя рекомендациям, изложенным в этой статье, ваша организация будет лучше подготовлена ​​к защите личности пользователей и критически важных ресурсов, снизит риски и укрепит общий уровень безопасности. Помните, безопасность — это непрерывный процесс, требующий постоянной адаптации и совершенствования.

Ссылки:

[1] Microsoft Learn. Что такое многофакторная аутентификация?. Доступно по адресу: https://learn.microsoft.com/pt-br/entra/identity/authentication/concept-mfa-howitworks [2] Microsoft Learn. Запланируйте развертывание многофакторной аутентификации Microsoft Entra. Доступно по адресу: https://learn.microsoft.com/pt-br/entra/identity/authentication/howto-mfa-getstarted [3] Microsoft Learn. Лицензирование Microsoft Entra для многофакторной аутентификации. Доступно по адресу: https://learn.microsoft.com/pt-br/entra/identity/authentication/concept-mfa-licensing [4] Microsoft Learn. Создавайте учетные записи экстренного доступа на Microsoft Entra ID. Доступно по адресу: https://learn.microsoft.com/pt-br/entra/identity/role-based-access-control/security-emergency-access-accounts