Заранее благодарим за то, что прочитали это.
Я хочу потребовать от пользователей использовать мобильное приложение Azure для многофакторной проверки подлинности при входе в свои почтовые ящики Office 365. Мне не нужно использовать MFA для защиты других ресурсов. У меня есть ADFS на Windows 2012 R2, развернутый сегодня локально.
Нужно ли мне устанавливать локальный сервер многофакторной аутентификации? Или я могу просто настроить ADFS, как описано на https://docs.microsoft.com/en-us/azure/active-directory/authentication/howto-mfa-adfs#secure-azure-ad-resources-using-ad-fs а не установить сервер многофакторной аутентификации? Я бы предпочел избежать этой установки, если она мне не нужна.
Кроме того, достаточно ли для этого лицензии Enterprise Mobility + Security E3, если я куплю по одной для каждого пользователя?
1) Нужно ли мне устанавливать локальный сервер многофакторной аутентификации?
Вы спрашиваете, в чем разница между тем, что называется «сервером MFA» и тем, что называется «Azure MFA». Если все, что вы хотите защитить, - это ресурсы Office 365, тогда все, что вам нужно, это Azure MFA. Прочтите здесь, чтобы узнать, какая версия вам нужна в различных сценариях: https://docs.microsoft.com/en-us/azure/active-directory/authentication/concept-mfa-whichversion
Однако, и это очень важно, поскольку вы используете ADFS 3.0, вам необходимо будет настроить сервер Azure MFA локально. Подробнее об этом читайте здесь: https://docs.microsoft.com/en-us/azure/active-directory/authentication/howto-mfaserver-adfs-2012
У меня нет опыта работы с Azure MFA и ADFS 3.0. Я рекомендую выполнить обновление до ADFS 4.0 на Windows Server 2016, прежде чем переходить на Azure MFA. Sever 2016 изначально поддерживает Azure MFA и НЕ требует установки или использования сервера Azure MFA в локальной среде. Все намного проще.
2) Могу я просто настроить MFA, как описано в ...?
Нет. Эта страница является радикальным упрощением того, что необходимо для настройки Azure MFA. В нем не рассматривается настройка ADFS с помощью Server 2012 или Server 2016. Я не особо понимаю, почему он вообще существует, поскольку это всего лишь частичный фрагмент сайта, на который я ссылался выше, который, очевидно, гораздо более сложен. Не следуйте ему, это не приведет вас туда, куда вы хотите. Требуется гораздо больше усилий и планирования. Например, как вы собираетесь защищать своих пользователей, настраивая методы второго фактора, которые вы хотите разрешить, обход доверенных устройств при использовании регистрации устройств Azure AD, пароли приложений и как обновлять устройства, отличные от Windows, единый вход, условный доступ, и т.п.
3) Достаточно ли для этого лицензии Enterprise Mobility + Security E3, если я куплю по одной для каждого пользователя?
Да. Полный опыт работы с Azure MFA доступен с любой подпиской Active Directory Premium, которая включена практически в любой пакет лицензий Office 365, включая мобильность предприятия. Дополнительные сведения о различных версиях Azure MFA и лицензировании можно найти здесь: https://docs.microsoft.com/en-us/azure/active-directory/authentication/concept-mfa-licensing#how-to-get-azure-multi-factor-authentication-1
Мое собственное замечание по этому поводу: вложите средства в Server 2016 и обновите ADFS до 4.0. Он имеет встроенную поддержку Azure MFA, и почти каждый его компонент значительно переработан по сравнению с предыдущими версиями Windows Server со всеми видами улучшений, готовых к работе в облаке. Избавьте себя от головной боли.