Microsoft делает акцент на безопасности (часть 8)
- Microsoft делает акцент на безопасности (часть 2)
- Microsoft делает акцент на безопасности (часть 3)
- Microsoft делает акцент на безопасности (часть 4)
- Microsoft делает новый акцент на безопасности (часть 5)
- Microsoft делает акцент на безопасности (часть 6)
- Microsoft делает акцент на безопасности (часть 7)
- Microsoft делает акцент на безопасности (часть 9)
Введение
В первой части этой серии статей я рассказал об объявлении на Ignite 2015, касающемся более гибких циклов установки исправлений и введения Windows 10 Device Guard. Во второй части мы начали рассматривать новые функции, продукты и службы безопасности, начиная с Microsoft Advanced Threat Analytics. В части 3 мы более подробно рассмотрели презентации Ignite относительно того, что Microsoft делает для обеспечения безопасности в облаке и, в частности, в Office 365. В части 4 мы начали говорить об управлении идентификацией в облаке и, в частности, о том, как управление идентификацией работает в Office 365. В части 5 мы показали, как реализовать каждую из моделей удостоверений, и дали несколько советов по передовым методам работы с той моделью удостоверения, которую вы в конечном итоге выберете. В части 6 мы говорили об общих концепциях многофакторной аутентификации (MFA) в отрасли и в облачных службах Microsoft, а в части 7 мы подробно рассмотрели включение и настройку параметров MFA Microsoft.
Azure Active Directory и Azure Active Directory Premium
Как вы, наверное, знаете, Azure Active Directory — это решение Microsoft для управления идентификацией и доступом в облаке. Он имеет некоторое сходство с доменными службами Windows Server Active Directory, с которыми знакомо большинство ИТ-специалистов, но также имеет много отличий (например, отсутствует групповая политика, которая является важной частью WS AD DS).
Azure AD выполняет ту же функцию, что и AD DS — аутентификацию пользователей и компьютеров/устройств и авторизацию приложений, управление пользователями и группами, запросы к каталогам — но использует другие наборы протоколов, такие как SAML и OAuth вместо Kerberos и LDAP. Azure AD — это очень мощная служба, которая может обеспечить единый вход для приложений SaaS с использованием федерации, проверки подлинности на основе форм и хранилища паролей.
Azure Active Directory доступен в трех разных выпусках, которые вы выбираете при подписке на облачные службы Azure. Бесплатная версия поставляется с вашей подпиской Azure и не требует дополнительных затрат. Вы получаете стандартные функции управления идентификацией и доступом, такие как управление учетными записями пользователей, единый вход в Azure, Office 365 и множество других поддерживаемых приложений SaaS, а также синхронизацию с локальной службой Active Directory.
Базовая версия — это платная служба, которая включает в себя функции бесплатной службы Azure AD, описанные выше, и добавляет к этому управление доступом на основе групп и самостоятельный сброс пароля, чтобы пользователи могли более легко сбрасывать пароли для своих облачных приложений. Вы также можете публиковать локальные веб-приложения с помощью Azure AD через прокси приложения Azure AD, и, что, возможно, самое главное, вы получаете гарантию соглашения об уровне обслуживания (SLA), которое обещает 99,9% времени безотказной работы (три девятки).
Редакция Azure AD Premium, конечно, самая дорогая, но это полнофункциональная корпоративная служба, которая включает в себя все функции бесплатной и базовой версий, а также возможность самостоятельного управления группами, расширенные отчеты и оповещения о безопасности, сброс пароля с записью. -возврат к локальным каталогам, мониторинг работоспособности Azure AD Connect, права Microsoft Identity Manager (MIM) и, что наиболее важно для этого обсуждения, многофакторная проверка подлинности (MFA).
Теперь мы углубимся в эту функцию и в то, как включить MFA для пользователей как с выпуском Premium Azure AD, так и без него.
Включение MFA в Azure AD Premium путем назначения лицензий пользователям
В Azure AD Premium вы можете включить MFA для пользователей, назначив каждому из них пользовательские лицензии. Вам не нужно создавать поставщика многофакторной проверки подлинности (о чем мы расскажем далее в этой статье), если у вас есть Azure AD Premium или Enterprise Mobility Suite (EMS).
Если вы хотите синхронизировать локальную службу Active Directory с каталогом Azure AD, вы можете сделать это с помощью Azure Active Directory Connect, который сочетает в себе функции AAD Sync и DirSync. Если вы не хотите синхронизироваться с локальной службой AD, вам не нужно беспокоиться об Azure AD Connect.
Примечание:
Синхронизация Azure Active Directory (AAD Sync) была разработана для замены DirSync, инструмента, первоначально выпущенного для постоянной синхронизации локальной Active Directory с Azure Active Directory. Синхронизация AAD была представлена в 2014 году. Затем, в 2015 году, Microsoft заменила их обоих на Azure AD Connect и рекомендует его в качестве «единого окна» для интеграции с Active Directory. Для получения дополнительной информации см. эту ссылку.
Поскольку Azure MFA уже встроен в Azure AD Premium и EMS, процесс прост: вы назначаете лицензии, включаете MFA для своих пользователей, а затем уведомляете их о том, что им нужно сделать, чтобы использовать его.
Назначение лицензий пользователям — довольно простой процесс. Просто выполните следующие действия после входа на портал Azure с учетными данными администратора.
- На левой панели выберите Active Directory.
- Выберите каталог, в котором находится пользователь, для которого вы хотите включить многофакторную аутентификацию.
- В верхней части страницы выберите Лицензии.
- Выберите Active Directory Premium или Enterprise Mobility Suite, в зависимости от того, что у вас есть.
- Выберите Назначить.
- Выберите тех пользователей, которым вы хотите назначить лицензии.
- Нажмите на галочку, чтобы сохранить изменения.
Создание поставщика многофакторной аутентификации
Если у вас нет Azure AD Premium или EMS, как описано выше, вам потребуется создать поставщика многофакторной проверки подлинности, чтобы включить MFA для всех пользователей. Как мы отмечали в предыдущей статье, использование MFA для глобальных администраторов в Azure очень просто, поскольку оно уже доступно по умолчанию. Однако у администраторов нет доступа к некоторым более продвинутым функциям, таким как настраиваемые приветствия и портал управления, если вы не настроите поставщика многофакторной проверки подлинности. Как администратор, вы можете настроить это через портал Azure как часть конфигурации Active Directory.
Давайте быстро рассмотрим шаги по созданию поставщика MFA:
- После входа на портал Azure с учетной записью администратора выберите Active Directory на левой панели.
- В верхней части страницы выберите Поставщики многофакторной аутентификации.
- Внизу нажмите ссылку «Новый».
- Теперь вы увидите варианты служб приложений; выберите Активные поставщики аутентификации.
- Щелкните Быстрое создание.
- Введите имя поставщика Active Auth Provider в поле «Имя».
- Выберите модель использования: либо на авторизацию, либо на включенного пользователя в разделе Модель использования.
- Введите арендатора Azure Active Directory, с которым связан поставщик MFA, в поле Арендатор.
- Щелкните Создать.
- Когда вы увидите сообщение, уведомляющее вас об успешном создании поставщика MFA, нажмите кнопку ОК.
Есть несколько вещей, о которых вам нужно знать, выполняя шаги, описанные выше. Прежде всего, вы оставить поле Tenant пустым, но вы должны связать поставщика MFA с Azure AD, если хотите, чтобы все ваши пользователи могли использовать MFA. То же самое применимо, если вы хотите, чтобы глобальные администраторы могли использовать расширенные функции, о которых мы говорили ранее. Сценарий, в котором вы оставите это поле пустым и не свяжете арендатора Azure AD, будет состоять в том, что вы собираетесь использовать только пакет SDK или сервер Azure MFA.
Важный:
Вы не можете изменить модель использования (на авторизацию или на включенного пользователя) после ее выбора, поэтому будьте осторожны, чтобы выбрать правильную модель для вашей ситуации.
Включение Azure AD MFA для пользователей
Помните, что одно из больших различий между MFA в базовом выпуске Azure AD и в выпуске Premium заключается в том, что в последнем вы можете включить MFA для всех своих пользователей, а не только для глобальных администраторов. Фактически, уже одно это является причиной для многих организаций рассмотреть вопрос о переходе на премиум-версию Azure AD. Чтобы ваши пользователи могли воспользоваться улучшенной безопасностью Azure AD MFA, им необходимо зарегистрироваться для многофакторной проверки подлинности.
Если MFA отключен для пользователя, этот пользователь не зарегистрирован в MFA и не может его использовать. Если состояние MFA для пользователя отображается как включенное, это означает, что пользователь зарегистрирован; однако пользователю по-прежнему необходимо пройти процесс регистрации, прежде чем он сможет использовать MFA. Пользователю будет предложено сделать это при следующем входе в систему. Пользователь, для которого MFA «принудительно» зарегистрирован, завершит регистрацию, но должен создать пароли приложений. Затем пользователь будет использовать MFA для входа.
Включение MFA для ваших пользователей выполняется администратором с помощью портала управления Azure и выполнения следующих действий:
- После входа в систему с учетными данными администратора щелкните Active Directory на левой панели, как вы делали это при создании поставщика многофакторной аутентификации в разделе выше.
- В разделе «Каталог» выберите каталог, в котором находится учетная запись пользователя, которую вы хотите включить для MFA.
- В верхней части страницы выберите Пользователи.
- В нижней части страницы выберите «Управление многофакторной аутентификацией».
- Просмотрите список пользователей и найдите пользователя, учетную запись которого вы хотите включить для MFA (в этот момент статус должен отображаться как «отключено»), затем установите флажок рядом с именем пользователя.
- В отображаемом списке параметров выберите Включить.
- Во всплывающем списке, который отображается рядом, выберите Включить многофакторную аутентификацию.
Корпорация Майкрософт рекомендует отправлять пользователям электронные письма, чтобы сообщить им, как использовать небраузерные приложения и что им необходимо будет выполнить шаги регистрации для создания паролей приложений, чтобы они могли использовать приложения Office 365, мобильные почтовые клиентские приложения и т. д., а затем войти в систему. с паролем приложения.
После того, как вы настроили и настроили MFA, вы можете установить и настроить оповещения о мошенничестве, одноразовый обход, настраиваемые приветствия и сообщения, а также кэширование проверки подлинности. Эти темы рассматриваются в статье Настройка многофакторной идентификации Azure на веб-сайте Microsoft Azure.
Резюме
В этой части 8 мы коснулись различий между выпусками Azure AD и рассмотрели улучшения безопасности в Azure Active Directory, а также способы реализации и использования более полнофункциональной версии MFA, поставляемой с Azure AD Premium. В части 9 мы завершим обсуждение Azure AD Premium MFA некоторой информацией о том, как настроить его функции, управлять параметрами пользователя и использовать отчеты, доступ к которым осуществляется через портал управления MFA. Мы также рассмотрим некоторые проблемы с устранением неполадок.
- Microsoft делает акцент на безопасности (часть 2)
- Microsoft делает акцент на безопасности (часть 3)
- Microsoft делает акцент на безопасности (часть 4)
- Microsoft делает новый акцент на безопасности (часть 5)
- Microsoft делает акцент на безопасности (часть 6)
- Microsoft делает акцент на безопасности (часть 7)
- Microsoft делает акцент на безопасности (часть 9)