Включите многофакторную аутентификацию для глобальных администраторов Azure — бесплатно!
Я работал над несколькими статьями о безопасности Active Directory здесь, в TechGenix. Мои последние две статьи в этой области были о делегировании безопасности и о том, как управлять локальным администратором. В этой статье мы собираемся сделать еще один шаг вперед и расширить метод проверки подлинности для доступа к Microsoft Azure с помощью многофакторной проверки подлинности (MFA), которая в основном повышает безопасность среды за счет добавления дополнительного уровня безопасности в процессе проверки подлинности., что означает, что просто имени пользователя и пароля будет недостаточно для доступа к вашим приложениям и системам.
Azure MFA использует преимущества облака Azure, упрощает внедрение и масштабируемость, а также обеспечивает надежность службы на уровне 99,99 %. В настоящее время существует три типа MFA: MFA для Office 365, MFA для администраторов Azure и Azure MFA.
В этой статье мы собираемся использовать MFA для администраторов Azure — бесплатную услугу для всех глобальных администраторов, использующих портал Azure.
Насколько важен MFA в сегодняшней ситуации с безопасностью? Предположим, что злоумышленнику удалось узнать логин и пароль администратора сети. Теоретически этот злоумышленник сможет войти в Microsoft Azure, внести множество изменений и нанести большой ущерб всем размещенным там серверам и службам. При использовании MFA злоумышленник не сможет войти в систему, используя только имя пользователя и пароль. Потребуется вторая форма аутентификации, что повысит безопасность.
Управление многофакторной проверкой подлинности с помощью портала Azure
Если вы хотите проверить отдельную роль каталога, связанную с каким-либо пользователем, мы всегда можем выполнить следующие простые действия: войдите на портал Azure, щелкните Azure Active Directory, щелкните Пользователи и группы, а в новой колонке щелкните Все пользователи. Найдите или выберите пользователя из списка. В новой колонке для этого конкретного пользователя щелкните Роль каталога, и должен быть выбран глобальный администратор.
Простой способ составить список всех и дать им возможность использовать MFA — использовать веб-сайт многофакторной аутентификации. Чтобы попасть туда, мы можем использовать элемент Azure Active Directory на портале Azure, щелкнуть «Пользователи и группы» в начальной колонке, а затем щелкнуть «Все пользователи», расположенные слева. В верхней панели перед списком имен пользователей нажмите «Многофакторная аутентификация». Это место для управления MFA с портала Azure.
Чтобы просмотреть список всех , выберите «Глобальные администраторы» в , и отобразится список со всеми учетными записями с такой ролью.
Теперь, когда мы определили , нажмите на нужного пользователя (или вы можете выбрать более одного) и нажмите ссылку Включить справа под . В новом диалоговом окне нажмите «Включить многофакторную аутентификацию». Если обновление прошло успешно, появится диалоговое окно, информирующее вас. Просто нажмите «Закрыть», когда появится это сообщение. Теперь MFA включена для выбранных учетных записей.
Вернуться на главную страницу: Отобразится список всех пользователей. Третий столбец помогает администратору узнать, для какой учетной записи включена функция MFA. Для тех, у кого уже включена учетная запись MFA, мы можем принудительно использовать MFA — и это настоятельно рекомендуется для всех учетных записей . Мы также можем управлять определенными настройками пользователя, например, заставить конечного пользователя снова указать методы связи, удалить все существующие пароли приложений, сгенерированные пользователем, и восстановить MFA на всех запоминаемых устройствах этого конечного пользователя.
Управление настройками службы MFA
Администратор может контролировать, какие методы будут разрешены пользователям для аутентификации, включая звонок, текстовое сообщение, уведомление через мобильное приложение или код подтверждения из мобильного приложения. Нажмите «Сохранить», и эти настройки будут применены глобально ко всем пользователям.
Пользовательский интерфейс МФА
После того, как его или ее учетная запись MFA включена, когда пользователь пытается войти в систему, появится сообщение «Настроить сейчас ». Мастер, который поможет пользователю настроить MFA, предоставит варианты мобильного телефона и телефона.
Для целей этой статьи мы будем использовать мобильное приложение. На первой странице выберите «Получить уведомление» и нажмите «Настроить». Отобразится новая страница, как показано на изображении ниже.
Со стороны телефона убедитесь, что Microsoft Authenticator установлен из Apple Store (также есть поддержка телефонов Android и Windows), и после открытия приложения создайте новую учетную запись. Приложению потребуется отсканировать QR-код, который отображается на экране вашего компьютера. После этого новая учетная запись будет добавлена в Microsoft Authentication. С этого момента эта информация может использоваться в качестве двухфакторной аутентификации.
После первоначальной настройки пользователи всегда могут пройти здесь аутентификацию и изменить свои настройки MFA.