Azure基础：什么是Azure AD多重身份验证和条件访问(24)

Azure基础：什么是Azure AD多重身份验证和条件访问(24)

什么是多重身份验证？

多重身份验证是一种进程，在登录过程中会提示用户提供其他形式的标识。 示例包括移动电话上收到的验证码或指纹扫描。思考一下你是如何登录网站、电子邮件或联机游戏服务的。 除了输入用户名和密码之外，是否还需要输入发送到手机的验证码？ 如果需要，则已使用多重身份验证进行登录。多重身份验证通过要求使用两个及以上的元素进行完全身份验证，为标识提供更多安全性。这些元素分为三个类别：

用户知道什么

这可以是电子邮件地址和密码。

用户拥有什么

这可以是发送到用户移动电话的验证码。

用户是谁

这通常是某种生物识别属性，例如在许多移动设备上使用的指纹或面部扫描。多重身份验证通过限制凭据暴露（例如，用户名和密码被盗）的影响来提高标识安全性。 启用多重身份验证后，拥有用户密码的攻击者还需拥有用户手机或指纹才能进行完整验证。比较多重身份验证和单因素身份验证。 在单一身份验证下，攻击者只需用户名和密码即可进行验证。 应尽可能地启用多重身份验证，因为这样可以极大地提高安全性。

什么是 Azure AD 多重身份验证？

Azure AD 多重身份验证是一项提供多重身份验证功能的 Microsoft 服务。 使用 Azure AD 多重身份验证，用户可以在登录过程中选择其他身份验证形式，例如电话或移动应用通知。以下服务提供 Azure AD 多重身份验证功能：

Azure Active Directory

Azure Active Directory 免费版通过 Microsoft Authenticator 应用、电话呼叫或短信代码为具有全局管理员访问级别的管理员启用 Azure AD 多重身份验证。 也可仅通过 Microsoft Authenticator 应用对所有用户强制执行 Azure AD 多重身份验证，方法是在 Azure AD 租户中启用安全默认值。Azure Active Directory Premium（P1 或 P2 许可证）允许通过条件访问策略为 Azure AD 多重身份验证进行全面而精细的配置（稍后将对此进行说明）。

Office 365 多重身份验证

Azure AD 多重身份验证功能的一个子集是 Office 365 订阅的一部分。

什么是条件访问？

条件访问是一种工具，由 Azure Active Directory 用来根据标识信号允许（或拒绝）对资源的访问。 这些信号包括用户身份、用户位置以及用户请求访问时所使用的设备。条件访问在以下方面为 IT 管理员提供帮助：

使用户随时随地都能够高效工作。保护组织的资产。

条件访问还为用户提供了更精细的多重身份验证体验。 例如，如果用户处于已知位置，则可能无需接受第二重身份验证。 但是，如果用户的登录信号异常或用户位于意外位置，就可能需要接受第二重身份验证。在登录过程中，条件访问会收集来自用户的信号，并根据这些信号制定决策，然后通过允许或拒绝访问请求或进行多重身份验证响应来强制执行该决策。下面是阐释此流的关系图：

此处的信号可以是用户位置、用户设备或用户试图访问的应用程序。根据这些信号，如果用户正在从其常用位置登录，决策可能允许使用完全访问权限。 如果用户正在从异常位置或标记为高风险的位置登录，在用户接受第二重身份验证后，系统可能会完全阻止访问或授予访问权限。强制执行是决策执行操作。 例如，该操作是允许访问或要求用户提供第二重身份验证。

何时可以使用条件访问？

当你需要执行以下操作时，条件访问会很有用：

需要多重身份验证才能访问应用程序。

可以配置是所有用户都需要多重身份验证，还是只有某些用户（如管理员）需要。还可以将多重身份验证配置为应用于来自所有网络的访问还是仅应用于来自不受信任的网络的访问。

要求只能通过经过批准的客户端应用程序访问服务。

例如，你可能希望允许用户通过移动设备使用经过批准的客户端应用（如 Outlook 移动应用）访问 Office 365 服务。

要求用户只能从受管理设备访问应用程序。

受管理设备是符合安全性和符合性标准的设备。

阻止来自不受信任的源的访问，例如来自未知或意外位置的访问。

条件访问附带 What If 工具，后者可帮助计划条件访问策略和排查策略问题。 可以使用此工具基于用户最近的登录尝试为建议的条件访问策略建模，以了解启用这些策略后会产生的影响。 利用 What If 工具，可以在实施建议的条件访问策略之前对策略进行测试。

可在何处使用条件访问？

若要使用条件访问，需要 Azure AD Premium P1 或 P2 许可证。 如果拥有 Microsoft 365 商业高级版许可证，也可以使用条件访问功能。

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。