在上一篇的實踐系列中我們已經配置好了我們雲端的Azure AD,我們可以將雲服務器加入到域,也可以添加用戶到雲端的Azure AD中,那相對於現在這有一個移動爲先云爲先的時代,雲端的Azure AD和傳統的AD相比還有什麼優勢呢?第一,雲端的Azure AD使用方便,其次不需要我們維護域控制器,也不需要我們投入相應的硬件,所有的管理只需要一個瀏覽器,配合鼠標與鍵盤。那就只有這點優勢了嗎,當然不是,雲端Azure AD還提供免費的不限次數沒有任何費用收取的多重身份驗證服務MFA。
在開始本篇的實踐之前,我們來看下什麼是雙重身份驗證服務,雙重驗證是需要多種驗證方法的身份驗證方法,可爲用戶登錄和事務額外提供一層重要的安全保障。它的工作原理是需要以下兩種或多種驗證方法:
用戶知道的某樣東西(通常爲密碼)
用戶具有的某樣東西(無法輕易複製的可信設備,如電話)
用戶自身的特徵(生物辨識系統)
Azure 多重身份驗證 (MFA) 是 Microsoft 的雙重驗證解決方案。Azure MFA 可幫助保護對數據和應用程序的訪問,同時滿足用戶對簡單登錄的需求。它通過一系列的驗證方法(包括電話呼叫、 短信或移動應用驗證)提供強身份驗證。(使用 Azure 多重身份驗證時,不會針對向您的最終用戶撥打的各個電話呼叫或發送的短信對組織收費。)
看了說明之後是不是覺得Azure多重身份驗證服務非常有用,可以爲我們用戶身份憑據起到保駕護航的作用,最重要的是完全免費,甚至連電話費短信費都不會收取,當之無愧爲Azure十大實惠服務之一。
好了接下來,我們就來看下怎麼爲我們的Azure AD用戶啓用這一項功能,首先登錄到我們的Azure 經典門戶,然後找到我們創建的Azure AD。
Azure AD中目前只有一個用戶,我們添加一個新用戶。
指定我們的用戶類型爲新用戶,然後填入我們的用戶名。
然後在用戶配置文件的頁面,配置相對應的用戶信息,在下方勾選"啓用多重身份驗證",上方會出現一個警告信息,提示我們已經爲此用戶配置多重身份驗證。
完成之後我們就已經成功的配置了一個啓用了多重身份驗證的用戶,是不是非常的簡單。
接下來我們可以通過在用戶選項卡下方的"管理MFA"跳轉到專門的MFA管理界面。
在MFA管理頁面,我們可以看到所有的用戶,並且可以批量設置用戶是否啓用MFA,也可以看到當前選中的用戶是否啓用MFA,在右側可以看到MFA的狀態,如果是啓用狀態中,我們可以單擊禁用來關閉MFA,如果是沒有啓用,這可以通過單擊啓用來快速爲用戶啓用MFA。
單擊MFA頁面頂部的服務設置,可以跳轉到MFA服務配置頁面。
在MFA服務設置頁面中,我們可以選擇是否允許用戶創建應用密碼,以使用非瀏覽器的方式進行登錄。還可以配置驗證方法,驗證方法總體來講都是與我們的手機結合的,比如給我們的手機打電話、發短信,通過MFA App進行通知驗證、驗證碼驗證等。
在設置完成後,單擊保存即可爲Azure AD啓用MFA。再次說明,儘管Azure MFA功能強大,爲我們的用戶身份驗證提供了非常高安全級別的多重身份驗證功能,可以很好的保護企業數據和用戶身份,結合Azure AD以及第三方應用開發、其他的Azure服務,是非常好的PaaS服務。目前MFA不會向用戶或Azure帳號所有者收取任何的費用,感興趣的朋友可以嘗試一下。