帳戶安全性保護--Azure 多因素身份驗證（Azure MFA）

最好的Azure學習站點：Azure文檔中心 / Microsoft Learning

帳戶安全性保護--Azure 多因素身份驗證（Azure MFA）

現在移動辦公已經成了一種主流趨勢，愈來愈多的人使用各類各樣的移動設備在遠程位置進行辦公，享受移動辦公所帶來的各類便利性。可是每每在帶來便利的同時也會存在不少的安全隱患，如用戶在登陸時只是使用用戶名和密碼進行身份驗證，則會留下不安全的矢量，一旦咱們的密碼弱或者在其它位置公開，就會致使公司的相關係統可能會被***，相關信息也可能會泄露。那麼在這種狀況下如何確保是該用戶在使用用戶名和密碼進行登陸，仍是***者在登陸呢？咱們就須要另一種形式的身份驗證方式，由於通常***者不容易獲取或複製進行多重身份驗證所需的額外內容，因此會很大程度上提高帳戶的去安全性。

在Azure中咱們可使用Azure多重身份驗證（MFA）來保障公司Azure帳號的安全性。Azure多重身份驗證是一種簡單，方便，可擴展且可靠的多重身份驗證解決方案。用戶只需執行一個步驟便可自行註冊Azure 多重身份驗證，這樣能夠簡化加入體驗。

爲何要使用Azure 多重身份驗證

Azure 多重身份驗證可幫助保護對數據和應用程序的訪問，同時知足用戶對簡單性的需求。它經過要求第二種形式的身份驗證提供額外的安全性，並經過一系列易於使用的 身份驗證方法提供強大的身份驗證。使用Azure多重身份驗證能夠給咱們帶來以下優點：

• 方便用戶

  無需購買、配置和維護任何設備或證書

  簡單易用，無需針對用戶進行培訓

  當用戶移動設備損壞或丟失時，能夠自行更換MFA設備

• 可擴展

  支持大批量，關鍵任務場景

  內置在Azure AD中，能夠與雲應用程序一塊兒使用

  支持基於ADFS和SAML的應用程序將其聯合到雲中

• 安全

  強大的多因素身份驗證

  實施欺詐警報

  對登陸信息進行審覈和報告

  符合NIST 800-63 3級，HIPPA，PCI DSS和其餘法規要求

保護雲端應用程序

Azure多因素身份驗證與AAD集成，所以使用AAD進行身份驗證的任何雲端應用活SaaS應用均可以輕鬆的使用Azure多因素身份驗證，無需部署和配置。

好比咱們經常使用的Office 365，因爲Office 365使用Azure AD進行身份驗證，所以能夠輕鬆實現啓用多因素身份呢驗證，此外還能夠針對每一個用戶或做爲Azure條件訪問模型的一部分強制執行Azure多因素身份驗證。

使用Azure條件訪問，能夠保護公司身份，而且僅在知足特定條件的狀況下才須要多因素身份驗證。這個概念如此強大，由於用戶不想在每次訪問公司資源時都被提示進行第二因素身份驗證。能夠說，例如，若是用戶從公司網絡鏈接到SharePoint Online，則不須要多因素身份驗證，而從外部網絡進行鏈接將提示用戶進行多因素身份驗證。

更多詳細信息你們能夠參考以下站點：

https://docs.microsoft.com/en-us/azure/active-directory/authentication/concept-mfa-howitworks?WT.mc_id=AZ-MVP-5002232

保護本地應用程序

Azure多重身份驗證不只能夠保護雲端應用程序，還能夠對本地的應用程序進行保護，藉助於Azure MFA的本地代理服務器（成爲MFA服務器）咱們能夠對本地的***，RDS服務器場，IIS門戶以及任何其餘服務器進保護。MFA服務器主要充當身份代理，它從一側有許多偵聽器（例如RADIUS和LDAP）與您的應用程序進行通訊，而且從另外一側使用HTTPS鏈接到Azure MFA服務

Azure MFA服務器很是容易在內部進行部署，咱們只須要根據安裝嚮導進行安裝並進行一些基礎的配置便可。安裝完成後咱們可使用用戶名和密碼進行第一因素身份驗證，而後講第二因素身份驗證卸載到Azure MFA服務。在第二因素身份驗證時，用戶可使用電話，SMS甚至時移動APP進行驗證。

因爲Azure MFA服務器也可使用RADIUS集成到應用程序，所以能夠輕鬆地對***客戶端啓用多因素身份驗證。除了簡單性和節省成本外，這種多因素身份驗證解決方案的部署速度是其餘地方沒法輕易找到的。

可用於MFA的驗證方法

當用戶登陸到應用程序或服務並收到 MFA 提示時，他們能夠從其註冊的附加驗證形式中選擇一個來進行驗證。 管理員可能會要求註冊這些 Azure 多重身份驗證方法，或者用戶能夠訪問他們本身的個人配置文件以編輯或添加驗證方法。

如下其餘形式的驗證能夠與 Azure 多重身份驗證一塊兒使用。

• Microsoft Authenticator 應用

• OATH 硬件令牌

• SMS

• 語音呼叫

如何啓用和使用 Azure 多重身份驗證

能夠爲用戶和組啓用 Azure 多重身份驗證，以在登陸事件期間提示其進行其餘驗證。安全默認值適用於全部 Azure AD 租戶，可用於爲全部用戶快速啓用 Microsoft Authenticator 應用。

如需更精細的控制，可以使用條件性訪問策略來定義須要 MFA 的事件或應用程序。 經過使用這些策略，可在用戶使用企業網絡或已註冊的設備時，容許其執行常規登陸，但在其遠程訪問或使用我的設備時向其提示其餘驗證。