Microsoft делает акцент на безопасности (часть 7)

Опубликовано: 6 Апреля, 2023
Microsoft делает акцент на безопасности (часть 7)

  • Microsoft делает акцент на безопасности (часть 2)
  • Microsoft делает акцент на безопасности (часть 3)
  • Microsoft делает акцент на безопасности (часть 4)
  • Microsoft делает новый акцент на безопасности (часть 5)
  • Microsoft делает акцент на безопасности (часть 6)
  • Microsoft делает акцент на безопасности (часть 8)
  • Microsoft делает акцент на безопасности (часть 9)

Введение

В первой части этой серии статей я рассказал об объявлении на Ignite 2015 о более гибких циклах установки исправлений и о внедрении Windows 10 Device Guard. Во второй части мы начали рассматривать новые функции, продукты и службы безопасности, начиная с Microsoft Advanced Threat Analytics. В части 3 мы более подробно рассмотрели презентации Ignite относительно того, что Microsoft делает для обеспечения безопасности в облаке и, в частности, в Office 365. В части 4 мы начали говорить об управлении идентификацией в облаке и, в частности, о том, как управление идентификацией работает в Office 365. В части 5 мы показали, как реализовать каждую из моделей удостоверений, и дали несколько советов по передовым методам работы с той моделью удостоверения, которую вы в конечном итоге выберете.

В прошлый раз, в части 6, мы говорили об общих концепциях, касающихся многофакторной аутентификации (MFA) в отрасли и в облачных службах Microsoft, а на этот раз в части 7 мы углубимся в мельчайшие детали включения и настройки параметров MFA Microsoft. Мы начнем с Office 365 MFA, а в части 8 рассмотрим добавленный набор функций Azure Active Directory Premium MFA.

Параметры Microsoft MFA

Office 365 имеет встроенную поддержку MFA, которая доступна для всех пользователей с начала 2014 года (ранее она была доступна только для учетных записей администраторов). Версия, поставляемая с Office 365, работает только с приложениями Office, и вы настраиваете ее и управляете ею с помощью веб-портала Office 365. Он включен в вашу подписку на Office 365 без дополнительной оплаты.

Для получения дополнительных полнофункциональных функций организации могут приобрести подписку на Azure Active Directory Premium и использовать Azure MFA, который предоставляет дополнительные параметры конфигурации и расширенные отчеты, а также может использоваться с дополнительными приложениями (как локальными, так и облачными).

Если вы не хотите платить за AD Premium, есть несколько вариантов. Вы по-прежнему можете использовать MFA для администраторов (только) для входа в обычные подписки Azure для выполнения задач администрирования и управления их службами Azure. Вы не получите отчеты и другие премиум-функции, но сможете снизить риск несанкционированного доступа к учетным записям администратора, потребовав вторичный фактор аутентификации.

Та же версия Azure MFA, которая поставляется с AD Premium, также доступна как отдельная служба. Ценообразование может быть сделано на основе пользователя или на основе аутентификации.

Хорошей новостью является то, что все версии реализации Microsoft MFA для облака обеспечивают большую гибкость. Все они поддерживают использование телефонного звонка, текстового SMS-сообщения или мобильного приложения в качестве вторичного фактора аутентификации, а приложения, поддерживающие MFA, также позволяют использовать пароли приложений в тех случаях, когда пользователи подключаются через клиентское приложение. который не поддерживает MFA (например, Outlook). Таким образом, вы получаете дополнительную защиту учетной записи MFA, не отключая доступ для пользователей, которые не смогут ее использовать.

Azure AD Premium MFA предоставляет ряд дополнительных функций. Некоторые из них приятны, но не обязательны, например, возможность устанавливать собственные приветствия для телефонных звонков, но некоторые могут быть важны в вашей конкретной среде, например, возможность контролировать используемые методы аутентификации. Расширенная функция отчетности — еще одна функция, которая может сделать обновление стоящим для вашей организации, особенно если вы подпадаете под нормативные требования, которые включают в себя тип документации, которую будут предоставлять отчеты.

В следующих разделах мы обсудим, как настроить различные версии MFA.

Настройка многофакторной идентификации Office 365

Чтобы защитить учетные записи пользователей Office 365 с помощью MFA, администратор Office 365 должен сначала зайти на портал центра администрирования Office 365 и зарегистрировать пользователей для многофакторной проверки подлинности. Перейдите на страницу «Пользователи и группы» (выберите на левой панели навигации) и щелкните ссылку «Установить требования многофакторной проверки подлинности: настроить ». Это последняя строка в списке вариантов настройки в верхней части страницы, над списком имен пользователей. Выберите Активные пользователи.

На странице многофакторной проверки подлинности есть ссылка для доступа к руководству по развертыванию многофакторной проверки подлинности, и рекомендуется ознакомиться с ней, прежде чем продолжить, особенно если у вас есть какие-либо сложности в развертывании Office 365 или особые потребности в проверке подлинности.. В следующем разделе этой статьи мы рассмотрим несколько наиболее важных аспектов развертывания.

Вы можете зарегистрировать всех пользователей для MFA или зарегистрировать только выбранных пользователей, установив флажки слева от имен пользователей, а затем выполнив массовое обновление. Правый столбец в списке пользователей покажет вам статус многофакторной аутентификации каждого пользователя. Те пользователи, для которых включена многофакторная аутентификация, будут иметь статус «Принудительно». Пользователям по-прежнему необходимо будет пройти процесс регистрации, чтобы использовать MFA. Если они этого не сделали, в статусе будет указано «Включено» вместо «Принудительно». Пользователям, которые не были зарегистрированы для MFA администратором, в этом столбце будет отображаться статус «Отключено».

Когда вы включаете пользователя (или пользователей), откроется диалоговое окно, в котором вы выбираете Включить многофакторную аутентификацию.

Важно, если у вас есть пользователи, которые будут использовать приложения, не поддерживающие MFA, такие как Outlook до 2013 г., чтобы вы разрешили им использовать пароли приложений для входа. Это можно сделать с помощью настройки ссылку, указанную выше, на этот раз выбрав «Настройки службы» вместо «Пользователи». Здесь вы переходите к паролям приложений и выбираете Разрешить пользователям создавать пароли приложений для входа в небраузерные приложения.

Пользователи смогут создавать свои собственные пароли для входа в приложения без использования MFA.

Рекомендации по развертыванию Office 365 MFA

Планирование развертывания Office 365 MFA требует тщательного планирования. Корпорация Майкрософт предоставляет вам ряд различных методов, с помощью которых пользователи могут предоставить вторичный фактор проверки подлинности, но некоторые из них могут иметь больше смысла, чем другие, для вашей конкретной организации и пользователей. Помните, что в то время как Azure AD Premium MFA позволяет пользователям проходить аутентификацию с помощью физической или виртуальной смарт-карты или биометрического устройства, реализация Office 365 MFA более ограничена и ориентирована на смартфон пользователя как на второй фактор; разница заключается в том, как телефон используется для аутентификации: телефонный звонок, текстовое SMS-сообщение или мобильное приложение.

Использование телефонного звонка может быть нежелательным в ситуациях, когда шум от звонящего телефона может быть проблемой, хотя, конечно, пользователи могут настроить свои телефоны на вибрацию. Проблема в том, что они могут пропустить звонок, хотя должны были ожидать его и следить за телефоном. Кроме того, многие пользователи теперь носят «умные» фитнес-браслеты или часы, которые будут вибрировать, чтобы уведомить их о поступлении телефонного звонка (при сопряжении с их телефонами), такие как Fitbit Charge или Microsoft Band.

Использование SMS-сообщения может оказаться невозможным, если у вас есть пользователи, у которых SMS отключено на их телефонах. Некоторым пользователям, у которых есть тарифные планы для смартфонов, которые не включают неограниченное количество текстовых сообщений, может не понравиться получение дополнительных SMS-сообщений, за которые с них может взиматься плата.

Мобильное приложение может быть проблемой для некоторых пользователей, у которых ограничена емкость памяти телефона и нет места для установки другого приложения, или которые могут использовать старые телефоны или телефоны с операционными системами, для которых нет приложения. доступный.

Лучше всего изучить своих пользователей и их привычки, оборудование и ситуации, чтобы определить, какой из методов аутентификации будет работать лучше всего. Не обязательно, чтобы все ваши пользователи использовали один и тот же метод.

Клиентская конфигурация MFA

Когда пользователь входит в Office 365 после того, как администратор разрешил учетной записи пользователя использовать MFA, будет отображаться сообщение, требующее от пользователя выбрать, какой тип вторичного фактора проверки подлинности использовать.

Если пользователь выбирает один из вариантов телефонного звонка (мобильный или рабочий телефон), необходимо ввести номер телефона. Затем, когда пользователь входит в систему, он/она получит телефонный звонок на указанный телефон и будет проинструктирован нажать клавишу решетки (#). После нажатия клавиши пользователь войдет в Office 365.

Если пользователь выбирает вариант обмена текстовыми сообщениями, на телефон пользователя будет отправлено SMS-сообщение для завершения входа в систему. Сообщение будет содержать шестизначный код, который необходимо ввести на портале входа в Office 365, чтобы пользователь мог успешно войти в систему.

Если пользователь выбирает получение уведомлений через мобильное приложение, приложение необходимо установить на смартфон пользователя. Приложения доступны для телефонов на базе Windows, Android и iOS. Пользователь получит уведомление для подтверждения входа через приложение. Пользователь также может выбрать, чтобы в приложении отображался шестизначный код, аналогично опции обмена текстовыми сообщениями. Затем код необходимо ввести на портале входа в Office 365, чтобы завершить вход.

Пользователи могут изменить свой выбор позже, зайдя в настройки Office 365 для своих учетных записей пользователей после входа и проверки подлинности и выбрав Дополнительная проверка безопасности — добавить или изменить параметры проверки безопасности.

Резюме

Поскольку мы продолжаем обсуждение использования многофакторной проверки подлинности с облачными службами Microsoft, в этом выпуске мы обсудили подробные инструкции по настройке MFA для Office 365 как на стороне администратора, так и на стороне клиента. В следующий раз, в части 8, мы рассмотрим, как внедрить и использовать более полнофункциональную версию MFA, которая поставляется с Azure AD Premium или может быть приобретена как отдельная служба.

  • Microsoft делает акцент на безопасности (часть 2)
  • Microsoft делает акцент на безопасности (часть 3)
  • Microsoft делает акцент на безопасности (часть 4)
  • Microsoft делает новый акцент на безопасности (часть 5)
  • Microsoft делает акцент на безопасности (часть 6)
  • Microsoft делает акцент на безопасности (часть 8)
  • Microsoft делает акцент на безопасности (часть 9)
Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023