Microsoft делает акцент на безопасности (часть 9)

• Microsoft делает акцент на безопасности (часть 2)
• Microsoft делает акцент на безопасности (часть 3)
• Microsoft делает акцент на безопасности (часть 4)
• Microsoft делает новый акцент на безопасности (часть 5)
• Microsoft делает акцент на безопасности (часть 6)
• Microsoft делает акцент на безопасности (часть 7)
• Microsoft делает акцент на безопасности (часть 8)

Введение

В первой части этой серии статей я рассказал об объявлении на Ignite 2015 о более гибких циклах установки исправлений и о внедрении Windows 10 Device Guard. Во второй части мы начали рассматривать новые функции, продукты и службы безопасности, начиная с Microsoft Advanced Threat Analytics. В части 3 мы более подробно рассмотрели презентации Ignite относительно того, что Microsoft делает для обеспечения безопасности в облаке и, в частности, в Office 365. В части 4 мы начали говорить об управлении идентификацией в облаке и, в частности, о том, как управление идентификацией работает в Office 365..

В части 5 мы показали вам, как реализовать каждую из моделей идентификации, и дали несколько советов по передовым методам работы с той моделью идентификации, которую вы в конечном итоге выберете. В части 6 мы говорили об общих концепциях многофакторной аутентификации (MFA) в отрасли и в облачных службах Microsoft, а в части 7 мы подробно рассмотрели включение и настройку параметров MFA Microsoft. В прошлый раз, в части 8, мы рассмотрели улучшения безопасности Azure Active Directory и, в частности, как внедрить и использовать более полнофункциональную версию MFA, которая поставляется с Azure AD Premium или может быть приобретена как отдельная служба.

Настройка функций Azure MFA

В наши дни мошеннический доступ является большой проблемой, и все больше и больше облачных сервисов реализуют способы обнаружения, сообщения и предотвращения попыток неавторизованных пользователей получить доступ к их ресурсам. Вероятно, вы регулярно сталкиваетесь с множеством этих механизмов. Например, вы можете настроить многие веб-службы таким образом, чтобы, если вы (или кто-то другой) входите в систему с нераспознанного устройства, вы получали уведомление по электронной почте. Если это были вы, вы можете проигнорировать его (или добавить устройство в свой список авторизованных устройств). Если нет, вы знаете, что кто-то еще получает доступ к вашей учетной записи и может провести расследование.

Многофакторная аутентификация значительно снижает возможность неавторизованных лиц войти в учетную запись, но кто-то все же может попытаться это сделать. При использовании MFA после входа в систему с использованием имени пользователя и пароля ваш телефон используется для подтверждения вашей личности до завершения процесса входа. Что, если кто-то обнаружит ваши учетные данные и войдет в систему, но у него нет вашего телефона? Вот где приходит предупреждение о мошенничестве.

Azure MFA поддерживает оповещения о мошенничестве, поэтому пользователи могут сообщать о любых несанкционированных попытках доступа к своим облачным ресурсам. Есть несколько различных методов, с помощью которых пользователи могут это сделать. Они могут использовать мобильное приложение или ответить на проверочный звонок на своих телефонах.

Однако, прежде чем пользователи смогут сообщать о мошеннических действиях, вы должны установить и настроить функцию оповещения о мошенничестве. Вы делаете это (как и другие задачи настройки MFA) через портал Azure. После входа в систему с учетной записью администратора выполните следующие действия:

1. Выберите Active Directory на левой панели.
2. Выберите «Поставщики многофакторной аутентификации» в верхней части страницы.
3. Из списка поставщиков MFA выберите того, для которого вы хотите включить функцию оповещения о мошенничестве.
4. В нижней части страницы выберите «Управление».
5. На портале управления Azure MFA выберите Параметры в левом разделе.
6. В разделе Предупреждение о мошенничестве установите флажок Разрешить пользователям отправлять предупреждения о мошенничестве.
7. При желании вы можете выбрать блокировку учетной записи пользователя при получении сообщения о мошенничестве.
8. Введите числовой код, который будет вводиться вместо знака # в ответ на проверочный вызов, когда пользователь хочет сообщить о мошеннической попытке доступа, в поле Код для сообщения о мошенничестве во время первоначального приветствия.
9. Нажмите кнопку Сохранить внизу страницы.

Советы:
Убедитесь, что числовой код легко запоминается пользователями.

Обратите внимание, что на этой же странице вы также можете настроить блокировку учетной записи, чтобы учетная запись пользователя автоматически блокировалась после определенного количества последовательных отказов MFA.

Теперь, когда отчеты о мошенничестве настроены, пользователи могут легко отправлять эти отчеты. Если на их телефонах установлено мобильное приложение MFA, оно откроется автоматически, когда вы нажмете запрос на подтверждение, отправленный на ваш телефон. Нажмите «Отменить» и «Сообщить о мошенничестве». Это так просто. Без мобильного приложения ответьте на проверочный звонок и введите код (указанный при настройке оповещения о мошенничестве на шаге 8 выше), затем введите знак #. В обоих случаях вы получите уведомление о том, что было отправлено предупреждение о мошенничестве.

Просмотр отчетов

Если вы хотите просмотреть отправленные отчеты о мошенничестве, выполните шаги с 1 по 4 выше в разделе, посвященном настройке предупреждений о мошенничестве, затем на портале управления MFA выберите « Просмотреть отчет» слева и выберите «Предупреждение о мошенничестве». Вы можете установить диапазон дат или ввести определенные имена пользователей, номера телефонов или статус пользователя, чтобы отфильтровать возвращаемые отчеты.

Настройка собственных приветствий

Если вы хотите записать пользовательское приветствие, которое будет использоваться с MFA вместо (или в дополнение) к приветствию Microsoft по умолчанию, вы можете сделать это с файлами.wav или.mp3 по вашему выбору, если они имеют размер 5 МБ или меньше.. Также обратите внимание на продолжительность сообщения. Если проверка длится более 20 секунд, проверка может завершиться ошибкой, поэтому сделайте ее короткой и простой.

Настройка настраиваемых приветствий выполняется через портал управления MFA, доступ к которому можно получить, как описано в шагах 1–4 в разделе о настройке предупреждений о мошенничестве выше. Оказавшись там, выберите «Голосовые сообщения» на левой панели. На главной панели под панелью навигации вы увидите ссылку «Новое голосовое сообщение». Выберите это, а затем выберите «Управление звуковыми файлами» внизу, и вы попадете в диалоговое окно, в котором вы можете выбрать « Загрузить звуковой файл». Найдите или введите путь к звуковому файлу, который вы хотите использовать, и нажмите кнопку «Загрузить». Вы также можете добавить описание. Вернитесь в раздел «Голосовые сообщения», где вы были раньше. Выберите язык и тип сообщения из раскрывающихся списков. Если вы хотите использовать новое голосовое сообщение с определенным приложением, вам нужно будет ввести его в поле Приложение. В раскрывающемся списке «Звуковой файл» должен появиться загруженный вами файл. Выберите его. Нажмите кнопку Создать. У вас есть новое пользовательское сообщение для проверок MFA.

Распространенные сценарии устранения неполадок MFA

Некоторые распространенные проблемы, возникающие при использовании Azure MFA, включают следующее:

• Учетная запись пользователя заблокирована. Чтобы сбросить учетную запись пользователя, вы (администратор) можете заставить пользователя пройти процесс регистрации еще раз. Вы делаете это через портал управления, как описано на этом веб-сайте.
• Устройство пользователя утеряно или украдено. Если пользователь использовал пароли приложений на этом устройстве, удалите все пароли приложений для пользователя, как описано в приведенной выше ссылке.
• Пользователь не может войти в систему с помощью небраузерных приложений. Пользователи должны удалить информацию для входа в приложение и войти с помощью пароля приложения, настроенного для MFA.
• Пользователь забывает свой телефон. Пользователям рекомендуется настроить резервный телефон, например домашний или рабочий, и в этом случае пользователь сможет вернуться к экрану входа и выбрать альтернативный телефон. В противном случае пользователю необходимо будет связаться с администратором, и администратор может изменить номер телефона, назначенный пользователю.
• В случае других проблем вы можете получить помощь сообщества на форумах Microsoft Azure Active Directory или выполнить поиск в базе знаний либо обратиться в службу технической поддержки и поддержки по вопросам выставления счетов Azure, если вы приобрели план поддержки:
  https://azure.microsoft.com/en-us/support/plans/

Резюме

На этом мы завершаем обсуждение многофакторной аутентификации Microsoft Azure и более широкую тему новых функций безопасности в продуктах Microsoft, которая была «зажжена» на конференции Microsoft в Чикаго. Если вы хотите быть в курсе последних новостей о продуктах, услугах и безопасности Microsoft, запланируйте участие в Ignite 2016 в сентябре следующего года в Атланте, штат Джорджия, и/или посмотрите презентации по запросу, которые будут опубликованы в Интернете. Надеюсь увидеть тебя там.

• Microsoft делает акцент на безопасности (часть 2)
• Microsoft делает акцент на безопасности (часть 3)
• Microsoft делает акцент на безопасности (часть 4)
• Microsoft делает новый акцент на безопасности (часть 5)
• Microsoft делает акцент на безопасности (часть 6)
• Microsoft делает акцент на безопасности (часть 7)
• Microsoft делает акцент на безопасности (часть 8)