Внедрение многофакторной аутентификации для удаленных пользователей Microsoft Teams
При планировании удаленного доступа к любому приложению в вашей организации необходимо разработать и внедрить средства безопасности, связанные с проверкой подлинности. Поскольку удаленная работа становится постоянной частью, это становится как никогда важным. В этой статье показано, как принудительно выполнить многофакторную проверку подлинности для всех удаленных пользователей, использующих Microsoft Teams. Тот же принцип можно применить к любому другому приложению, использующему Azure Active Directory.
Включение Azure AD Premium
Первым шагом к реализации многофакторной проверки подлинности для удаленных сотрудников с помощью Microsoft Teams является включение Active Azure AD Premium. Простой способ активировать предложение — перейти в Azure Active Directory. В новой колонке нажмите «Безопасность», а затем нажмите «Условный доступ». Справа отобразится баннер, информирующий пользователя о необходимости активировать предложение Azure Premium для доступа ко всем ресурсам. Это то, что мы ищем. Нажмите на него (элемент 1), а затем на кнопку «Активировать», расположенную в (элемент 2), как показано на изображении ниже.
Первый шаг — создать по крайней мере пару групп для объединения пользователей и использовать эти группы для развертывания сервисов и функций для пользователей. Мы создадим две группы: одну для управления пользователями MFA, а вторую — для всех пользователей Microsoft Teams и контроля внедрения продукта.
Эти новые группы можно создать локально в Active Directory (если вы выполняете синхронизацию) или в Azure Active Directory. Нам могут понадобиться новые группы для поддержки ваших будущих решений, доступных для пользователей. Ваш дизайн и бизнес-требования могут отличаться. Таким образом, трудно сказать, когда использовать одну группу или несколько.
На изображении ниже мы создаем группу под названием AP6-MSTeams-Users и добавляем двух пользователей: и . Чтобы создать группу Azure AD, щелкните Azure Active Directory, Группы, а затем Новая группа. Заполните необходимую информацию, выберите нужных пользователей и нажмите «Создать», чтобы завершить процесс.
Мы создадим пользователей AP6-MFA и добавим Адриана Вейдта, Даниэля Драйберга и Лори Юспечик. Имена, как вы могли заметить, взяты из вселенной «Хранителей»!
Управление Azure AD Premium
Использование Azure Premium позволяет использовать множество функций для защиты вашей среды. Мы сосредоточимся на некоторых из этих функций, чтобы решить цель этой статьи, которая состоит в том, чтобы включить многофакторную проверку подлинности для всех пользователей, использующих Microsoft Teams.
Первым шагом является управление политикой регистрации MFA. Мы определим, как мы будем развертывать MFA для наших конечных пользователей, попросив их выполнить регистрацию, и эту процедуру можно выполнить задолго до выпуска службы, такой как Microsoft Teams.
Откройте Azure Active Directory на портале Azure. В новой колонке нажмите Security, Identity Protection и нажмите MFA Registration policy. Блейд со всеми настройками отобразится в . Выберите группу (или даже всех пользователей в зависимости от размера компании). В этой статье мы собираемся выбрать группу, которую мы создали для поддержки Microsoft Teams.
Каково влияние этой настройки? Все пользователи, охваченные конфигурацией, увидят диалоговое окно, изображенное на изображении ниже, которое поможет им настроить свою MFA. Хотя это и не требуется, мы можем попросить некоторых технически подкованных пользователей выполнить работу до того, как мы обеспечим использование MFA в любом приложении/службе.
Принудительная многофакторная проверка подлинности только в Microsoft Teams
Время настроить условный доступ, который обеспечивает гибкость при создании правил для доступа к вашим приложениям. По умолчанию для новых подписок (после октября 2019 г.) включены параметры безопасности по умолчанию.
Если вы планируете воспользоваться преимуществами условного доступа, мы должны отключить такие функции и начать контролировать доступ через блейд условного доступа. К сожалению, обе функции не могут сосуществовать.
Войдите на портал Azure, щелкните Azure Active Directory, щелкните Свойства (элемент 1). В новой колонке щелкните метку последней ссылки «Управление параметрами безопасности по умолчанию» (элемент 2) и выберите «Нет» (элемент 3). Нажмите Сохранить.
Пришло время погрузиться в работу и создать первую политику, которая потребует многофакторной проверки подлинности для удаленных пользователей с помощью Microsoft Teams.
Наша первая остановка — определить диапазон IP-адресов, используемых вашими офисами. Нам потребуется MFA для удаленных пользователей, которые не находятся в корпоративном офисе.
Щелкните Azure Active Directory, в свойствах блейда щелкните Безопасность. Нажмите на условный доступ, и все существующие политики появятся справа. Прежде чем перейти к политикам, нажмите «Название местоположений» и нажмите «Новое местоположение». Заполните информацию, указав местоположение вашего офиса, и мы даже можем определить страну вместо IP-адреса, если вам нужен более разрешительный доступ.
Вернуться к главной достопримечательности: Политика! Щелкните Политики. Не должно быть никаких политик в списке. Нажмите «Новый».
Поначалу процесс может показаться сложным, но привыкнуть к нему — вопрос времени. Во-первых, назовите политику (Команды в нашей статье), и мы рассмотрим каждые две основные области политики, а именно: назначения и управление доступом.
Думайте о задании как о предложении «если». Когда какой-либо данный пользователь пытается пройти аутентификацию, он должен удовлетворять всем назначениям политики, и если это так, то будет выполняться действие, которое мы определяем в области управления доступом. Примечание. Если у нас есть более одного задания, они считаются логическим предложением «и» при их оценке.
В разделе «Назначения» настроим следующие параметры:
- Пользователи и группы (пункт 1): мы будем включать только пользователей AP6-MSTeam-Users (пункт 2).
- Облачные приложения или действия. Мы выберем Microsoft Teams из списка.
- Условия: мы определим , мы настроим : и .
В разделе «Контроль доступа » мы нажмем «Предоставить», выберите «Предоставить доступ» и установите флажок «Требовать многофакторную аутентификацию».
Последний шаг — включить политику, выбрав On в последнем параметре. Нажмите «Создать».
Что дальше?
На этом этапе нашей статьи все пользователи, перечисленные в AP6-MFA-Users, должны получать уведомление о настройке их MFA (в нашем примере это всего три пользователя). После создания вышеуказанного условного доступа всем членам AP6-MSTeam-Users предлагается пройти аутентификацию с использованием MFA при использовании Microsoft Teams и с IP-адреса, который не соответствует корпоративному офису (любой пользователь удаленного офиса).
Выполните некоторое тестирование в текущем сценарии, чтобы проверить эффективность новой политики условного доступа. Попробуйте использовать новый профиль или даже новую машину и очищайте кеш после каждого теста, чтобы убедиться, что вы выполняете правильный анализ.
- Попробуйте пройти аутентификацию на веб-сайте Microsoft Teams в новом сеансе ваших браузеров от пользователя, который принадлежит только к группе MFA. Результат должен предоставить информацию для настройки MFA.
- Попробуйте пройти аутентификацию в том же месте, что и выше, используя члена группы MSTeams-Users, и в результате должна быть применена MFA.
- Назначьте лицензию Outlook члену группы MSTeams-Users (если у него ее еще нет) и попробуйте аутентифицировать пользователя. Он должен иметь возможность проходить аутентификацию без MFA (мы применяем только для Teams).
- Повторите эти тесты с корпоративного и с общедоступного IP-адреса (удаленный офис).
Если вы развернули функции, которые мы рассмотрели в этой статье, вы повысили уровень безопасности, добавив один дополнительный уровень безопасности для своих конечных пользователей. Мы рассмотрели технические аспекты включения многофакторной проверки подлинности для Microsoft Teams. Теперь убедитесь, что вы задокументировали и проинформировали конечного пользователя в рамках плана развертывания.