使用 Azure MFA 進行啟用

 

當設定 PAM 角色,您可以指定候選使用者啟動角色所需的授權需求。 PAM 授權活動可實作的選項包括:

  • 角色擁有者核准
  • Azure MFA

如果未啟用檢查,會針對其角色自動啟動候選使用者。

Microsoft Azure Multi-Factor Authenticatio (MFA) 是一種驗證服務,會要求使用者透過行動應用程式、手機或簡訊驗證其登入。 此服務可與 Microsoft Azure Active Directory 搭配使用,也可用為雲端及內部部署企業應用程式的服務。 對於 PAM 案例,無論候選使用者之前如何進行 Windows PRIV 網域的驗證,Azure MFA 均會提供可用來授權的其他驗證機制。

先決條件

如需使用 Azure MFA with MIM,您需要:

  • 每個提供 PAM 的 MIM 服務都需要有網際網路存取,以便連絡 Azure MFA 服務
  • Azure 訂用帳戶
  • 候選使用者需具備 Azure Active Directory Premium 授權,或其他授權 Azure MFA 的方式
  • 所有候選使用者的電話號碼

建立 Azure MFA 提供者

在本節中,您將在 Microsoft Azure Active Directory 中設定您的 Azure MFA 提供者。 如果您已經在單獨使用 Azure MFA 或已設定 Azure Active Directory Premium,請跳至下一節。

  1. 開啟網頁瀏覽器,並以 Azure 訂用帳戶管理員的使用者身分連線到 Azure 管理入口網站 https://manage.windowsazure.com

  2. 在左下角按一下 [新增]****。

  3. 按一下 [應用程式服務] > Active Directory > [多重要素驗證提供者] > [快速建立]****。

  4. 在 [名稱]**** 欄位中輸入 PAM,並在 [使用量模型] 欄位中選取每個已啟用的使用者。 如果您已經有 Azure AD 目錄,請選取該目錄。 最後,按一下 [建立]****。

下載 Azure MFA 服務認證

接下來,您將產生一份檔案,內含 MFA 用以連絡 Azure MFA 時所需的驗證資料。

  1. 開啟網頁瀏覽器,並以 Azure 訂用帳戶管理員的身分連線到 Azure 管理入口網站 https://manage.windowsazure.com

  2. 按一下 [Azure 入口網站] 功能表的 Active Directory,然後一下 [多重要素驗證提供者]**** 索引標籤。

  3. 按一下 PAM 要使用的 Azure MFA 提供者,再按一下 [管理]****。

  4. 在新視窗的左面板中,按一下 [設定]**** 下的 [設定]

  5. 在 [Azure Multi-Factor Authentication]**** 視窗中,按一下 [下載]**** 下方按一下 [SDK]****。

  6. 按一下語言為 SDK for ASP.net 2.0 C# 之檔案 ZIP 欄中的下載連結。

Azure MFA 啟用

  1. 將產生的 ZIP 檔案複製到每一個安裝有 MIM 服務的系統。

請注意,ZIP 檔案包含金鑰資料,可用於向 Azure MFA 服務驗證身分。


設定 Azure MF 的 MIM 服務

  1. 以管理員或安裝 MIM 時所使用的使用者身分,登入安裝 MIM 服務的電腦。

  2. 在 MIM 服務的安裝目錄 (例如 C:\Program Files\Microsoft Forefront Identity Manager\2010\Service\MfaCerts) 建立新的目錄資料夾。

  3. 使用 Windows 檔案總管瀏覽至上節中所下載之 ZIP 檔案的 “pf\certs” 資料夾,再將 cert_key.p12 檔案複製到新目錄中。

  4. 使用 Windows 檔案總管瀏覽至 ZIP 檔案的 “pf” 資料夾,並在文字編輯器中開啟 pf_auth.cs 檔案。 如果您並未安裝文字編輯器,可使用 Wordpad 來檢視檔案。

  5. 請找出這三個參數:LICENSE_KEY、GROUP_KEY、CERT_PASSWORD。

MFA 啟用

  1. 使用記事本開啟 C:\Program Files\Microsoft Forefront Identity Manager\2010\Service 中的 MfaSettings.xml

  2. pf_auth.cs 檔中 LICENSE_KEY、GROUP_KEY、CERT_PASSWORD 參數的值,複製到其在 MfaSettings.xml 檔案中相對的 xml 元素。

  3. 在 "CertFilePath" XML 元素中,指定之前解壓縮的 cert_key.p12 檔案的完整路徑名稱。

  4. 在 "username" 元素中輸入任何使用者名稱。

  5. 在 "DefaultCountryCode" 元素中輸入國碼以便撥號給您的使用者,例如 1 是美國及加拿大的國碼。 如果使用者用電話號碼註冊但沒有提供國碼,就能使用此值。 如果使用者的電話號碼包括國際國碼,與組織中設定的電話號碼不同,則必須在要註冊的電話號碼中納入該國碼。

  6. 在 MIM 服務資料夾 C:\Program Files\Microsoft Forefront Identity Manager\2010\Service 中儲存並覆寫 MfaSettings.xml 檔案。


請注意:在程序快要結束時,請確定檔案 MfaSettings.xml 或該檔案的任何副本或 ZIP 檔案並未設定為可公開讀取。


為 Azure MFA 啟用 PAM 使用者

如果使用者要啟用需要 Azure MFA 的使用者,MIM 中必須儲存該使用者的電話號碼。 有兩種方法可以設定此屬性。

首先,New-PAMUser 命令會從 CORP 網域的使用者目錄項目中,將電話號碼複製到 MIM 服務資料庫。 請注意這項作業只需進行一次。

接下來,Set-PAMUser 命令會更新 MIM 服務資料庫中的電話號碼屬性。 例如,以下項目會取代 MIM 服務中的現存 PAM 使用者電話號碼。 這些服務者的目錄項目則維持不變。

Set-PAMUser (Get-PAMUser -SourceDisplayName Jen) -SourcePhoneNumber 12135551212

為 Azure MFA 啟用 PAM 角色

當 PAM 角色的所有候選使用者都將電話號碼儲存在 MIM 服務資料庫中,就能為 Azure MFA 啟用該角色。 可使用 New-PAMRole 或 Set-PAMRole 命令進行此動作。 例如,

Set-PAMRole (Get-PAMRole -DisplayName "R") -MFAEnabled 1

您可以將參數 "-MFAEnabled 0" 指定為 Set-PAMRole 命令,以停用角色的 Azure MFA。

疑難排解

您可以在 Privileged Access Management 事件日誌中找到下列事件:

識別碼嚴重性產生者說明
101錯誤MIM 服務使用者未完成 Azure MFA (例如,並未接聽電話)
103信息MIM 服務使用者已在啟用期間完成 Azure MFA
825警告PAM 監視服務已變更電話號碼

如需了解無法接聽 (電話事件 101) 的詳細資訊,您也可以從 Azure MFA 檢視或下載報告。

  1. 開啟網頁瀏覽器,並以 Azure AD 全域管理員的身分連線到 Azure 管理入口網站 https://manage.windowsazure.com

  2. 按一下 [Azure 入口網站] 功能表的 Active Directory,然後一下 [多重要素驗證提供者]**** 索引標籤。

  3. 按一下 PAM 要使用的 Azure MFA 提供者,再按一下 [管理]****。

  4. 在新視窗中,按一下 [使用量]****,再按一下 [使用者詳細資料]****。

  5. 選取時間範圍,並依其他報告欄位中的 [名稱]**** 選取核取方塊。 按一下 [匯出到 CSV]****。

  6. 產生報告之後,您可以在入口網站中加以檢視;如果 MFA 報告很大,可以下載為 CSV 檔.. AUTH TYPE 欄中的 ”SDK” 值表示與 PAM 啟動要求相關的列:這些是來自 MIM 或其他內部部署軟體的事件。 [USERNAME]**** 欄位是 MIMI服務資料集中的使用者物件 GUID。 如果呼叫不成功,AUTHD 欄中的值會是 “No”,且 CALL RESULT 欄中的值會包含失敗原因的詳細資料。

顯示: