MFA:n käyttöönotto Entra ID -portaalissa

Owned by Lemonsoft
helmik. 21, 2024
3 min read

Tämä ohje on tarkoitettu yrityksen IT-henkilölle, jolla on pääsy yrityksen Microsoft Entra ID -portaaliin. Portaalissa on mahdollista ottaa käyttöön mm. kaksivaiheinen tunnistus. Tässä ohjeessa käydään läpi, miten määrität Microsoft Azure -portaalissa kaksivaiheisen tunnistuksen käyttöön.

Kaksivaiheinen tunnistautuminen (MFA, Multifactor Authentication) mahdollistaa tietoturvallisemman kirjautumisen Lemonsoft-ohjelmiin. Tällöin käyttäjältä vaaditaan kirjautumisessa käyttäjätunnuksen ja salasanan lisäksi kertakäyttöinen vahvistuskoodi käyttäjän mobiililaitteesta. Kirjautuminen ei siis onnistu ilman mobiililaitteesta tehtävää erillistä hyväksyntää.

Edellytykset

Yritykselläsi tulee olla Lemonsoftista vähintään versio 2024.2 sekä voimassa oleva tilaus, johon Microsoft Entra ID sisältyy. Microsoft Entra ID:n maksuton versio sisältyy mm. Azuren ja Microsoft 365:n tilauksiin. Lisätietoja Microsoftin sivuilta.

MFA:n käyttöönotto Entra ID -portaalissa

  1. Kirjaudu Microsoft Azure -portaaliin osoitteessa: https://portal.azure.com.

  2. Valitse Microsoft Entra ID.

    image-20240207-095935.png

     

  3. Navigoi kohtaan Security > Conditional Access ja valitse + Create new policy.

    image-20240207-103159.png

     

  4. Anna säännölle nimi, esim. MFA

  5. Valitse Assignments | Users -kohdan linkki ja aukeavasta valikosta Select users and groups, kuvan mukaisesti.

     

    Koska käyttäjiä ei ole vielä määritetty, käyttäjien ja ryhmien luettelo (näkyy seuraavassa vaiheessa) avautuu automaattisesti, kun valitset yllä olevassa Users and groups -valinnan.

  6. Selaa ja valitse listalta haluamasi ryhmät/ käyttäjät ja sen jälkeen Select.


    Esimerkissä on nyt valittu 1 käyttäjä (Teppo Testaaja), johon sääntöä sovelletaan.

  7. Seuraavaksi määritämme em. säännölle käyttöoikeudet vaatimaan kaksivaiheista tunnistautumista.
    Valitse Access controls | Grant -kohdan linkki, joka avaa oikeaan reunaan Grant-osion. Valitse Grant access ja listalta Require multifactor authentication. Kuittaa valinta valitsemalla Select.

     

  8. Enable policy -kohdassa otat säännön käyttöön valitsemillesi käyttäjille/ryhmille valitsemalla On.

  9. Ota lopuksi sääntö käyttöön valitsemalla Create. Tämän jälkeen valitsemasi ryhmät/käyttäjät voivat testata kaksivaiheista tunnistautumista.

Testaa kaksivaiheista tunnistautumista

Kaksivaiheisen todennuksen käyttöönotto vaatii Microsoft Authenticator –sovelluksen asentamista puhelimeen. Sovellus löytyy puhelimen omasta sovelluskaupasta. Tarkista ladatessa, että sovelluksen nimi on Microsoft Authenticator ja sovelluksen valmistaja Microsoft Corporation.

  1. Kun sovellus on asennettuna, avaa Microsoft Authenticator –sovellus ja mene tietokoneen selaimella InPrivate- tai incognito-tilassa osoitteeseen: https://aka.ms/mfasetup.

  2. Syötä sähköpostiosoitteesi Microsoft-kirjautumisnäyttöön ja valitse Seuraava. Valitse myös aukeavassa, kuvan kohdassa Seuraava.

     

  3. Valitse Seuraava.

     

     

  4. Valitse Seuraava.

     

  5. Avaa puhelimesi ja asenna Microsoft Authenticator -sovellus. Avaa sovellus ja etsi näytöltä Skannaa QR-koodi (+ valikosta) ja skannaa tietokoneen näytöllä näkyvä QR-koodi ja valitse Seuraava.

     

  6. Seuraavaksi järjestelmä testaa puhelimeesi asennetun sovelluksen toimivuutta ja lähettää puhelimeesi asennettuun sovellukseen kertakäyttökoodin, joka sinun tulee kirjoittaa puhelimessasi aukeavaan kenttään ja hyväksyä tämä.

     

  7. Onnistuneesta kirjautumisesta saat ilmoituksen. Jatka valitsemalla Seuraava ja lopuksi Valmis.

     

  8. Kaksivaiheinen tunnistautuminen on nyt testattu onnistuneesti. Avautuvassa näytössä voit lisätä myös uusia kirjautumismenetelmiä. Näytöltä voit kirjautua ulos oikean yläkulman valikosta valitsemalla Kirjaudu ulos.