为用户实施 Azure AD 双因素身份验证

最近，我的一位客户的用户帐户被盗。由于该用户的密码较弱（当地足球队的名称后跟一个序列号），因此他的帐户因密码喷射攻击而遭到泄露。

避免这种情况的一种方法（多种方法）是使用多重身份验证 (MFA)。除了常规的用户名和密码之外，MFA 还使用另一个身份验证选项，例如短信、移动设备上的应用程序或当其他两个选项由于某种原因无法使用时使用“应用程序密码”。

注意。 MFA 提供三个版本。有一个适用于管理员帐户的 MFA（适用于管理员帐户的 MFA），有一个完整版本作为 Azure AD Premium 订阅的一部分，还有一个所有 Office 365 商业订阅的轻量版本部分，称为 Office 365 多重身份验证。此版本可以仅可与 Office 365 服务一起使用，也是我在本博客中使用的服务。

艺术硕士要求

在开始在您的环境中实施 MFA 之前，请确保您的 Office 365 租户和设备满足以下条件。

Office 2016 客户端使用 Active Directory 身份验证库 (ADAL) 本机支持 MFA，浏览器也是如此。并非所有 Office 365 租户都默认启用 ADAL 功能，尤其是较旧的租户。要检查您的租户是否支持此功能，请打开 Exchange Online 的 Exchange 命令行管理程序并输入以下命令：

获取组织配置 |格式-表名称，*OAuth*

如果它返回 False，如下面的屏幕截图所示（我有一个较旧的租户），您可以使用以下命令在组织级别启用它：

设置组织配置-OAuth2ClientProfileEnabled：$true

对于 Skype for Business Online 客户端来说也是如此。要检查租户中的 ADAL 支持，请打开 Skype for Business Online PowerShell 命令并执行以下命令：

获取 CsOAuthConfiguration |选择*客户*

如果未启用（如下图所示），您可以使用以下命令来启用它：

允许设置 CsOAuthConfiguration -ClientAdalAuthOverride

对于较旧的应用或不通过 ADAL 支持 MFA 的应用，您可以使用AppPassword。这是一个特殊的密码，特别是对于您使用的设备而言。您只能在此特定设备上使用 AppPassword，而不能在任何其他设备上使用。对于其他设备，您需要有一个额外的应用程序密码。首次在设备上使用 MFA 时会创建 AppPassword，稍后将在本博客中显示。

对于移动设备，我强烈建议安装Microsoft Authenticator，以帮助您使身份验证过程变得更轻松。 MFA 信息存储在此特定设备上，并且仅在此特定计算机上可用。 Microsoft Authenticator 可通过您设备上的 App Store 获取。

启用 MFA

要为云帐户启用 MFA，请打开 Microsoft 在线门户 (https://portal.office.com) 并使用租户管理员帐户登录。选择“活动用户”，但在选择任何用户之前，单击“更多”下拉框并选择“多重身份验证设置”，如以下屏幕截图所示：

在下一个窗口中，选择您希望为其启用 MFA 的用户，然后单击右侧窗格中的启用。在确认框中单击启用多重身份验证。

在同一窗口中，您还可以更改服务设置，如下所示：

在服务设置中，您可以更改变量，例如是否让用户创建 AppPasswords、可以使用哪些身份验证选项以及记住 MFA 身份验证的时间范围：

确保选中允许用户创建应用密码以登录非浏览器应用单选按钮。同时查看允许用户记住他们信任的设备上的多重身份验证选项。使用此选项，您可以设置用户必须再次使用 MFA 进行身份验证之前的天数。同时设备是受信任的并且不需要 MFA。

对您的客户使用 MFA

启用 MFA 并登录到 OWA 等后，会显示一个额外的弹出窗口，要求提供其他信息。移动电话号码已在 Active Directory 中，因此已预先填充，并向该号码发送一条短信。

输入验证码后即可正式登录。最后一步是显示一个 AppPassword，您可以在此设备上使用此 AppPassword 用于不支持 Microsoft MFA（通过 ADAL）的应用程序。

启动 Outlook 2016 时，会显示一个额外的弹出窗口，必须在其中输入验证代码。由于 MFA 会被记住 30 天，因此在接下来的 4 周（以及两天 ?）内您将不会再看到它。

OneDrive for Business 和 Skype for Business 客户端也是如此，它们也需要进行身份验证。我的工作笔记本电脑加入了Azure AD，这样做的好处是我只需要登录一次，并且只需要输入一次短信身份验证，因为两个令牌都存储在设备上。

如下所示启用 MFA 时，它也会在移动设备上强制执行。我有一部装有 iOS 12.2 的 iPhone，它本身就支持 MFA。下次设备需要进行身份验证时（启用 MFA 后可能需要一些时间），验证码将发送到设备。这可能有点具有挑战性，因为您需要在设备本身上输入此代码。 Microsoft Authenticator（或任何身份验证器）可以在这方面为您提供帮助，特别是如果您有多个配置文件和多个（启用了 MFA 的）邮箱。

接下来的 30 天（或您输入的任何时间范围）您将不会收到 MFA 验证质询，除非您更改密码，然后触发 MFA，并且您需要再次进行身份验证。请记住，令牌存储在本地设备上，因此如果您想在另一台设备上检查电子邮件，您也可以在该设备上使用 MFA 进行身份验证。这会让尼日利亚的坏人感到沮丧（下面的屏幕截图显示了攻击者隐藏的地方），因为他们无法访问您的设备，所以即使使用弱密码（仍然不推荐！），您也应该更安全。

概括

您可以使用多重身份验证作为针对想要使用用户凭据访问您的环境的黑客的附加措施。由于需要额外的身份验证方法，因此坏人更难以访问您的环境。由于他们无法访问移动设备，因此滥用邮箱几乎是不可能的。

下一个合乎逻辑的步骤是实现无密码身份验证，但这是未来博客的内容 ?

更多信息

• 设置多重身份验证 - https://docs.microsoft.com/en-us/office365/admin/security-and-compliance/set-up-multi-factor-authentication?view=o365-worldwide
• 将 Microsoft 身份验证器与 Office 365 结合使用 - https://support.office.com/en-us/article/use-microsoft-authenticator-with-office-365-1412611f-ad8d-43ab-807c-7965e5155411?ui=en-US&rs =en-US&ad=US
• 如何获取 Azure 多重身份验证 - https://docs.microsoft.com/en-us/azure/active-directory/authentication/concept-mfa-licensing
• 多重身份验证定价 - https://azure.microsoft.com/en-us/pricing/details/multi-factor-authentication/
• Azure Active Directory 文档 - https://docs.microsoft.com/en-us/azure/active-directory/