最好的Azure学习站点:Azure文档中心 / Microsoft Learning

通过条件访问启用Azure多因素身份验证

相信通过前面的介绍,大家都知道了使用Azure 多重身份验证可帮助保护对数据和应用程序的访问,同时满足用户对简单性的需求。 它通过要求第二种形式的身份验证提供额外的安全性,并通过一系列易于使用的身份验证方法提供强大的身份验证。如多大家对Azure多因素身份验证还不了解,可以参考如下文档:

https://docs.microsoft.com/en-us/azure/active-directory/authentication/concept-mfa-howitworks?WT.mc_id=AZ-MVP-5002232

我们可以通过两种方式对Azure用户启用多因素身份验证,一种是通过条件访问的方式,另一种是直接对某个用户启用,那么接下来我们就一起来看一下,如何通过一系列简单的配置来通过条件访问的方式启用Azure多重身份验证。

配置条件访问:

首先登录到Azure Portal,点击所有服务—标识—Azure Active Directory:

clip_image002

进到Azure AD的概述界面,我们点击左侧选项卡内的安全组:

clip_image004

在安全组入门选项卡,点击条件访问:

clip_image006

在条件访问选项卡,点击策略—新建策略:

clip_image008

输入策略名称,选择条件访问的范围,本次测试中我使用了一个用户组,如下图所示:

clip_image010

配置多重身份验证的条件,我们可以对所有的云应用启用MAF,也可以对特定的应用,在此我们选择Microsoft Azure Management,也就是说当特定组内的用户进行Azure登录的时候会要求进行多因素身份验证:

clip_image012

确保启用策略处于打开,点击保存:

clip_image014

保存完成后如下图所示:

clip_image016

客户端配置MFA

通过上面的配置,我们配置了当某个组的成员在进行azure登录时需要进行多因素身份验证。所以当组内用户登录时就会进行相应的提示来引导用户进行相关配置,这样极大的简化了管理员的工作量,如下图所示:

clip_image018

可以看到,系统会提示用户下载一个移动App来进行身份验证,当然用户也可以选择使用其他的方式进行验证,在此我们保持默认,现在移动app:

clip_image020

点击下一步:

clip_image022

使用下载好的App扫描二维码机可完成配置:

clip_image024

clip_image026

clip_image028

配置完成如下图所示:

clip_image030

测试MFA登录

然后当我们进行登录时,当输入完用户名密码后,要求我们进行第二重身份验证:

clip_image032

验证通过后即可访问azure portal:

clip_image034