Blog鏈接:https://blog.51cto.com/13637423
隨着科技的發展,數據竊取也變得很普遍,傳統的ID和密碼管理方式基本都是信息存儲在數據庫中,無論是否加密,一旦竊取數據庫,就會導致數據泄密,所以只依賴於數據庫的認證系統是遠遠不夠的,如果要增強數據的安全性,提倡多重身份驗證方式,即 Multi-factor authentication的縮寫,即動態驗證碼比固定靜態的登錄指令更安全,可以大大減少在線身份盜竊和欺詐的發生率。
Microsoft Azure 也提供了多重身份驗證機制,可以幫助用戶對數據和應用程序的訪問,驗證形式如下:
如果你擁有企業Microsoft 365 E3或者E5 訂閱的全局管理員身份,那麼你可以設置和修改MFA,Microsoft Azure的工作原理圖如下:
你可以利用MFA機制,降低企業賬戶被破壞的機會,但由於業務需要,企業員工可能會與企業外部用戶通過Office 365 OneDrive或者SharePoint 進行協同工作,由於外部用戶使用的個人電子郵件地址不符合Security Policy,爲了安全起見,對Guest 用戶進行配置MFA尤爲重要,如果Guest用戶的用戶名和密碼被盜,還擁有第二個身份驗證機制,這將大大降低***訪問數據的可能性。
那麼如何來配置Guest用戶的MFA呢,過程如下:
- 全局管理員在Azure中,在Users中邀請外部用戶作爲Guest身份存儲在Azure Active Directory中。
- 全局管理員在Azure中配置Conditional access,針對Guest 用戶啓用MFA Policy
- End User share document /文件夾給外部用戶
- 外部用戶登錄,配置MFA 認證方式,訪問文檔
全局管理員在Azure中,邀請外部用戶作爲Guest,如下圖所示:
全局管理員在Azure中配置Conditional access,操作過程如下:
1.登錄網站:https://www.office.com/
2.在快速啓動器中,點擊:Azure Active Directory,如下圖所示:
3.在Azure 訂閱的All Services 頁面,搜索Conditional Access,如下圖所示:
4.在Conditional Access頁面,點擊New Policy,如下圖所示:
5.在新建Policy頁面,命名 Guest MFA,Assignments標籤下,選擇 Users and Groups->Select Users and Groups->All Guest and external Users,如下所示:
6.在Cloud Apps or actions,配置Office 365 ,如下圖所示:
7.在 Access Controls 標籤下,選擇Grant->Grant Access-> Require multi-factor authentication,選擇Select,點擊Enable Policy:On,然後點擊“Create”,如下圖所示:
設置完成之後,End User share document /文件夾給Guest用戶,比如OneDrive 中共享一個文檔給外部用戶,如下圖所示:
驗證Guest用戶訪問分享的文檔,MFA生效的具體步驟:
1.Guest 用戶收到受邀請的電子郵件,點擊“Get Started”,如下圖所示:
2.授予相關權限,點擊“Accept”如下圖所示:
3.跳轉到Office 365 驗證界面,點擊next,如下圖所示:
4.選擇MFA驗證方式,比如send me a code by text message,如下圖所示:
5.用戶輸入驗證碼進行驗證,點擊“Verify”,如下圖所示:
6.再次點擊郵件中分享文檔的鏈接,跳轉到Office 365 驗證頁面,提示給手機發送code,正常輸入後,可訪問文檔。