Foregående del drøftet konsepter og et sett med anbefalte retningslinjer for betinget tilgang. Les del 1 her.
Her gis en trinnvis beskrivelse av hvordan du setter dem opp. Betinget tilgang er en egenskap ved Entra ID (Azure AD). Du kan imidlertid konfigurere policyene både i portalene for Microsoft Entra (Identitet) og Intune (Enhetsbehandling).
De fleste reglene angår multifaktor-autentisering (MFA) og krever at man følger Microsofts anbefalinger. Du bør gå bort fra tekstmeldinger og taleanrop som tilleggsfaktor, dessuten Microsoft Authenticator med standard push-varsling, samt programvare- og maskinvarebasert Token OTP, som er engangspassord med en automatisk generert numerisk eller alfanumerisk streng. Sterkest autentisering får du medpassordløst,somomfatter Windows Hello, FIDO2-nøkler og godkjenning med sertifikater, foruten Authenticator med nummer-matching.
Innstillinger for Microsoft Authenticator
Dette bør være innstilligene for Authenticator: Ikke tillat bruk av Microsoft Authenticator OTP. Microsoft har slått på at du skal kreve nummermatching i stedet forvanlige push-varsler. Status for funksjonene for de neste punktene kan være satt til Microsoft-administrert, og da vil de bli aktivert på et passende tidspunkt etter forhåndsvisningen. Her er alle slått på.
Sånn ser påloggingen ut på en Mac med Safari og en iPhone med Microsoft Authenticator. På mobilen må du taste inn nummert som vises i nettleseren, og bekrefte at det er deg. Her er det valgt Vis applikasjonsnavn i push- og passordløse varsler og Vis geografisk plassering i push- og passordløse varsler. Det siste punktet er ikke på skjermbildet: Microsoft Authenticator på følgeapplikasjoner. Authenticator på en iPhone krever i tillegg autentisering med ansiktsgjenkjenning (Face ID).
Selvbetjent tilbakestilling av passord
Du bør rulle ut tjenesten Selvbetjent tilbakestilling av passord. Det sparer IT for mye arbeid og gjør det lettere for ansatte. Et sikkerhetsmoment er at brukere selv kan ha mistanke om at passordet er kompromittert. Om du benytter Entra ID Premium P2 med Identity Protection, er dette et krav. Du bør kreve to autentiseringsmetoder for alle, noe som er standard for administratorer.
Betinget tilgang og identitetsbeskyttelse
Vi ønsker å kanalisere alle ressurstilganger gjennom policymotoren Betinget tilgang, som fungerer somsentralt beslutnings- og håndhevelsespunkt. Om man tar sikkerhet og Microsofts Zero Trust-modell alvorlig, er det nødvendig å plusse på med lisenser på Entra ID Premium P2 for identitetsbeskyttelse. Den sørger for kontinuerlig å evaluere om man har å gjøre med kompromitterte identiteter og risikofylte pålogginger (sesjonsrisiko).Cloud App Security heter nå Defender for Cloud Apps.
Deaktivere Sikkerhetsstandarder
Nye tenanter er satt opp med Sikkerhetsstandarder. Før du kan benytte betinget tilgang, må du deaktivere Sikkerhetsstandarder i admin-sentret for Microsoft Entra. Gå inn i Entra Identity, velg Overview og Properties. Klikk på Manage security defaults. Endre innstillingen fra Enabled (recommended) til Disabled (not recommended) og huk av for My organization is using Conditional Access.
Anbefalte policyer for betinget tilgang
Det er disse reglene skal konfigurere. De bidrar til å sette opp en grunnleggende sikkerhet. Så kan du skrittvis forfine oppsettet, som for eksempel at det bare er bestemte maskiner fra bestemte lokasjoner som skal ha tilgang til bestemte applikasjoner, så som HR-systemet og andre følsomme ressurser. Retningslinjene er beskrevet i del I.
Konfigurere betinget tilgang
Gå inn i Microsoft 365-administrasjonssenter. Velg Identitet (Identity). Utvid Protection og klikk på Conditional Access. Klikk på Create New Policy. Vi starter med Require MFA for admins. Verken Entra ID eller Intune er oversatt til norsk; derfor holder vi oss til engelsk.
Krev MFA for administratorer
Du må gi policyen et navn, angi hvem den skal anvendes på, hvilke skyapper eller handlinger den skal gjelde for. Så setter du opp betingelser og tilgangskontroller. Hendig mekanismerer at du kan aktivere regleri rapporteringsmodus og også deaktivere dem uten at du behøver å slette dem.
Tomme felter i tabellene nedenfor er ment å være tomme. Her skal ingenting fylles ut.
Krev MFA for eksterne og gjestebrukere
Blokker alle eldre pålogginger som ikke støtter MFA
Krev MFA for alle brukere
Krev Azure AD-enhet som er i samsvar
Denne policyen krever at du har satt opp regler for samsvar i Intune. Kjør den først i rapportering, så du kan være sikker på at du ikke skaper problemer for brukerne dine.
Navngitte lokasjoner
For blokkerte land må du først opprette en liste over land du ønsker å blokkere. Velg alle, så klarerer du de landene du godtar pålogginger fra.Policyen bør også kjøres i rapportering, så du ikke stenger deg selv ute. Når alt er klart, aktiverer du den.
Blokkerte land
Krev MFA og passord-endring når høyrisikobrukere oppdages
Denne policyen krever en lisens på Entra ID Premium P2.
Krev MFA når risikable pålogginger oppdages
Denne policyen krever en lisens på Entra ID Premium P2.
Krev multifaktor-autentisering for Azure-administrasjon
Avsluttende ord
Betinget tilgang er et omfattende kapittel og får stadig nye funksjoner. Her var hensikten å få deg i gang for å sikre virksomheten. Det burde tjene som et godt utgangspunkt.