Apple macOS forener kraften i Unix med enkelhet og eleganse. Sikkerheten er bygget inn fra grunnen av, med en integrert tilnærming til maskin- og programvare og tjenester. Microsoft har tilpasset Office for Mac til det flytende grensesnittet i Big Sur. Appene kjører rett på Apples nye Silicon-prosessorer (M1), uten oversettelse, for forbedret ytelse og batterilevetid. Mac er som skapt for Microsoft 365. Men det gjenstår en svakhet. Macer er ikke fullverdige medlemmer i Azure AD. Bruker er lokal, ingen skybruker. Det gir ikke samme påloggingsopplevelse som på Windows.
En Mac har heller ikke et infrarødt kamera som gjenkjenner ansikter for passordløs pålogging, noe som er standard på Windows-enheter i samme prisklasse. Men nyere Macer har Touch ID, som avleser fingeravtrykk. Ved å kombinere sikkerhetsmekanismene på en Mac med samsvarspolicyer i Intune, betinget tilgang og Microsoft Enterprise SSO-plugin for Apple-enheter (i forhåndsversjon) kan vi gi en tilnærmelsesvis Windows Hello-opplevelse på Mac basert på biometri. Da slipper vi å plage Mac-brukere med gjentatte oppfordringer om å oppgi passord med totrinnsbekreftelse.
Betinget tilgang og identitetsbeskyttelse
Betinget tilgang og beskyttelse av identiteter danner hjørnesteinene i Microsofts forståelse av sikkerhetsmodellen Null tillit. Policyer for betinget tilgang angir et sett av betingelser som vurderes når en bruker ber om adgang. Kontrollene bestemmer i hvilken form det skal skje. I utgangspunktet inngår brukere og grupper, enheter og apper, samt lokasjoner som betingelser. Brukere kan være meldt inn i Azure AD, være fødererte eller ha en Microsoft-konto. Plattformene omfatter Android, iOS/iPadOS, macOS og Windows. Plassering strekker seg fra internt bedriftsnettverk via lokalt Internett til landegrenser og GPS-koordinater. Regler for tilgang kan også styres for klient- og mobilapper med appbeskyttelsespolicyer.
Betingelser er enkle hvis–så-setninger: Hvis noe er tilfellet, gjør dette. Hvis du logger på fra en Mac som er registrert i Intune og er i samsvar med virksomhetens retningslinjer, kan du få tilgang til bedriftsressurser – om de nå befinner seg i Microsoft-skyen, håndteres av tredjeparts skyapper eller er lokale, publisert via Azure AD Application Proxy eller kontrollere for nettverksleveranse som Citrix og ZScaler. Andre policyer kan også slå inn. Om du kommer fra lokalnettet, kan du få direkte tilgang. Med en pålogging over et fiendtlig Internett kan det være krav om totrinnsbekreftelse, ofte omtalt som multifaktor-autentisering (MFA).
Konseptet betinget tilgang er kanskje lettere å forstå med utgangspunkt i et scenario fra dagliglivet. Du skal inn på et utsted. Her står det en dørvakt som kontrollerer flere forhold: Du må være gammel nok, ikke være for beruset eller fremfusende i din atferd og være kledd noenlunde skikkelig. Om du oppfyller alle betingelser, slipper du inn. Men du kan også risikere at vakten sier: «Sorry, kompis. Se å få på deg finstasen om du vil inn her.» Overført på en pålogging kan det bety at enheten du logger på fra, ikke er i samsvar eller viser tegn på at den er infisert av skadevare. Du må rette opp i dette før du kommer inn i Microsoft 365-organisasjonen din.
Beskyttelse av identiteter omfatter alle aspekter i en identitetsdreven sikkerhetsmodell, som å hindre brukere i å velge svake passord og kreve sterk autentisering med MFA eller passordløs godkjenning. Her siktes det imidlertid til Azure AD Identity Protection, som lar deg sette opp policyer for automatisert utbedring av brukerrisiko og påloggingsrisiko. Ved en brukerrisiko er legitimasjonen kommet på avveie, og vi tillater tilgang under forutsetning av at passordet endres. Selvbetjent tilbakestilling av passord er en innebygd funksjon i Microsoft 365. En påloggingsrisiko flagges ved pålogginger som er utenom det vanlige, som fra anonyme nettverk, fra eiendommelige steder, til uvanlige tider. Her godtar vi også tilgang, men krever MFA.
Defender for Endpoint figurerer som plattform i figuren ovenfor, noe den strengt tatt ikke er. Det er en omfattende løsning som forebygger, oppdager, avverger og svarer på skadelig programvare og avanserte angrep på endepunkter. Du kan integrere Defender for Endpoint med Intune som en tjeneste for mobilt trusselforsvar. I en samsvarspolicy angir du tillatt risikonivå. Om det overstiges, settes enhetene til ikke å være i overensstemmelse. Basert på dine videre policyer for betinget tilgang, kan det hindre at brukere kan logge på fra enheten. Funksjonaliteten støttes på Windows 10 og høyere, Android og iOS/iPadOS, men dessverre ikke på macOS ennå. Betingelsene som inngår i betinget tilgang blir:
- Bruker og gruppe, enheter og apper, samt sted (proaktivt)
- Bruker- og påloggingsrisiko (dynamisk i nær sanntid)
- Trusler og sårbarheter på endepunkter (reaktivt)
Basert på en samlet evaluering av policyene som er gyldig for en bruker, settes det opp en effektiv policy. Her – som i mange andre sammenhenger – benyttes det i utstrakt grad kunstig intelligens (KI) med maskinlæring. Mot denne bakgrunn trer kontrollene i aksjon: Tillat eller blokker tilgang, gi begrenset tilgang, krev MFA, håndhev tilbakestilling av passord og blokker eldre protokoller.
Multifaktor-autentisering (MFA)
Det er tre måter å sette opp MFA på i Microsoft 365: Eldre MFA per bruker, Sikkerhetsstandarder og ved hjelp av betinget tilgang. Den gammeldagse metoden, som også omtales som Office 365 MFA, konfigureres i Microsoft 365 administrasjonssenter. Denne fremgangsmåten er ikke anbefalt lenger og overstyrer de to andre. Her må du kontrollere at alle brukere er deaktivert. Velg Brukere, Aktive Brukere, Godkjenning med flere faktorer.
Under tjenesteinnstillinger finner du alternativer for bekreftelse. Huk av for Varsling via mobilapp og Bekreftelseskode fra mobilapp eller maskinvaretoken. Anrop eller tekstmelding til telefon (SMS) ansees ikke som like sikkert. Taleanrop kan avlyttes; svindel med SIM-kort er utbredt. Du skal ikke angi noen klarerte nettverk her.
Du behøver ikke å huke av for å tillate at flerfaktorautentisering huskes på enheter. Standardverdien er 14 dager. Om du krysser av her, sett den til minst 90 dager. Maks er 365. For å sikre en optimal brukeropplevelse bør du minimere MFA-oppfordringer. Microsoft anbefaler påloggingsfrekvens for betinget tilgang for å utvide levetiden for sesjoner på klarerte enheter, plasseringer eller økter med lav risiko.
Standardverdier er det enkleste måten å sette opp MFA på. Du går inn i portalen for Azure AD, velger egenskaper og blar deg ned til Manage Security defaults. Dermed krever du at alle må registrere seg for MFA i løpet av 14 dager. Administrative roller (og privilegerte handlinger i Azure) krever alltid MFA, vanlige brukere bare når det er nødvendig – vurderingen foretas ved hjelp av maskinlæring. Eldre protokoller som ikke støtter moderne godkjenning, blokkeres. Problemet med Standardverdier er at de er lite fleksible; du kan ikke legge til unntak eller kombinere dem med policyer for betinget tilgang.
Dermed bør du gjenskape reglene fra Sikkerhetsstandarder med betinget tilgang, noe de første fire policyene gjør. Det du ikke får med, er å gi brukere en frist på 14 dager til å registrere seg for MFA, heller ikke en dynamisk evaluering av påloggingsrisiko basert på maskinlæring. Disse to egenskapene finner du i Azure AD Identity Protection.
I policyen som krever MFA for alle brukere velger vi en påloggingsfrekvens på minst 90 dager. Det betyr at du ikke behøver å oppgi MFA fra enheter som huskes, mer enn fire ganger i året. Med Azure AD Identity Protection vil du i praksis måtte bruker MFA oftere, fordi reglene her overstyrer standardpolicyer, som når du er på et uvant sted, i et bibliotek eller en café i en ny by. En vedvarende nettlesersesjon lar brukerne forbli pålogget etter å ha lukket og åpnet nettleservinduet igjen.
Begrense adgang til organisasjonen
Regelen Access from trusted devices angir at vi bare godtar pålogginger fra enheter som er registrert i Intune (del av Microsoft Endpoint Manager), og som er i samsvar med våre retningslinjer. Sånn sperrer vi angripere ute allerede ved inngangsdøren. Samtidig kan vi gi begrenset nettbasert tilgang til SharePoint og Exchange fra ikke-administrerte enheter for å myke opp adgangen en smule.
Dobbelt sikkerhetsnett
Fordelen ved både å kreve MFA og at enheten er registrert i Intune, er at det gir en dobbel sikring. Her ble noen hackere stanset av kravet om sterk autentisering. Men brukere kan i vanvare godkjenne en pålogging de ikke selv har initiert. Da beskyttes de av regelen om at enheten må være klarert.
Microsoft Enterprise SSO-plugin for macOS (forhåndsversjon)
SSO-plugin-modulen for Apple-enheter tilbyr enkel pålogging (SSO) for Azure AD-kontoer på macOS, iOS og iPadOS for alle applikasjoner som støtter Apples engangspåloggingsfunksjon for bedrifter. Microsoft har jobbet tett med Apple for å utvikle denne modulen for å øke brukervennligheten i applikasjoner, samtidig som den gir den best tilgjengelige beskyttelsen.
Åpne administrasjonssentret for Microsoft Endpoint Manager. Velg Devices, macOS og Configuration Policies. Klikk på Create Profile, velg Device Features som profil og klikk på Create. Navngi profilen, for eksempel Enable and configure Microsoft Enterprise SSO plug-in for macOS og Klikk på Next. (I grensesnitt på engelsk pleier jeg å bruke samme språk.)
Utvid Single sign-on app extension og velg Redirect som ekstensjonstype. Extension ID skal være com.microsoft.CompanyPortalMac.ssoextension, Team ID UBF8T346G9 som Team ID. Så må du legge til disse nettadressene (antakelig kunne du klart deg uten Kina og US Gov).
https://login.microsoftonline.com, https://login.microsoft.com, https://sts.windows.net, https://login.partner.microsoftonline.cn, https://login.chinacloudapi.cn, https://login.microsoftonline.de, https://login.microsoftonline.us, https://login.usgovcloudapi.net og https://login-us.microsoftonline.com.
Du må legge til to nøkler: browser_sso_interaction_enabled og disable_explicit_app_prompt. Begge er av type integer med verdien 1. Klikk på Next to ganger og tildel profilen til brukere. Klikk på Next en gang til og på Create.
Pålogging med Touch ID
Øverst til høyre på tastaturet har du tasten Touch ID. En berøring av sensoren låser opp Macen på et blunk, et trykk låser den. Bruk fingeravtrykket ditt til å handle på nettet med Apple Pay. Touch ID legger automatisk inn leverings- og faktura-opplysninger, uten å dele informasjon om bankkortet ditt. Apple T2-brikken opprettholder en sikker enklave for å lagre og bekrefte identiteten din.
Avsluttende ord
Vår lille Microsoft 365-organisasjon bruker primært Macer og har gjort det i mange år. Oppsettet her er det samme som hos oss. Brukernavn og passord bufres. Du vil knapt oppleve oppfordringer om å bruke MFA, annet enn i uvanlige situasjoner. For meg var det under fotball-EM og en VPN-forbindelse mot Tyskland. Påloggingen ble flagget som en umulig reise, det ene øyeblikket i Lillesand, det andre i Berlin. Sikkerheten ivaretas av T2-brikken med biometrisk pålogging. Det svakeste punktet er at du kan bruke et passord i stedet. Men det er ikke forskjellig fra PIN-koden du faller tilbake på når Windows Hello for Business svikter. Naturligvis vil Windows-brukerne dine også ha glede av mye av konfigurasjonen her. MFA er et must i dag, men det må settes opp sånn at det i minst mulig grad plager brukere, samtidig som påloggingen er trygg.
Koblinger
Nederst i er det lenker til trinn-for-trinn-guider for hvordan du kan bruke betinget tilgang til å konfigurere tilsvarende retningslinjer som med sikkerhetsstandarder.
