Khi lập kế hoạch truy cập từ xa vào bất kỳ ứng dụng nào trong công ty, yếu tố bảo mật thông qua việc xác thực phải được thiết kế và triển khai.
Trong những bài viết trước đó, Quantrimang.com đã đề cập đến những điều cơ bản để bắt đầu hợp tác và giao tiếp hiệu quả trong Microsoft Teams. Trong bài viết này, bạn đọc sẽ tìm hiểu cách áp dụng xác thực đa yếu tố cho tất cả người dùng từ xa trong Microsoft Teams. Nguyên tắc tương tự có thể được áp dụng cho bất kỳ ứng dụng nào khác dựa trên Azure Active Directory.
Kích hoạt Azure AD Premium
Bước đầu tiên để triển khai xác thực đa yếu tố cho người dùng từ xa bằng Microsoft Teams là kích hoạt Active Azure AD Premium. Hãy truy cập Azure Active Directory, nhấp vào Security và sau đó nhấp vào Conditional Access. Một biểu ngữ ở bên phải sẽ được hiển thị, thông báo cho người dùng kích hoạt Azure Premium để có quyền truy cập vào tất cả các tài nguyên. Nhấp vào nó, rồi chọn Activate trong Azure AD Premium P2.
Bước đầu tiên là tạo ít nhất một vài nhóm, rồi sử dụng những nhóm đó để triển khai các dịch vụ và tính năng cho người dùng. Các nhóm mới này có thể được tạo trên Active Directory on-premises (nếu bạn đang đồng bộ) hoặc trong Azure Active Directory.
Để tạo Azure AD Group, nhấp vào Azure Active Directory > Groups > New Group. Điền thông tin cần thiết và chọn người dùng mong muốn, rồi nhấp vào Create để hoàn tất quy trình.
Quản lý Azure AD Premium
Việc sử dụng Azure Premium kích hoạt rất nhiều tính năng bảo vệ môi trường của bạn. Phần này sẽ tập trung vào một số tính năng trong đó để giải quyết mục tiêu của bài viết, đó là cho phép xác thực đa yếu tố cho tất cả người dùng sử dụng Microsoft Teams.
Bước đầu tiên là quản lý MFA registration policy. Xác định cách triển khai MFA cho người dùng cuối bằng cách yêu cầu họ thực hiện đăng ký và quy trình này có thể được thực hiện trước khi phát hành một dịch vụ, chẳng hạn như Microsoft Teams.
Mở Azure Active Directory trong Azure Portal. Nhấp vào Security > Identity Protection và chọn MFA registration policy. Tất cả các cài đặt sẽ được hiển thị trong Users. Chọn một nhóm (hoặc thậm chí tất cả người dùng tùy thuộc vào kích thước của công ty). Bài viết sẽ chọn nhóm đã tạo để hỗ trợ Microsoft Teams.
Tác động của cài đặt này là gì? Tất cả người dùng trong cấu hình sẽ nhận được hộp thoại như trong hình ảnh bên dưới, giúp họ cấu hình MFA của mình.
Chỉ thực thi xác thực đa yếu tố trên Microsoft Teams
Bây giờ là lúc để cấu hình truy cập có điều kiện, cho phép linh hoạt khi tạo quy tắc truy cập ứng dụng. Theo mặc định, các đăng ký mới (sau tháng 10 năm 2019) được kích hoạt bảo mật mặc định.
Nếu bạn đang có kế hoạch tận dụng quyền truy cập có điều kiện, phải vô hiệu hóa các tính năng bảo mật đó và bắt đầu kiểm soát thông qua truy cập có điều kiện. Thật không may, cả hai tính năng này không thể cùng tồn tại.
Đăng nhập vào Azure Portal, nhấp vào Azure Active Directory, chọn Properties. Tiếp theo, nhấp vào liên kết cuối cùng có nội dung Manage Security Defaults và chọn No. Nhấp vào Save.
Đã đến lúc tạo ra policy đầu tiên nhằm giải quyết yêu cầu xác thực đa yếu tố cho người dùng từ xa bằng Microsoft Teams.
Đầu tiên là xác định dải IP đang được sử dụng bởi các văn phòng. MFA cho người dùng từ xa không ở trong văn phòng công ty sẽ được yêu cầu.
Bấm vào Azure Active Directory trong Properties, nhấp vào Security. Nhấp vào Conditional Access và tất cả các policy hiện có sẽ xuất hiện ở phía bên phải. Trước khi đến các policy, nhấp vào Name locations > New location.
Điền thông tin vào vị trí văn phòng. Bạn thậm chí có thể xác định quốc gia thay vì địa chỉ IP, trong trường hợp bạn cần quyền truy cập dễ dàng hơn.
Quay lại điểm chính! Nhấp vào Policies. Không nên có bất kỳ policy nào được liệt kê. Bấm vào New.
Lúc đầu, quá trình này có vẻ phức tạp và bạn cần thời gian để làm quen. Đầu tiên, gắn nhãn cho policy và xử lý 2 phần chính, đó là: Assignments và Access Controls.
Hãy coi Assignments giống như mệnh đề “if”. Khi bất kỳ người dùng cụ thể nào đang cố gắng xác thực, họ phải đáp ứng tất cả các yêu cầu của policy. Khi đó, một hành động, được xác định trong Access Control, sẽ xảy ra.
Trong phần Assignments, các cài đặt sau sẽ được cấu hình:
- Users and Groups: Chỉ bao gồm AP6-MSTeam-Users.
- Cloud apps or actions: Chọn Microsoft Teams từ danh sách.
- Conditions: Xác định Locations, cấu hình Include: Any và Exclude: All Trusted locations.
Trong phần Access Controls, nhấp vào Grant, chọn Grant Access và tích vào tùy chọn Require multifactor authentication.
Bước cuối cùng là kích hoạt policy bằng cách chọn On trong cài đặt cuối cùng. Nhấp vào Create.