Использование ADFS в Windows 2012 R2 с многофакторной аутентификацией Azure

Question

Использование ADFS в Windows 2012 R2 с многофакторной аутентификацией Azure

Заранее спасибо за чтение этого.

Я хочу, чтобы пользователи использовали мобильное приложение Azure для многофакторной аутентификации при входе в свои почтовые ящики Office 365. Мне не нужно использовать MFA для обеспечения любых других ресурсов. У меня ADFS на Windows 2012 R2 развернута сегодня на месте.

Нужно ли устанавливать локальный многофакторный сервер аутентификации? Или я могу просто настроить ADFS, как описано на https://docs.microsoft.com/en-us/azure/active-directory/authentication/howto-mfa-adfs а не установить многофакторный сервер аутентификации? Я бы предпочел избежать этой установки, если она мне не нужна.

Кроме того, достаточно ли для этого лицензии "Enterprise Mobility + Security E3", если я куплю ее для каждого пользователя?

1

two-factor-authentication

Источник

John Allen 17 авг '18 в 21:59

1 ответ

Другие вопросы по тегам two-factor-authentication

Appleoddity 18 авг '18 в 05:50 2018-08-18 05:50 · Answer 1 · 2018-08-18 05:50

1) Нужно ли устанавливать локальный сервер многофакторной аутентификации?

Вы спрашиваете, в чем разница между тем, что называется "Сервер MFA", и тем, что называется "Azure MFA". Если все, что вы хотите защитить, - это ресурсы Office 365, то все, что вам нужно, это Azure MFA. Прочитайте здесь, чтобы узнать, какая версия вам нужна в различных сценариях: https://docs.microsoft.com/en-us/azure/active-directory/authentication/concept-mfa-whichversion

Тем не менее, и это очень важно, потому что вы используете ADFS 3.0, вам нужно настроить Azure MFA Server на месте. Подробнее об этом читайте здесь: https://docs.microsoft.com/en-us/azure/active-directory/authentication/howto-mfaserver-adfs-2012

У меня нет опыта работы с Azure MFA и ADFS 3.0. Я рекомендую обновить ADFS 4.0 на Windows Server 2016, прежде чем переходить на Azure MFA. Sever 2016 изначально поддерживает Azure MFA и НЕ требует установки или использования Azure MFA Server в помещении. Это намного проще.

2) Могу ли я просто настроить MFA, как описано в...?

Нет. Эта страница значительно упрощает настройку Azure MFA. Он не охватывает настройку ADFS с Server 2012 или Server 2016. Я не совсем понимаю, почему он существует, поскольку все это частичный фрагмент сайта, на который я ссылался выше, что, очевидно, показывает гораздо большую вовлеченность. Не следуйте за этим, поскольку это не приведет вас туда, куда вы хотите идти. Там гораздо больше, и планирование необходимо. Например, как вы собираетесь проверять своих пользователей, настраивать, какие второстепенные методы вы хотите разрешить, обходить доверенные устройства при использовании регистрации устройства Azure AD, пароли приложений и как обновлять устройства, отличные от Windows, единый вход, условный доступ, и т.п.

3) Кроме того, достаточно ли для этого лицензии "Enterprise Mobility + Security E3", если я куплю ее для каждого пользователя?

Да. Полная версия Azure MFA доступна для любой подписки на активные каталоги, включенной практически в любой пакет лицензий Office 365, включая корпоративную мобильность. Дополнительную информацию о различных версиях Azure MFA и лицензировании можно найти здесь: https://docs.microsoft.com/en-us/azure/active-directory/authentication/concept-mfa-licensing

Мое собственное примечание по этому поводу: сделайте инвестиции в Server 2016 и обновите ADFS до 4.0. Он имеет встроенную поддержку Azure MFA, и почти каждый его компонент значительно переработан по сравнению с предыдущими версиями Windows-сервера со всеми видами улучшений, готовых к работе в облаке. Избавь себя от головной боли.