你正在浏览:电脑问题网 > 电脑基础 > Office > Office 365 多因素身份验证更好的保护更好的安全性

Office 365 多因素身份验证更好的保护更好的安全性

  • 来源:电脑问题网
  • 作者:Office
  • 审核:志强网络科技有限公司
  • 时间:2015-11-17 23:45
  • 阅读:
  电脑问题网-Office 我没有发现这是这种情况在实践中,但我当然明白人怎么可能有那样的感觉。然而,现在办公室 2013 年 (最新版本) 和办公室 2016年支持基于 OAuth 的身份验证 (有时称为"现代身份验证"),也许现在是租客管理员考虑是否 MFA 可以帮助安全用户数据的好时机。
 
  介绍 Office 365 MFA
 
  首先,让我们定义 MFA 是什么。它是一种要求的人寻求访问数据必须能够验证他们的身份在至少两种方式的身份验证方法。在大多数情况下,它是两个这三种方法:
 
  你知道的事情 — — 密码
  一些你有的东西通常是与你,像一部手机
  你的东西 — — 虹膜、 指纹或人脸识别等生物识别技术

Office 365 多因素身份验证更好的保护更好的安全性
 
  这个想法是向攻击者提供他们要穿透必须能够访问帐户的多个图层。在哪里猜测密码是充足的攻击者必须有用于响应身份验证质询 (如电话) 的设备还是能够打败一个生物的挑战,一些东西这是极难做到。
 
  由 Azure Active Directory 来支持的辅助身份验证方法多种多样的包括电话、 短信、 移动应用程序通知、 验证码,第三方誓言令牌(这不是一个错字 — — OAuth 标准和誓言令牌存在差异)。有关Azure 活动目录 MFA 是他们的 web 站点上可用的详细信息。
 
  蔚蓝的 Active Directory 是针对 Office 365 的授权认证。应用程序开发支持 MFA 使用活动目录身份验证库 (阿达),对使用 OAuth 2.0 服务进行身份验证。OAuth 是开放标准,由许多其他供应商的授权。客户端应用程序,如 Outlook 或 Outlook Web 应用程序,使用阿达来访问用户数据使用通过身份验证过程获得的访问令牌。使用的访问令牌意味着应用程序可以继续访问数据,而无需存储或提供用户凭据。
 
  事实上,使用两种类型的令牌。刷新令牌颁发后成功的用户身份验证。这是用来获取访问令牌访问用户数据所必需的主令牌。例如,当 Outlook 客户端首次连接到和使用 Office 365 进行验证,从 Azure Active Directory 取得了刷新令牌。然后,outlook 可以使用刷新令牌才能是有效交流的访问令牌。同样刷新令牌的有效期在 Office 365,所以如果 Word 或 Excel 需要访问 SharePoint 或另业务中的信息,客户端应用程序可以请求无效,这些服务器应用程序的访问令牌。另一种方式思考它的是一个访问令牌始终是特定于资源,无论是交换,SharePoint,或别的东西。
 
  如果它不使用,刷新令牌持续两周。但是,如果刷新令牌用于生成的访问令牌,它被刷新由 Azure Active Directory 来。当然,如果你出去走走两个多星期,在这段时间不访问 Office 365,刷新令牌将过期,将需要重新通过身份验证。
 
  为 Office 365 帐户启用 MFA
 
  Office 365 帐户启用 MFA 是直截了当的。登录到 Office 365 管理员中心,转到用户,然后单击"设置多因素身份验证要求"旁边的"安装程序"链接。你可以现在为多个帐户的批量启用 MFA 或选择要启用的个人帐户。单击启用启动进程,然后确认,MFA 是强制执行的帐户。
 
  现在启用帐户登录到,在下一次用户将询问 MFA 启用过程通过提供使完成的第二个身份验证方法。你可以看到在图 1 中,我已经选择了向移动电话发送文本消息。一个六位数代码通过短信发送到指定手机并且收件人有那个号码输入到浏览器中完成此过程。
 
  蔚蓝的 Active Directory 现在已与帐户连接指定的移动电话。当需要额外的身份验证时帐户时,Azure Active Directory 向手机发送验证码,用户可以输入代码以响应所面临的挑战。此方法效果好浏览器应用程序和现代的移动应用程序使用阿达,如办公室 365 组应用电话可也用于身份验证由接收呼叫。在这种情况下,用户确认呼叫通过回答它并按 # 上的小键盘来完成该过程。
 
  其他身份验证
 
  蔚蓝的 Active Directory 支持使多个帐户的身份验证方法能够适应情况如当用户未尝他们的智能手机。当然,没有人意识到他们需要另一种方法,直到问题出现,但它是有价值的运动,以确定是否应在您的组织中使用这些方法。
 
  有时电话或短信不是一个适当的身份验证机制。例如,如果你在飞机上使用 WiFi 连接,您将无法接收电话或发短信来完成身份验证过程。但如果 WiFi 是可用的你可以使用Azure 身份验证器应用程序(适用于 iOS、 安卓系统和 Windows Phone) 来接收推式通知。也可以脱机使用该应用程序以生成可用于身份验证的代码。当然,如果你没有身份验证器应用程序和网络连接不可用,你将限于无论脱机访问由您的客户端。
 
  你可以使用身份验证器应用程序之前,您的 Office 365 帐户已将它启用为核查机制。要做到这一点,请转到 Office 365 设置,额外的安全验证,并单击更新您用于帐户安全的电话号码。然后可以将身份验证器 Azure 应用程序添加到支持的帐户的选项,并完成配置过程。
 
  应用程序密码
 
  并不是所有的应用程序支持上面列出的验证方法是"应用程序密码"机制存在的原因。应用程序密码,在最后阶段的 MFA 启用发布 (见图 3),是一个复杂的文本字符串,可以输入完成验证过程。应用程序密码创建允许的应用程序不支持基于 OAuth 身份验证来创建一个有效的访问令牌来访问 Office 365 数据。
 
  一旦发出,用户必须保持应用程序密码安全,因为它将被要求通过一些应用程序,包括启用 ActiveSync 的手机进行身份验证。过程的这一部分是最痛苦的因为即使您可以有多个应用程序密码 (例如,一个在每个应用) 或每个设备一个,他们都将自动生成,并且保证不可能记得当你需要他们。在任何情况下,此页面说明了应用程序密码的工作原理以及如何管理它们。
 
  MFA 不变得明显立即按用户可能有现有连接,需要使用过期被注销,新的身份验证制度生效前启用。常用的东西是浏览器连接需要 MFA 第一 (包括连接到 SharePoint 和另打开存储在这些存储库中的文件时),然后像 Outlook 2016 的其他应用程序。一旦发生了身份验证,它的有效期是 14 天。
 
  使用 MFA
 
  它需要一点时间来习惯 MFA,但过了一会儿,它是第二天性。你不提示您提供凭据更经常比以前,但是当你,它是一个两步过程。好在大多数情况下接收文本消息验证代码 (图 4) 工作。唯一的问题我已经是时我一直在我的祖国之外时有轻微的延迟可以作为电讯公司图出现了如何获取包含验证码到我手机上的短信消息。漫游的欢乐!在这种情况下,身份验证器 Azure 应用程序可能是一个更方便的选择。
 
  PowerShell MFA
 
  我碰到的最大问题是缺乏 MFA 内 PowerShell 支持。当你启动远程 PowerShell 会话连接到办公室 365 时,你只能提供一个用户名和密码作为没有机制的存在是为了通过第二个身份验证因素,包括应用程序密码。唯一的解决办法是使用一个不同的帐户 PowerShell 工作。本身,这没什么大不了的是好的做法,要从日常的互动与 Office 365 分开行政工作 (如与 PowerShell,你会做什么)。微软是在添加 MFA PowerShell 支持的过程中,您将能够在未来使用不同的验证方法。即便如此,你仍然应该考虑 PowerShell 工作中使用一个单独的帐户。
 
  PowerShell 可以用于审查为 MFA 配置的帐户。正如在这篇文章解释MVP Michel de 风餐露宿,您可以运行的代码如下所示,报告的办公室 365 帐户的使用 MFA 和用于辅助身份验证的方法。下面的数据表明,这两个帐户被配置为使用 SMS 身份验证 (OneWaySMS) 和一部手机 (TwoWayVoiceMobile) 的呼吁。您还可以使用 PowerShell 操纵 MFA 设置帐户,但最乐意使用 Office 365 管理员中心,因为它是容易得多,不容易出错。
 
  这种情况的不开心的浏览器
 
  一个更好奇的问题是当 Internet Explorer 突然开始拒绝连接与 MFA (图 5)。我运行最新版本的 Windows 10 (10586 或阈值 2 生成) 和边缘和铬都很乐意使用的 MFA IE 的不。做像清除浏览器缓存和一些研究在线错误代码 50012,一切正常,但不能把一个好的答案。这种情况持续一周或更多之前我认为我应该禁用 MFA 我的帐户看到 IE 是否会作出响应。IE 工作后 MFA,禁用了并且继续工作后重新启用了 MFA,从而再一次证明,再次切换东西断断续续地往往是解决问题的好方法。
 
  规划的问题
 
  显然,MFA 不是你应该实现突发奇想,除非你想要有服务台在一连串的疯狂的用户想要访问其邮箱的呼吁下崩溃。一些前期的准备工作,特别是一些前期沟通与用户有必要确保每个人都知道什么以及如何响应提示附加的验证时。它也是明智的以验证应用程序工作顺利与 MFA 并建立常见问题 (也许基于主题的微软的常见问题),可以与用户,告诉他们什么指望在身份验证过程中共享。
 
  虽然微软已经MFA 一般供 Office 365,此功能并不局限于云服务。您可以配置 Azure 活动目录 MFA 太服务上房舍邮箱。最有价值球员布莱恩 · 里德覆盖在他的博客主题和有关使用MFA 与房地上的应用程序和规划的混合部署额外信息是可以从 Microsoft 获得。
 
  当然,如果你不使用 Office 365 但感兴趣获得交换与 MFA 有很多第三方解决方案可用,作为简单的 web 搜索将证明。说的第三方解决方案,如果你使用服务帐户授予访问权限为贵组织的监测或其他的解决方案,它通常不是好主意为这些帐户实施 MFA,除非你知道第三方解决方案支持此配置。一些解决方案已经支持 MFA,一些支持应用程序密码 (一个好的理由为什么是 ISV 不想代表租户存储密码),和一些只是不支持 MFA。
 
  MFA 能力是随着时间的推移更多应用程序中发现,将成为一种常态。例如,微软最近添加大量的客户,包括办公室 2016年应用的MFA 权利管理保护。这是信息的一个不错的功能,强调向受助人被迫自认与 MFA 之前他们可以打开受保护的文件, 的敏感性。
 
  总体来看,微软创造了 MFA Office 365 内使用方便执行和推出应用程序利用 MFA。灵活性存在,住户不必使用 MFA,如果启用,它的使用可以受限于特定的帐户。如果你今天不使用 MFA,也许现在是时间来测试它的几个帐户。毕竟,你可以从更好地保护失去了什么?
 
[本文来自电脑问题网-亚洲最大.最全.最实用的电脑问题技术网站,永久网址http://www.pcwenti.com,转载本文务必注明来源。]