iT邦幫忙

1

如何實現AD帳號的雙因子認證

  • 分享至 

  • xImage
  •  

實現微軟Active Directory(AD)帳號的雙因子認證(2FA),可以通過以下幾個步驟來完成。這些步驟假設你已經具備基本的AD管理知識和訪問權限。

使用Azure Active Directory(AAD)和Microsoft 365進行2FA

如果你的環境中已經有Azure AD(包括Microsoft 365訂閱),可以使用Azure AD自帶的多因素身份驗證(MFA)功能。

  1. 登入Azure門戶
    登入Azure門戶(portal.azure.com)使用全域管理員帳戶。

  2. 導航到Azure AD
    在左側導航欄中,選擇"Azure Active Directory"。

  3. 設定安全性預設值(或條件式存取政策)

    • 安全性預設值

      • 點擊"屬性",向下滾動並找到"管理安全性預設值"。
      • 將安全性預設值設置為啟用。這會強制所有使用者使用MFA。
    • 條件式存取政策

      • 選擇"安全性",然後選擇"條件式存取"。
      • 建立新的政策,設定應用範圍和條件,並選擇"授權"來啟用MFA。
  4. 用戶註冊MFA
    用戶第一次登入時,會被提示註冊MFA(可以選擇使用Microsoft Authenticator應用、短信或語音電話)。

使用第三方解決方案(如Duo Security)

如果你更喜歡使用第三方的2FA解決方案,可以考慮使用Duo Security來保護AD登入。這需要安裝和配置Duo的AD整合工具。

  1. 建立Duo帳戶並設置應用

    • 註冊Duo帳戶並登入Duo管理控制台。
    • 建立新的應用並選擇"Microsoft RDP"作為應用類型,獲取Integration Key、Secret Key和API Hostname。
  2. 安裝Duo AD整合工具

    • 下載Duo Authentication for Windows Logon工具。
    • 在你的AD域控制器或需要保護的伺服器上安裝此工具。
  3. 配置Duo

    • 在安裝過程中輸入從Duo管理控制台獲取的Integration Key、Secret Key和API Hostname。
    • 設定偏好選項,例如是否允許離線登入。
  4. 用戶註冊
    用戶需要在Duo網站上註冊並下載Duo Mobile應用,以便接收2FA請求。

使用Windows Server內建功能

對於Windows Server 2016及以後版本,Microsoft提供了MFA Server,這是一個內建的解決方案來實現雙因子認證。

  1. 安裝MFA Server

    • 下載並安裝MFA Server。
    • 開啟MFA Server管理控制台,進行基本設定。
  2. 設定AD整合

    • 在MFA Server管理控制台中,配置Active Directory整合。
    • 指定需要保護的AD域和用戶。
  3. 配置MFA方法

    • 設定MFA方法,例如短信、語音電話或應用程序通知。
  4. 用戶註冊
    用戶在登入時會被提示註冊他們選擇的MFA方法。

這些步驟應該能夠幫助你在不同的環境下實現Active Directory帳號的雙因子認證。具體步驟可能會因為版本和環境的不同而有些變化,因此請參考相應的官方文件進行詳細設定。


圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言