Bliżej chmury publicznej - Azure Multi-Factor Authentication

  • Article

Platforma Azure Active Directory posiada bardzo ciekawą funkcjonalność: Azure Multi-Factor Authentication, która jest coraz bardziej popularna i coraz częściej wykorzystywana nie tylko w dużych organizacjach, ale również i w małych firmach. Za pomocą tej funkcji możemy włączyć weryfikację dwuetapową dla wskazanych kont, a nawet dla całej organizacji. Dzięki temu użytkownik podczas próby zalogowania się do zasobów zostanie poproszony nie tylko o login i hasło, ale dodatkowo będzie musiał potwierdzić swoją tożsamość przy pomocy aplikacji lub innego wskazanego wcześniej elementu.

Jak włączyć?

W celu włączenia funkcji Azure Multi-Factor Authentication w Office 365 należy wykonać opisane poniżej kroki. Zalogować się do konsoli admin center za pomocą przeglądarki wpisując adres https://portal.office.com przejść do zakładki Users -> Active Users i z menu środkowego wybrać opcję More -> Setup Azure multi-factor auth (Rys. 1)

Rys. 1. Office 365 – panel administratora

W oknie multi-factor authentication (Rys .2) należy wskazać konto użytkownika dla którego chcemy włączyć uwierzytelnienie wieloskładnikowe zaznaczając go za pomocą „fajki” i następnie w oknie quick steps wybrać opcję Enable. Podczas włączania zostaniemy ponownie poproszeni o potwierdzenie próby włączenia MFA, gdzie następnie zostanie wyświetlona informacja, że dana funkcjonalność została poprawnie włączona. Voila 😊

Rys. 2. Włączanie funkcji Multi-Factor Authentication

Next step

Po włączeniu Multi-Factor Authentication, użytkownik podczas pierwszej próby zalogowania się do usługi Office 365 zostanie poproszony o skonfigurowanie dodatkowej weryfikacji dla swojego konta (Rys. 3). Mamy tutaj do wyboru cztery opcje:

  • Call to phone – użytkownik otrzymuje telefon z usługi Office 365,
  • Text message to phone – użytkownik otrzymuje smsa na wskazany numer telefonu,
  • Notification through mobile app – użytkownik otrzymuje powiadomienie w aplikacji Microsoft Authenticator, którą musi wcześniej pobrać na swoje urządzenie mobilne,
  • Verification code from mobile app - użytkownik otrzymuje kod weryfikacyjny w aplikacji Microsoft Authenticator, którą musi wcześnie pobrać na swoje urządzenie mobilne

Rys. 3. Konfiguracja dodatkowej weryfikacji w Multi-Factor Authenticator

W przypadku gdy w opcji Mobile app wskazaliśmy tryb weryfikacji jako Receive notifications for verification to z poziomu urządzenia mobilnego w aplikacji Microsoft Authenticato,r należy dodać konto które chcemy skonfigurować przy pomocy kodu QR.

W następnym kroku należy podać swój numer telefonu na wypadek utraty dostępu do aplikacji Microsoft Authenticator.

Po poprawnie wykonanych czynnościach funkcja MFA dla użytkownika została skonfigurowana. Od tego momentu użytkownik przy każdej próbie dostępu do zasobów w Office 365 będzie musiał dodatkowo potwierdzić próbę dostępu w aplikacji (Rys. 4)

Rys. 4. Dodatkowa weryfikacja w aplikacji Microsoft Authenticator.

Seamless SSO

Podczas codziennego korzystania z usługi Office 365 każdorazowa weryfikacja użytkownika może okazać się uciążliwa, a wykorzystanie usługi Office 365 stanie się problematyczne. Z pomocą przychodzi tutaj Seamless SSO. Za pomocą tej opcji w przypadku gdy użytkownik loguje się z zaufanej lokalizacji / strefy nie musi dodatkowo potwierdzać swojej tożsamości.

Funkcję Seamless SSO włącza się z poziomu narzędzia Azure AD Connect -> Tasks -> Change user sign-in (Rys. 5). W kreatorze należy zaznaczyć opcję Enable single sign-on. Po włączeniu tej opcji w usłudze katalogowej Active Directory dla której włączyliśmy Seamless SSO pojawi się obiekt komputera o nazwie AZUREADSSOACC

Rys. 5. Włączenie opcji Seamless SSO z poziomu narzędzia Azure AD Connect

Dodatkowo musimy włączyć opcję conditional access w Azure. W tym celu należy zalogować się na portal Azure za pomocą przeglądarki wpisując adres https://portal.azure.com  przejść do zakładki Azure Active Directory -> Conditional access -> Named locations i za pomocą przycisku New location dodać nazwę oraz publiczny adres IP z którego będziemy logowali się do usługi Office 365 i chcemy włączyć funkcję Seamless SSO. Po poprawnie wykonanych czynnościach funkcja MFA z SSO została poprawnie włączona.

/Bartłomiej Prokocki