最好的Azure学习站点:Azure文档中心 / Microsoft Learning

账户安全性保护--Azure 多因素身份验证(Azure MFA)

如今移动办公已经成了一种主流趋势,越来越多的人使用各种各样的移动设备在远程位置进行办公,享受移动办公所带来的各种便利性。但是往往在带来便利的同时也会存在很多的安全隐患,如用户在登录时只是使用用户名和密码进行身份验证,则会留下不安全的矢量,一旦我们的密码弱或者在其它位置公开,就会导致公司的相关系统可能会被***,相关信息也可能会泄露。那么在这种情况下如何确保是该用户在使用用户名和密码进行登录,还是***者在登录呢?我们就需要另外一种形式的身份验证方式,因为一般***者不容易获取或复制进行多重身份验证所需的额外内容,所以会很大程度上提升账户的去安全性。

clip_image002

在Azure中我们可以使用Azure多重身份验证(MFA)来保障公司Azure账号的安全性。Azure多重身份验证是一种简单,方便,可扩展且可靠的多重身份验证解决方案。用户只需执行一个步骤即可自行注册Azure 多重身份验证,这样可以简化加入体验。

为什么要使用Azure 多重身份验证

Azure 多重身份验证可帮助保护对数据和应用程序的访问,同时满足用户对简单性的需求。它通过要求第二种形式的身份验证提供额外的安全性,并通过一系列易于使用的 身份验证方法提供强大的身份验证。使用Azure多重身份验证可以给我们带来如下优势:

  • 方便用户

    无需购买、配置和维护任何设备或证书

    简单易用,无需针对用户进行培训

    当用户移动设备损坏或丢失时,可以自行更换MFA设备

  • 可扩展

    支持大批量,关键任务场景

    内置在Azure AD中,可以与云应用程序一起使用

    支持基于ADFS和SAML的应用程序将其联合到云中

  • 安全

    强大的多因素身份验证

    实施欺诈警报

    对登录信息进行审核和报告

    符合NIST 800-63 3级,HIPPA,PCI DSS和其他法规要求

保护云端应用程序

Azure多因素身份验证与AAD集成,因此使用AAD进行身份验证的任何云端应用活SaaS应用都可以轻松的使用Azure多因素身份验证,无需部署和配置。

比如我们常用的Office 365,由于Office 365使用Azure AD进行身份验证,因此可以轻松实现启用多因素身份呢验证,此外还可以针对每个用户或作为Azure条件访问模型的一部分强制执行Azure多因素身份验证。

使用Azure条件访问,可以保护公司身份,并且仅在满足特定条件的情况下才需要多因素身份验证。这个概念如此强大,因为用户不想在每次访问公司资源时都被提示进行第二因素身份验证。可以说,例如,如果用户从公司网络连接到SharePoint Online,则不需要多因素身份验证,而从外部网络进行连接将提示用户进行多因素身份验证。

更多详细信息大家可以参考如下站点:

https://docs.microsoft.com/en-us/azure/active-directory/authentication/concept-mfa-howitworks?WT.mc_id=AZ-MVP-5002232

保护本地应用程序

Azure多重身份验证不仅可以保护云端应用程序,还可以对本地的应用程序进行保护,借助于Azure MFA的本地代理服务器(成为MFA服务器)我们可以对本地的***,RDS服务器场,IIS门户以及任何其他服务器进保护。MFA服务器主要充当身份代理,它从一侧有许多侦听器(例如RADIUS和LDAP)与您的应用程序进行通信,并且从另一侧使用HTTPS连接到Azure MFA服务

clip_image004

Azure MFA服务器非常容易在内部进行部署,我们只需要根据安装向导进行安装并进行一些基础的配置即可。安装完成后我们可以使用用户名和密码进行第一因素身份验证,然后讲第二因素身份验证卸载到Azure MFA服务。在第二因素身份验证时,用户可以使用电话,SMS甚至时移动APP进行验证。

由于Azure MFA服务器也可以使用RADIUS集成到应用程序,因此可以轻松地对***客户端启用多因素身份验证。除了简单性和节省成本外,这种多因素身份验证解决方案的部署速度是其他地方无法轻易找到的。

clip_image006

可用于MFA的验证方法

当用户登录到应用程序或服务并收到 MFA 提示时,他们可以从其注册的附加验证形式中选择一个来进行验证。 管理员可能会要求注册这些 Azure 多重身份验证方法,或者用户可以访问他们自己的我的配置文件以编辑或添加验证方法。

以下其他形式的验证可以与 Azure 多重身份验证一起使用。

  • Microsoft Authenticator 应用

  • OATH 硬件令牌

  • SMS

  • 语音呼叫

如何启用和使用 Azure 多重身份验证

可以为用户和组启用 Azure 多重身份验证,以在登录事件期间提示其进行其他验证。安全默认值适用于所有 Azure AD 租户,可用于为所有用户快速启用 Microsoft Authenticator 应用。

如需更精细的控制,可使用条件性访问策略来定义需要 MFA 的事件或应用程序。 通过使用这些策略,可在用户使用企业网络或已注册的设备时,允许其执行常规登录,但在其远程访问或使用个人设备时向其提示其他验证。

clip_image008