1. 引言

让我们广泛而深入地了解什么是 Azure 多重身份验证 (MFA)、它的工作原理、它的重要性以及创建、配置、管理和故障排除所涉及的所有步骤。现在,在深入研究 Azure 多重身份验证的细微差别之前,如果你非常了解基础知识,则可以直接跳到步骤 - 3。设置 Azure MFA 的先决条件

1.1 什么是 Azure MFA?

在当今的数字世界中,安全漏洞和对私人数据的不必要访问已成为主要担忧。组织正在使用多重身份验证 (MFA) 系统来抵御这些威胁。Microsoft 创建了 Azure MFA,这是一种强大的身份验证技术,可增强用户帐户的安全性并有助于防止非法访问。

它是一项基于云的服务,通过在身份验证过程中向用户请求额外的身份证明文件来验证用户身份。这种额外的证据通常表现为第二个因素,例如电话、短信或移动应用程序通知。通过这种方式,使用 Azure 的组织可以通过实施多重身份验证来显著降低未经授权访问的风险并保护其宝贵的资源。

1.2 为什么实现 Azure MFA 很重要?

由于网络威胁日益复杂,在当今的数字环境中实施 Azure MFA 至关重要。密码和其他传统的身份验证方法本身已不够用。黑客很容易使用各种技术(如网络钓鱼attack和暴力attack)来破坏密码。

通过要求用户提供第二个身份验证因素,它增加了额外的安全层,使gongji者获得未经授权的访问更具挑战性。黑客仍然需要第二个因素,这通常是用户拥有的东西,例如移动设备,即使他们能够猜到用户的密码。

这些是组织应通过实施 MFA 来提高其系统安全性并保护敏感数据(例如客户信息、知识产权和财务记录)的主要原因。此外,它还有助于企业遵守行业标准和合规准则,这些标准和准则需要更强大的身份验证程序。

此外,它使组织内的用户可以自由地从各种身份验证技术中进行选择,使其用户友好。用户可以从电话、短信或移动应用程序通知等选项中选择最适合他们喜好和便利的方法。

总体而言,在面对不断变化的网络威胁时,实施 Azure MFA 是增强安全性、降低风险和保护关键资产的重要一步。

2. 了解 Azure MFA

现在,让我们退后一步,了解什么是 MFA、Azure MFA 的优势及其工作原理的基本因素。

 2.1 什么是多因素身份验证? 

通过要求多种形式的身份验证,多重身份验证 (MFA) 为用户帐户增加了额外的安全层。对于 Azure MFA,它会在登录过程中添加一个额外的步骤,以确保即使用户的密码被泄露,也能防止未经授权的访问。

它使用多种因素的组合进行身份验证,例如用户的身份、他们拥有的东西或他们知道的东西(例如密码或受信任的设备)(指纹或人脸识别等生物识别数据)。值得注意的是,它通过需要多种因素大大提高了用户帐户的安全性。

 2.2 Azure MFA 的优势 

实现 Azure MFA 提供了几个主要优势:

  1. 提高安全性: 除了密码之外,它还增加了一层额外的验证,从而降低了未经授权访问的风险。这样可以保护资源和敏感数据。
  2. 合规要求: 关于敏感数据的保护,许多行业都有特定的合规要求。它提供了额外的安全层,有助于满足这些要求。
  3. 方便用户: 它支持多种身份验证技术,例如来自移动应用程序的通知、电话呼叫、短信和硬件令牌。用户可以自由选择最适合他们需求的方法,而不会牺牲安全性。
  4. 无缝集成: 它可以毫无困难地与许多 Microsoft 服务和产品集成,包括 Azure Active Directory (AD)、Office 365 和其他基于云的服务。

 2.3 Azure MFA 的工作原理 

正如我们所看到的,Azure MFA 通过组合多个身份验证因素来验证用户的身份。以下步骤构成了 Azure MFA 的典型流:

第 1 步 – 用户启动登录: 

用户尝试登录到受 Azure AD 保护的资源,例如 Web 应用程序或 VPN。

第 2 步 – 用户名和密码: 

作为身份验证的第一个因素,用户提供其用户名和密码。这是传统的身份验证方式。

第 3 步 – 其他验证: 

成功输入用户名和密码后,Azure MFA 会提示用户提供其他验证。

第 4 步 – 选择身份验证方法: 

用户选择其首选的身份验证方法,例如在其移动应用程序上接收通知、接听电话或输入验证码。

第 5 步 – 第二因素身份验证: 

使用所选方法,用户完成第二因素身份验证。这可能需要通过他们的移动应用程序接受通知、拿起电话或输入收到的验证码。

第 6 步 – 授予访问权限: 

如果用户名/密码和第二因素身份验证都已成功验证,则用户将获得对受保护资源的访问权限。

通过组合这些身份验证因素,可以提高安全性,并确保只有授权用户才能访问资源和敏感数据。

Azure AD MFA 的工作原理 - 图示

3. 设置 Azure MFA 的先决条件 

在为组织设置 Azure 多重身份验证 (MFA) 之前,必须确保满足一些先决条件。您将在本节中完成必要的要求和准备工作。

3.1 Azure 订阅要求 

必须具有有效的 Azure 订阅才能使用 Azure MFA。如果还没有订阅,可以通过 Azure 门户 (https://portal.azure.com) 购买订阅或注册免费试用版。

注意:验证你是否具有管理订阅内 Azure 资源的正确权限。

 3.2 支持的身份验证方法 

Azure MFA 支持的不同身份验证技术可用于确认用户的身份。一些最常用的技术包括:

  1. 电话验证:用户将收到一个自动电话来验证他们的身份。
  2. 短信验证: 用户将通过短信在其注册的手机号码上收到验证码。
  3. 移动应用验证: 用户可以选择使用移动应用(如 Microsoft Authenticator 应用)来接收推送通知以进行验证。
  4. OATH 硬件令牌: 物理硬件令牌(如 YubiKey)可用于身份验证。
  5. 电子邮件验证: 用户将通过电子邮件收到验证码。

注意:在实现 Azure MFA 之前,请确定哪些身份验证技术适合你的业务,并确认你的用户拥有这些技术所需的设备或帐户。

3.3 准备环境 

在启用 Azure MFA 之前,需要查看和准备一些环境配置:

Azure Active Directory (AD): 

请确保 Azure 订阅已链接到 Azure AD 租户。如果还没有,可以从 Azure 门户创建一个。

用户帐户: 

验证将在 Azure MFA 中注册的每个用户是否具有正常运行的 Azure AD 用户帐户。根据需要创建用户帐户或使用 Azure AD Connect 将本地 Active Directory 与 Azure AD 同步。

条件访问策略: 

如果有任何当前的条件访问策略,请查看它们以查看它们是否符合 MFA 要求。为了对特定方案或应用程序实施多重身份验证,Azure MFA 可以与条件访问策略集成。

应用程序兼容性: 

如果本地应用程序需要用户身份验证,请确保它们与 Azure MFA 兼容。为了获得无缝的 MFA 支持,某些应用程序可能需要额外的配置或集成。

查看和组合这些要求将使你准备好开始为公司设置 Azure MFA。如果您的环境井井有条且准备充分,实施过程将更快、更安全。

4. 实现 Azure MFA 的步骤

4.1 创建 Azure Active Directory (AD) 租户 

若要设置 Azure 多重身份验证 (MFA),第一步是创建 Azure Active Directory (AD) 租户。请按照下列步骤操作:

  1. 从 Azure 门户 (https://portal.azure.com) 使用 Azure 帐户登录。
  2. 在左侧菜单中,单击“Azure Active Directory”。
  3. 在“Azure Active Directory”窗格中,选择“创建租户”。
  4. 填写所需信息,例如组织名称、初始域名和国家或地区。
  5. 要验证信息,请单击“查看 + 创建”。
  6. 现在,若要创建 Azure AD 租户,请单击“创建”。

创建 Azure AD 租户后,可以继续配置 Azure MFA。

若要了解有关创建 Azure AD 租户的详细信息,请访问以下文章:有关如何设置 Azure AD 租户的综合指南If you want to learn more about creating Azure AD tenant, visit this article: A comprehensive guide on how to set up an Azure AD tenant 

4.2 配置 Azure MFA 设置 

4.2.1 为用户启用 Azure MFA 

若要为用户启用 Azure MFA,请执行以下步骤:

  1. 在 Azure 门户中,导航到上面创建的 Azure AD 租户。
  2. 在左侧菜单中,单击“Azure Active Directory”。
  3. 在“安全”选项卡下,选择“身份验证方法”。
  4. 现在,在“身份验证方法”窗格中,单击“MFA设置”。
  5. 在 MFA 设置窗格中,单击“用户”。
  6. 现在,从“用户”窗格中,选择要为其启用 Azure MFA 的所有用户。
  7. 选择“启用”,为所选用户启用 Azure MFA。

若要了解有关配置 Azure AD 租户的详细信息,请访问以下文章:有关如何配置 Azure AD 租户的分步指南If you want to understand more about configuring Azure AD tenant, visit this article: A step-by-step guide on how to Configure Azure AD Tenant

4.2.2 选择认证方法 

若要选择身份验证方法,请按照下列步骤操作:

  1. 在 MFA 设置窗格中,单击“方法”。
  2. 在“方法”部分中,您将看到可用身份验证方法的列表。
  3. 选择用户需要用于多重身份验证的所需身份验证方法。此外,Microsoft 还提供了以下形式的身份验证。
  1. Microsoft 身份验证器
  2. Authenticator Lite(在 Outlook 中)
  3. Windows Hello 企业版
  4. FIDO2 安全密钥
  5. OATH 硬件令牌(预览版)OATH hardware token (preview)
  6. OATH 软件令牌
  7. 短信
  8. 语音通话
  1. 现在,保存选定的身份验证方法。

4.2.3 自定义 MFA 设置 

若要自定义 Azure MFA 设置,请执行以下步骤:

  1. 在 MFA 设置中,单击“自定义”。
  2. 在“自定义”窗格中,您可以配置各种设置,例如 MFA 验证、绕过和欺诈警报等选项。
  3. 根据组织的要求调整设置。
  4. 并保存自定义的 MFA 设置。

4.3 为 Azure AD 用户实现 Azure MFA 

若要为 Azure AD 用户实现 Azure MFA,请执行以下步骤:

  1. 在 Azure 门户中,导航到创建的 Azure AD 租户
  2. 单击“导航”部分中的“Azure Active Directory”。
  3. 在“安全”部分下,打开“MFA 服务设置”。
  4. 在 MFA 服务设置中,单击“Azure AD 用户设置”。
  5. 在“用户”设置中,可以配置各种选项,例如 MFA 强制、受信任的 IP 和应用密码。
  6. 根据您的要求调整设置。
  7. 然后,保存 Azure AD 用户设置。

4.4 为本地应用程序启用 Azure MFA 

若要为本地应用程序启用 Azure MFA,请执行以下步骤:

  1. 导航到 Azure AD 租户
  2. 在左侧导航菜单中,单击“Azure Active Directory”。
  3. 在“安全”部分下,单击“MFA 服务设置”。
  4. 在 MFA 服务设置窗格中,单击“应用注册”。
  5. 若要注册本地应用程序,请单击“应用注册”部分中的“新建注册”。
  6. 填写所需信息,例如应用程序名称重定向 URI
  7. 完成注册后,选择已注册的应用程序。
  8. 单击“管理”,为本地应用程序执行 MFA 配置。
  9. 按照提供的说明为本地应用程序设置 Azure MFA。

5. Azure MFA 设置的最佳做法 

5.1 用户注册和通信 

实现 Azure 多重身份验证 (MFA) 涉及注册用户并有效地传达注册过程。以下是一些需要遵循的最佳实践:

5.1.1 对用户进行好处教育: 

简明扼要地说明 Azure MFA 的价值以及它如何提高帐户安全性。提请注意它提供的额外安全层以及它在防止未经授权的访问方面所起的作用。

5.1.2 提供明确的说明: 

制定用户友好的说明或指南,描述注册 Azure MFA 所涉及的步骤。为了让用户更容易理解和跟进,请添加屏幕截图和插图。

5.1.3 发送电子邮件通知: 

用户应收到电子邮件通知,提醒他们即将实现 Azure MFA。包括任何必要的信息,例如说明和注册截止日期。为清楚起见,请使用清晰、简洁的语言。

5.1.4 举办培训课程: 

考虑举办网络研讨会或培训课程,以解释注册过程并解决用户可能遇到的任何疑问。如有必要,请直接协助用户,以确保注册过程顺利进行。

5.2 监测和报告

有效管理 Azure MFA 需要监视和报告。以下建议将帮助您创建强大的监视和报告系统:

5.2.1 启用 Azure AD 登录日志:5.2.1 Enable Azure AD Sign-In Logs: 

若要跟踪和跟踪用户登录(包括 MFA 事件),请启用 Azure AD 登录日志。这样可以深入了解 MFA 使用情况,并更容易发现任何可疑行为或潜在的安全漏洞。

5.2.2 实现 Azure AD Identity Protection: 

Azure AD Identity Protection 提供基于风险的条件访问策略和欺诈检测等高级安全功能。设置策略,以便阻止有风险的登录尝试或接受额外的身份验证。

5.2.3 查看 MFA 使用情况报告: 

经常查看 MFA 使用情况报告,详细了解用户采用率和 MFA 实施的成功情况。确定可能需要更多研究或改进的任何模式、趋势或领域。

5.2.4 设置警报: 

为重要事件设置警报,例如重复的 MFA 尝试失败、不稳定的登录行为或对 MFA 设置的修改。对于集中监视,警报可以与 Azure Monitor 集成或通过电子邮件发送。

5.3 安全注意事项 

为了确保最高级别的保护,在配置 Azure MFA 时必须考虑安全最佳做法。以下是一些建议:

5.3.1 强制实施强身份验证方法: 

鼓励用户使用安全身份验证技术,如 Microsoft 身份验证器应用或硬件令牌。鼓励不要使用基于短信的身份验证,因为attack涉及 SIM 卡交换。

5.3.2 实现条件访问策略: 

基于用户角色、设备信任、位置和风险级别的 Azure AD 条件访问策略可用于强制实施 MFA 要求。使用特定的上下文因素,这增加了一层额外的安全保护。

5.3.3 定期更新 MFA 配置: 

及时了解最新的安全更新、Azure MFA 功能和最佳做法。经常查看和更新 MFA 设置,以跟上不断变化的行业标准和威胁形势。

5.3.4 开展安全意识培训: 

应让用户了解常见的安全风险,例如网络钓鱼和社会工程策略。强调确保其 MFA 凭据安全并遵守严格的安全程序的价值。

5.4 常见问题疑难解答 

用户在配置和使用 Azure MFA 时可能会遇到一些常见问题。以下是一些故障排除提示:

5.4.1 提供自助密码重置: 

为 Azure Active Directory 启用自助密码重置,以便用户在丢失密码时可以快速更改密码。因此,服务台的工作量减少了,用户可以快速重新获得访问权限。

5.4.2 验证 MFA 身份验证方法: 

确保所选的 MFA 身份验证技术受支持且配置正确。为确保无缝身份验证,请解决电话号码、电子邮件地址或令牌配置的任何问题。

5.4.3 检查兼容性问题: 

检查环境中的 Azure MFA 和其他程序或系统是否存在任何兼容性问题。要解决任何冲突,请更新相关软件、驱动程序或配置。

5.4.4 监视 Azure MFA 服务运行状况: 

通过密切关注 Azure 服务运行状况仪表板,可以跟踪 Azure MFA 服务的运行情况。查找可能持续并影响 MFA 功能的任何事件或中断。

结论 

在本文中,我们探讨了设置 Azure 多重身份验证 (MFA) 的过程。请记住,保护公司的数字资产是一项共同的责任。Azure MFA 实现可增强整体安全基础结构,同时保护用户。利用 Azure MFA 的优势,并将其纳入网络安全计划。

来源:https://www.windows-active-directory.com/azure-mfa-all-you-need-to-know.html