多因子認證和微軟AD的4個FAQ

自遠端辦公普及以來，身份盜用和資料竊取愈演愈烈，企業的資訊安全受到嚴重威脅。對于管理者來說，多因子認證（MFA）是企業保護使用者身份的必要解決方案，也很有可能成為保障遠端辦公和雲環境安全的核心工具。

以往的多因子認證常用于網頁應用，除此之外這一安全工具還可以保護 VPN、雲桌面（虛拟化桌面）、工作台、伺服器、本地應用等任何需要額外驗證層的 IT 資源。其核心是確定登入的使用者其身份真實可靠。

由于大多數企業都會采用微軟本地目錄服務 Active Directory（AD）作為核心身份源，多因子認證也被認為是所有 AD 方案的标配。但事實并非如此。下面四個問題是很多管理者在考慮為 AD 環境部署雙因子身份認證時經常遇到的。需要注意的是，在 Azure Active Directory （AAD）中添加雙因子身份認證功能時，問題可能更加複雜。

1. MFA 真的有必要嗎？

無論什麼規模的企業都需要維護 IT 安全。而在企業數字化的趨勢下，資訊安全更加成為企業 IT 安全的重點。要防範的首要風險是身份竊取。在沒有多因子認證的情況下使用核心使用者賬号确實會将隐私資料暴露在風險中。

另一方面，網絡攻擊的手段層出不窮。對于瞄準使用者憑證的網絡釣魚和勒索軟體等網絡攻擊，僅僅使用簡單的使用者名密碼驗證是遠遠不夠的，特别是 CEO 、财務總監等特權賬号重複使用簡單密碼的情況下，竊取風險隻增不減。是以，管理者應盡可能實施多因子認證，其優點在于安裝簡單、使用友善。

2. 如何配置 AD 啟用 MFA？

通過微軟 AD 将多因子認證無縫內建到 IT 資源中并不容易，且不說 Mac 和 Linux 裝置，即便是 Windows 裝置，內建的過程也很複雜。

雙因子認證（MFA）并不是 AD 的原生功能，需要安裝額外的應用程式或服務進行內建。部署完成後，在 Windows 裝置登入時會啟動驗證流程。Windows 裝置作為通路 AD 域内資源的入口，可以設定為強制執行多因子認證。但 AD 本身不支援該設定，是以管理者需要采用附加解決方案。

3. Azure 或 Microsoft 365 訂閱方案中是否包含 MFA ？

從 AD 切換到 Azure AD 或 Microsoft 365 賬号，都可以啟用多因子認證，但配置過程比較複雜。這完全取決于訂閱的 Azure AD 或 Microsoft 365 方案，有些方案可在設定欄中點選啟用，另一些可能需要更新後才能啟用。

1）Azure AD

企業如果選擇按使用者或按驗證次數計費模型，可以在 Azure AD 免費版或基礎版中使用多因子認證。這兩種方案可以說是啟用該功能所需的最低配置。但需要注意的是，Azure 中的多因子認證僅能擴充到部分 Web 應用程式，無法管理所有 Windows 終端、本地應用程式、檔案伺服器或網絡。當使用 AD登入到域時，它并不能完全替代真正的多因子認證工具。

在 Azure AD 中的全局管理者賬号可以免費激活 Azure MFA，但僅針對工作或學校賬号。

2）Microsoft 365

用于 Microsoft 365 賬号登入的多因子認證現在已經囊括在 Microsoft 365 教育版和免費版中，無需額外購買或訂閱。不過，除了這些少數賬号之外，企業要使用 MFA 必須訂閱 Azure AD P1 方案。 雖然每個 Microsoft 365 訂閱方案都附贈 Azure AD 免費版，但該方案下的多因子認證功能很少，要獲得完整體驗必須付費更新。如果訂閱 Azure AD P1 方案，企業就能為通路 Azure 資源的使用者執行條件通路政策，至于如何讓條件通路政策同時應用于其他 IT 資源還需要另找辦法。

4. 在沒有 Azure 或 Microsoft 365 的情況下如何将 MFA 添加到 AD？

當然，每個管理者都想快速輕松地為 AD 啟用多因子認證，又不想應付 AAD 的麻煩配置，這時可以考慮身份目錄即服務（Directory as a Service，DaaS）平台，混合環境中也能部署多因子認證，不受平台、協定、廠商或使用者位置的限制。

DaaS 是中小企業理想的統一身份和通路管理平台，它重構了 AD 的角色，提供類似于 AD 中組政策對象（GPO）的使用者管理，管理者可以用多因子認證等政策進行全局管理，具體包括：

• 使用者和使用者組
• Mac/Windows/Linux 系統
• 本地應用和雲應用
• 本地應用和檔案伺服器
• 網絡和 VPN 、雲桌面、堡壘機
• 雲基礎設施

（本文來源于甯盾，僅供學習和參考，未經授權禁止轉載和複制。如欲了解身份認證更多内容，可前往甯盾官網部落格解鎖更多幹貨）