Многофакторная аутентификация и Office 365: альтернативные методы аутентификации
Содержание:
1. Знакомство со средствами MFA платформы Office 365;
2. Активация MFA для учетных записей Office 365;
3. Альтернативные методы аутентификации (Вы читаете данный раздел);
4. Использование средств MFA;
5. Вопрос планирования.
Разработчики службы Azure Active Directory предусмотрели возможность применения методов многофакторной аутентификации в таких, например, случаях, когда пользователи перепутали свои смартфоны. Разумеется, никто из пользователей не предполагает, что ему придется прибегнуть к альтернативному методу, пока не возникнет критическая ситуация, но здесь у администраторов есть прекрасный повод принять решение о том, следует ли реализовать подобные методы в организации.
Иногда телефонные звонки и текстовые сообщения не могут быть применены в качестве механизмов проверки подлинности пользователей. Так, работающие с соединениями WiFi пассажиры авиалайнеров не имеют возможности завершить процесс аутентификации с помощью телефонного звонка или текстового сообщения. Но при наличии WiFi-соединения вы можете получать извещающие уведомления (push notifications) с помощью приложения Azure Authenticator (существуют версии для iOS, Android и Windows Phone). Это приложение, кстати, можно применять и в автономном режиме для генерации кодов, которые могут использоваться в процессе аутентификации. Понятно, что пользователям, не располагающим ни приложением Authenticator, ни доступом к сетевому соединению, придется довольствоваться теми вариантами автономного доступа, которые обеспечивают их клиенты.
Настройка приложения authenticator
Прежде чем воспользоваться средством аутентификации, вам придется из своей учетной записи Office 365 активировать его в качестве механизма верификации. Делается это так. Перейдите в раздел Office 365 Settings, выберите вкладку Additional security verification и щелкните на пункте Update your phone numbers used for account security. После этого вы сможете добавить приложение Azure Authenticator к списку программ, поддерживаемых вашей учетной записью, и завершить процесс настройки (см. скриншот выше).
Просмотр пароля приложения
Перечисленные выше методы верификации реализованы не во всех приложениях, и именно по этой причине существует такой механизм, как «пароль приложения». Пароль приложения, создаваемый на финальной стадии активации средств MFA (см. скриншот выше), представляет собой сложную текстовую строку, которую можно ввести для завершения процесса аутентификации. Пароли приложений были созданы для того, чтобы обеспечить приложениям, не оснащенным средствами аутентификации на основе стандарта OAuth, возможность создания действительных маркеров доступа, открывающих путь к данным Office 365.
Получив пароль приложения, пользователь должен обеспечить его неприкосновенность, поскольку этот пароль потребуется для проверки прав доступа средствами некоторых приложений, включая мобильные телефоны, оснащенные технологией ActiveSync. Освоить эту часть процесса труднее всего, поскольку, хотя у вас может быть несколько паролей приложений (скажем, по одному на каждое приложение или по одному на устройство), все эти пароли генерируются автоматически и, похоже, выдаются нам с гарантией: их ни за что не вспомнишь в тот момент, когда это потребуется. Средства MFA никак не проявляют себя сразу после активации: на данный момент у пользователей могут быть задействованы существующие соединения, срок действия которых должен истечь или которые должны быть разорваны перед тем, как новый режим аутентификации вступит в силу. Обычно первыми требуют использования средств MFA браузерные соединения (включая соединения с SharePoint и с OneDrive при открытии файлов, хранящихся в этих репозиториях). За ними следуют другие приложения, такие как Outlook 2016. После завершения проверки подлинности ее результаты остаются действительными в течение 14 дней.
1. Знакомство со средствами MFA платформы Office 365;
2. Активация MFA для учетных записей Office 365;
3.
4. Использование средств MFA;
5. Вопрос планирования.
Разработчики службы Azure Active Directory предусмотрели возможность применения методов многофакторной аутентификации в таких, например, случаях, когда пользователи перепутали свои смартфоны. Разумеется, никто из пользователей не предполагает, что ему придется прибегнуть к альтернативному методу, пока не возникнет критическая ситуация, но здесь у администраторов есть прекрасный повод принять решение о том, следует ли реализовать подобные методы в организации.
Иногда телефонные звонки и текстовые сообщения не могут быть применены в качестве механизмов проверки подлинности пользователей. Так, работающие с соединениями WiFi пассажиры авиалайнеров не имеют возможности завершить процесс аутентификации с помощью телефонного звонка или текстового сообщения. Но при наличии WiFi-соединения вы можете получать извещающие уведомления (push notifications) с помощью приложения Azure Authenticator (существуют версии для iOS, Android и Windows Phone). Это приложение, кстати, можно применять и в автономном режиме для генерации кодов, которые могут использоваться в процессе аутентификации. Понятно, что пользователям, не располагающим ни приложением Authenticator, ни доступом к сетевому соединению, придется довольствоваться теми вариантами автономного доступа, которые обеспечивают их клиенты.
Настройка приложения authenticator
Прежде чем воспользоваться средством аутентификации, вам придется из своей учетной записи Office 365 активировать его в качестве механизма верификации. Делается это так. Перейдите в раздел Office 365 Settings, выберите вкладку Additional security verification и щелкните на пункте Update your phone numbers used for account security. После этого вы сможете добавить приложение Azure Authenticator к списку программ, поддерживаемых вашей учетной записью, и завершить процесс настройки (см. скриншот выше).
Пароли приложений
Просмотр пароля приложения
Перечисленные выше методы верификации реализованы не во всех приложениях, и именно по этой причине существует такой механизм, как «пароль приложения». Пароль приложения, создаваемый на финальной стадии активации средств MFA (см. скриншот выше), представляет собой сложную текстовую строку, которую можно ввести для завершения процесса аутентификации. Пароли приложений были созданы для того, чтобы обеспечить приложениям, не оснащенным средствами аутентификации на основе стандарта OAuth, возможность создания действительных маркеров доступа, открывающих путь к данным Office 365.
Получив пароль приложения, пользователь должен обеспечить его неприкосновенность, поскольку этот пароль потребуется для проверки прав доступа средствами некоторых приложений, включая мобильные телефоны, оснащенные технологией ActiveSync. Освоить эту часть процесса труднее всего, поскольку, хотя у вас может быть несколько паролей приложений (скажем, по одному на каждое приложение или по одному на устройство), все эти пароли генерируются автоматически и, похоже, выдаются нам с гарантией: их ни за что не вспомнишь в тот момент, когда это потребуется. Средства MFA никак не проявляют себя сразу после активации: на данный момент у пользователей могут быть задействованы существующие соединения, срок действия которых должен истечь или которые должны быть разорваны перед тем, как новый режим аутентификации вступит в силу. Обычно первыми требуют использования средств MFA браузерные соединения (включая соединения с SharePoint и с OneDrive при открытии файлов, хранящихся в этих репозиториях). За ними следуют другие приложения, такие как Outlook 2016. После завершения проверки подлинности ее результаты остаются действительными в течение 14 дней.
