分步:在 Azure AD 中配置多重身份验证 (MFA)

分步:在 Azure AD 中配置多重身份验证 (MFA)

2024年2月1日

本技术和教育文章旨在指导安全分析师、IT 管理员和系统工程师在 Azure Active Directory(现为 Microsoft Entra ID)中配置和实施多重身份验证 (MFA)。 MFA 是一个重要的安全层,要求用户在获得访问权限之前提供两种或多种形式的验证来证明自己的身份,从而显着降低帐户泄露的风险[1]。

简介

在当今的网络威胁环境中,仅密码已不足以保护用户帐户。网络钓鱼攻击、密码喷射和凭据盗窃是攻击者常用的策略。多重身份验证 (MFA) 通过要求用户提供他们知道的信息(密码)、他们拥有的信息(电话、硬件令牌)或他们的信息(指纹、面部识别)来增加关键的安全层。实施 MFA 是组织可以采取的最有效的安全措施之一,以保护其 Microsoft Entra ID 和相关服务中的资源 [2]。

本操作指南将介绍在 Azure AD 中设置 MFA 的步骤,重点关注不同的实施方法,从基本配置到使用条件访问策略进行更精细的控制。将提供分步说明、示例配置和验证方法,以确保读者能够在其环境中有效应用 MFA。

为什么 MFA 至关重要?

  • 降低风险:即使密码被盗,也可大大降低帐户被盗的可能性。
  • 合规性:许多安全标准和法规都要求实施 MFA 来保护敏感数据。
  • 网络钓鱼防护:添加针对网络钓鱼攻击的屏障,因为攻击者不仅需要密码,还需要第二个因素。
  • 灵活性:Azure AD 提供多种第二因素选项,例如 Microsoft Authenticator 应用、短信、电话和硬件令牌,允许用户选择最方便、最安全的方法。

先决条件

要在 Azure AD 中设置 MFA,您需要以下项目:

  1. 许可:包含 Azure AD MFA 功能的许可证。这可以是 Azure AD 免费版(具有安全默认值)、Azure AD Premium P1 或 P2(用于条件访问)或包含 Azure AD Premium 的 Microsoft 365 许可证 [3]。
  2. 管理访问权限:在 Azure 门户 (portal.azure.com) 或 Microsoft Entra 管理中心 (entra.microsoft.com) 中具有全局管理员或身份验证管理员权限的帐户。
  3. 测试设备:至少一个测试用户帐户和一台设备(智能手机)用于配置和验证 MFA。
  4. 紧急访问帐户:创建和保护不受 MFA 约束的碎玻璃帐户是一种很好的做法,以避免在 MFA 系统出现问题时被锁定 [4]。

分步:在 Azure AD 中配置多重身份验证 (MFA)

有几种方法可以在 Azure AD 中启用 MFA。我们将介绍两个最常见的内容:安全默认值(用于快速、基本配置)和条件访问策略(用于精细控制)。

选项 1:使用安全默认值启用 MFA(推荐中小型企业使用)

安全默认值提供了一组 Microsoft 推荐的基本安全策略,包括要求所有用户和管理员使用 MFA。这是快速提高安全性的简单有效的方法。

  1. 访问 Microsoft Entra 管理中心:https://entra.microsoft.com
  2. 在左侧导航窗格中,转到防护 > 安全概述
  3. 启用安全默认值部分中,单击管理安全默认值
  4. 安全默认值 窗格中,将 启用安全默认值 选项设置为
  5. 单击保存

注意:启用后,安全默认值将要求所有用户在下次登录时配置 MFA。他们将被要求注册 Microsoft Authenticator 应用程序。安全默认值对于没有安全设置的组织来说是理想的选择m Azure AD Premium P1 或 P2 许可证,并且需要快速、标准化的 MFA 实施。不可能同时使用条件访问和安全默认值;一个会禁用另一个。

选项 2:使用条件访问策略启用 MFA(推荐用于精细控制和大型企业)

条件访问 (CA) 策略允许您定义需要 MFA 的特定条件,提供比安全默认值更大的灵活性。此选项需要 Azure AD Premium P1 或 P2 许可证。

2.1。创建测试用户组

在将条件访问策略部署到整个组织之前,最好先对一小部分用户进行测试。

  1. 在 Microsoft 登录管理中心中,转到 身份 > > 所有组
  2. 单击“新建组”。
  3. 填写详细信息:
    • 团体类型:安全
    • 组名称MFA_Users_Test
    • Azure AD 角色可以分配给组:否
    • 会员类型:已分配
  4. 添加测试用户作为成员,然后单击创建

2.2。创建条件访问策略以要求 MFA

  1. 在 Microsoft 登录管理中心中,转到 保护 > 条件访问
  2. 单击“新建策略”>“创建新策略”。
  3. 名称:“要求所有用户使用 MFA”(或“要求测试组使用 MFA”(如果进行测试))。
  4. 职责
    • 身份用户或工作负载:选择所有用户(或“MFA_Users_Test”组进行测试)。
    • 删除:在此处删除您的紧急访问帐户以避免被阻止至关重要。还要添加无法使用 MFA 的任何服务帐户。
  5. 云资源或操作:选择所有云应用程序
  6. 条件(可选,用于额外的粒度):
    • 您可以根据位置、设备、客户端应用程序等配置条件。例如,仅从公司网络外部进行访问时需要 MFA。
  7. 授予
    • 选择授予访问权限
    • 检查需要多重身份验证
    • 单击“选择”。
  8. 会议(可选):
    • 您可以配置登录频率控制或会话保持。
  9. 启用策略:设置为 仅报告 以在应用前测试影响,或设置为 开启 以立即应用。
  10. 单击“创建”。

2.3。配置身份验证方法

定义用户可以使用哪些 MFA 方法非常重要。

  1. 在 Microsoft 登录管理中心中,转到 保护 > 身份验证方法 > 策略
  2. 在这里您可以启用或禁用Microsoft Authenticator、短信、语音通话等方式。建议启用Microsoft Authenticator 和短信作为主要方式。
  3. 配置每种方法的选项,例如身份验证器注册模式(无密码或推送通知)。

验证和测试

配置 MFA 后,必须验证其是否按预期工作。

1. 测试用户登录

  1. 以隐身/私密模式打开浏览器窗口。
  2. 导航到 MFA 政策涵盖的应用程序(例如:“portal.office.com”)。
  3. 使用MFA策略中包含的用户帐户登录。
  4. 应要求用户配置 MFA(如果这是启用后首次登录)或提供第二个因素(例如批准 Microsoft Authenticator 中的通知,输入 SMS 代码)。

2.检查MFA注册状态

  1. 在 Microsoft 登录管理中心中,转到 身份 > 用户 > 所有用户
  2. 单击用户,然后单击“身份验证方法”。
  3. 检查用户注册的认证方式。这将确认用户已成功设置 MFA。

3. 使用仅报告模式(用于条件访问)

如果您在仅报告模式下配置了条件访问策略,则可以验证结果而无需强制执行。

  1. 在 Microsoft 登录管理中心中,转到 保护 > 条件访问
  2. 单击您创建的策略并转到 仅报告 选项卡。
  3. 分析结果以了解哪些用户和应用程序会受到该策略的影响以及是否需要 MFA。

安全提示和最佳实践

  • 要求管理员进行 MFA:无论其他政策如何,始终要求管理帐户进行 MFA。这些帐户是攻击的主要目标。
  • 用户教育:培训用户了解 MFA 的重要性以及如何正确配置和使用它。解释如何识别和报告 MFA 网络钓鱼尝试。
  • Microsoft Authenticator:通过推送通知推广 Microsoft Authenticator 应用程序的使用,因为它被认为是最安全、最简单的使用方法之一,并且可以抵御某些类型的网络钓鱼攻击。
  • 细化条件访问策略:在需要 MFA 时使用条件访问进行细化(例如,在公司网络外部、对于高风险应用程序、对于具有特权角色的用户)。
  • 定期审查:定期审查您的 MFA 策略和用户注册的身份验证方法,以确保它们保持有效和安全。
  • 紧急帐户:维护紧急访问帐户的严格流程,包括安全存储凭据并定期审核其使用情况。

常见故障排除

  • 用户无法配置 MFA:验证用户是否拥有适当的许可证并且是否启用了所需的身份验证方法。引导用户认真按照注册说明进行操作。
  • 启用 MFA 后用户被阻止:检查用户是否已被排除在条件访问策略之外,或者配置的 MFA 方法是否存在问题。如有必要,请使用紧急访问帐户。
  • 不请求 MFA:验证条件访问策略是否已启用并分配给正确的用户和应用程序。如果您使用安全默认值,请确保条件访问策略不存在冲突。
  • 身份验证器应用程序问题:检查您的移动设备的网络连接以及是否为该应用程序启用了通知。尝试在应用程序中删除并再次添加该帐户。

结论

多重身份验证是现代身份安全的基本支柱。在 Azure AD 中配置 MFA,尤其是通过条件访问策略,可以提供针对未经授权的访问的强大防御。通过遵循本文中的准则,您的组织将能够更好地保护用户身份和关键资源、降低风险并加强整体安全状况。请记住,安全是一个持续的过程,需要不断调整和改进。

参考资料:

[1] 微软学习。 什么是多重身份验证?。网址:https://learn.microsoft.com/pt-br/entra/identity/authentication/concept-mfa-howitworks [2] 微软学习。 规划 Microsoft Entra 多重身份验证部署。位于:https://learn.microsoft.com/pt-br/entra/identity/authentication/howto-mfa-getstarted [3] 微软学习。 Microsoft Entra 多重身份验证许可。网址:https://learn.microsoft.com/pt-br/entra/identity/authentication/concept-mfa-licensing [4] 微软学习。 在 Microsoft Entra ID 上创建紧急访问帐户。位于:https://learn.microsoft.com/pt-br/entra/identity/role-based-access-control/security-emergency-access-accounts