Hopp til hovedinnhold

Aktuelt og fagblogg

Microsoft 365Sikkerhet

Anbefalte retningslinjer for betinget tilgang Del 2 av 2

Logo letter
Evelon AS
Jon-Alfred Smith
Bilde av et skjermbilde om hvordan man logger på med to faktor autentisering

Foregående del drøftet konsepter og et sett med anbefalte retningslinjer for betinget tilgang. Les del 1 her.

Her gis en trinnvis beskrivelse av hvordan du setter dem opp. Betinget tilgang er en egenskap ved Entra ID (Azure AD). Du kan imidlertid konfigurere policyene både i portalene for Microsoft Entra (Identitet) og Intune (Enhetsbehandling).

De fleste reglene angår multifaktor-autentisering (MFA) og krever at man følger Microsofts anbefalinger. Du bør gå bort fra tekstmeldinger og taleanrop som tilleggsfaktor, dessuten Microsoft Authenticator med standard push-varsling, samt programvare- og maskinvarebasert Token OTP, som er engangspassord med en automatisk generert numerisk eller alfanumerisk streng. Sterkest autentisering får du medpassordløst,somomfatter Windows Hello, FIDO2-nøkler og godkjenning med sertifikater, foruten Authenticator med nummer-matching.

Innstillinger for Microsoft Authenticator

Bilde av Microsoft Autentication innstillinger

Dette bør være innstilligene for Authenticator: Ikke tillat bruk av Microsoft Authenticator OTP. Microsoft har slått på at du skal kreve nummermatching i stedet forvanlige push-varsler. Status for funksjonene for de neste punktene kan være satt til Microsoft-administrert, og da vil de bli aktivert på et passende tidspunkt etter forhåndsvisningen. Her er alle slått på.

Bilde av to faktor pålogging skjerm

Sånn ser påloggingen ut på en Mac med Safari og en iPhone med Microsoft Authenticator. På mobilen må du taste inn nummert som vises i nettleseren, og bekrefte at det er deg. Her er det valgt Vis applikasjonsnavn i push- og passordløse varsler og Vis geografisk plassering i push- og passordløse varsler. Det siste punktet er ikke på skjermbildet: Microsoft Authenticator på følgeapplikasjoner. Authenticator på en iPhone krever i tillegg autentisering med ansiktsgjenkjenning (Face ID).

Selvbetjent tilbakestilling av passord

skjermbilde av passord reset i microsoft

Du bør rulle ut tjenesten Selvbetjent tilbakestilling av passord. Det sparer IT for mye arbeid og gjør det lettere for ansatte. Et sikkerhetsmoment er at brukere selv kan ha mistanke om at passordet er kompromittert. Om du benytter Entra ID Premium P2 med Identity Protection, er dette et krav. Du bør kreve to autentiseringsmetoder for alle, noe som er standard for administratorer.

Betinget tilgang og identitetsbeskyttelse

Vi ønsker å kanalisere alle ressurstilganger gjennom policymotoren Betinget tilgang, som fungerer somsentralt beslutnings- og håndhevelsespunkt. Om man tar sikkerhet og Microsofts Zero Trust-modell alvorlig, er det nødvendig å plusse på med lisenser på Entra ID Premium P2 for identitetsbeskyttelse. Den sørger for kontinuerlig å evaluere om man har å gjøre med kompromitterte identiteter og risikofylte pålogginger (sesjonsrisiko).Cloud App Security heter nå Defender for Cloud Apps.

Deaktivere Sikkerhetsstandarder

Nye tenanter er satt opp med Sikkerhetsstandarder. Før du kan benytte betinget tilgang, må du deaktivere Sikkerhetsstandarder i admin-sentret for Microsoft Entra. Gå inn i Entra Identity, velg Overview og Properties. Klikk på Manage security defaults. Endre innstillingen fra Enabled (recommended) til Disabled (not recommended) og huk av for My organization is using Conditional Access.

Anbefalte policyer for betinget tilgang

Det er disse reglene skal konfigurere. De bidrar til å sette opp en grunnleggende sikkerhet. Så kan du skrittvis forfine oppsettet, som for eksempel at det bare er bestemte maskiner fra bestemte lokasjoner som skal ha tilgang til bestemte applikasjoner, så som HR-systemet og andre følsomme ressurser. Retningslinjene er beskrevet i del I.

Konfigurere betinget tilgang

Gå inn i Microsoft 365-administrasjonssenter. Velg Identitet (Identity). Utvid Protection og klikk på Conditional Access. Klikk på Create New Policy. Vi starter med Require MFA for admins. Verken Entra ID eller Intune er oversatt til norsk; derfor holder vi oss til engelsk.

Krev MFA for administratorer

Du må gi policyen et navn, angi hvem den skal anvendes på, hvilke skyapper eller handlinger den skal gjelde for. Så setter du opp betingelser og tilgangskontroller. Hendig mekanismerer at du kan aktivere regleri rapporteringsmodus og også deaktivere dem uten at du behøver å slette dem.

Tomme felter i tabellene nedenfor er ment å være tomme. Her skal ingenting fylles ut.

Krev MFA for eksterne og gjestebrukere

Blokker alle eldre pålogginger som ikke støtter MFA

policier for Blokker alle eldre pålogginger som ikke støtter MFA

Krev MFA for alle brukere

Policier for krev MFA for alle brukere

Krev Azure AD-enhet som er i samsvar

Denne policyen krever at du har satt opp regler for samsvar i Intune. Kjør den først i rapportering, så du kan være sikker på at du ikke skaper problemer for brukerne dine.

Navngitte lokasjoner

For blokkerte land må du først opprette en liste over land du ønsker å blokkere. Velg alle, så klarerer du de landene du godtar pålogginger fra.Policyen bør også kjøres i rapportering, så du ikke stenger deg selv ute. Når alt er klart, aktiverer du den.

Blokkerte land

Krev MFA og passord-endring når høyrisikobrukere oppdages

Denne policyen krever en lisens på Entra ID Premium P2.

Krev MFA når risikable pålogginger oppdages

Denne policyen krever en lisens på Entra ID Premium P2.

Krev multifaktor-autentisering for Azure-administrasjon

Avsluttende ord

Betinget tilgang er et omfattende kapittel og får stadig nye funksjoner. Her var hensikten å få deg i gang for å sikre virksomheten. Det burde tjene som et godt utgangspunkt.

Publisert:

Vi hjelper gjerne til med å finne den beste løsningen for din bedrift

Ta kontakt med oss for en uforpliktende prat!

Ta kontakt

Relevante kundeprosjekter

Dette leverer vi for våre kunder

Mer fra fagbloggen

Få faglig påfyll og bli inspirert!