Kombinasjonen av bare brukernavn og passord gir ikke god nok beskyttelse for pålogging i Office 365. Hovedtyngden av bekreftede data-innbrudd i de senere årene skyldes svake, standard eller stjålne passord. Resultatet kan være tap av kritisk informasjon, kompromitterte tjenester, ødelagt rykte – og ikke minst gigantiske utgifter. Angrepene kommer som regel utenfra og foretas ved hjelp av sosial manipulering, phishing og skadelig programvare. Andre metoder er å knekke passord ved rå datakraft. Motivene er for det meste økonomisk vinning, men kan også bunne i forsøk på industrispionasje eller være et utslag av ren ødeleggelsestrang. Med multifaktor-autentisering (MFA) gjør du det betydelig vanskeligere for en angriper å komme seg inn i kontoen din, for så i neste omgang å kartlegge svake punkter i virksomheten og legge ut på en angrepskjede. Her forklarer vi deg hva MFA er, og hvordan du konfigurerer den grunnleggende funksjonaliteten i Office 365. Men la oss først gi noe mer bakgrunn.
Brukeridentiteten som ny brannmur
For Microsoft er brukeren det nye kontrollplanet, utgangspunktet for all videre sikkerhet som skal trygge tilgangen til dataene og applikasjonene dine. Tradisjonelle beskyttelsesmekanismer som lokale nettverk omgitt av brannmurer, begynner å miste mening. E-post og data er flyttet opp i skyen. I stadig høyere grad benytter vi oss av muligheten til å jobbe «når som helst, fra hvor som helst, fra hva som helst». Angriperne behøver ikke være innom vår interne infrastruktur. Dermed blir det brukeridentiteten vi må sikre. Viktigst av alt er at du setter opp sterk autentisering med MFA og følger prinsippet om minste privilegium– brukerne dine må verken ha for mange eller for få rettigheter.
Problemet med passord
Brukernavnet ditt er kjent, som regel det samme som e-postadressen din. Da gjenstår bare passordet ditt, som ofte brukes om og om igjen på forskjellige nettsteder og ikke er endret på flere år. Enkelte av disse stedene kan være hacket. Dette har skjedd i stor skala for Dropbox, Adobe og LinkedIn. Det er ikke uvanlig å lagre all påloggingsinformasjon i et elektronisk dokument. Om det kommer på avveie, er du fullstendig ubeskyttet. Enkelte har det med å notere ned hemmelige kodeord på klistrelapper og feste dem til pulten. Andre satser på hukommelsen. Men om et passord er lett å huske, kan det også være lett å gjette. Typiske passordpolicyer gir som regel ikke den ønskede effekten. Ikke glem at du midt opp i det hele kan være utsatt for en tastaturlogger som kikker deg over skulderen og sender opplysningene ut av huset.
Hva er multifaktor-autentisering?
Teknologien går under mange navn: multifaktor-autentisering (MFA), godkjenning med flere faktorer og totrinnsbekreftelse eller -verifisering. Sikkerheten i MFA ligger i en lagdelt tilnærming. Det kan være ganske lett for en angriper å få tak i brukernes passord. Men det er betydelig vanskeligere å bryte seg inn i en konto som er beskyttet med flere autentiseringsfaktorer. Tradisjonelle påloggingsopplysninger på urette hender er ubrukelige uten denne tilleggsinformasjonen. MFA benytter seg av disse godkjenningsmekanismene:
- Noe du vet (typisk et passord)
- Noe du har (en pålitelig enhet som ikke lett kan dupliseres, som en mobil)
- Noe du er (biometri)
Egentlig kjenner du metoden godt. I sin enkleste form benyttes den med kredittkort (som du har) og en PIN-kode (som du kjenner). Pålogging til nettbanker krever også flere faktorer, så som en kodebrikke eller mobil. Etter hvert er bruken av biometriske opplysninger blitt ganske utbredt. Her har vi avlesning av fingeravtrykk, og på moderne enheter – som en PC med infrarødt kamera eller en iPhone – benyttes ansiktsgjenkjenning, som ikke lar seg lure av å bli presentert for et fotografi.
Risiko knyttet til autentiseringsfaktorer
Til tross for stadig mer avanserte måter å beskytte kontoen din på, er de ikke helt uten risiko. PIN-koder og personnumre kan ende oppi gale hender. Enheter kan stjeles og tukles med. Telefonanrop og SMSer lar seg fange opp. Fingeravtrykk kan kopieres. Du kan aldri være 100 prosent sikker. Derfor bør du ideelt sett plusse på med mekanismer for å hindre og oppdage identitetstyveri (Azure Identity Protection). Det er også god grunn til å beskytte administrative kontoer bedre (Azure Privileged Identity Management). Denne funksjonaliteten får du blant annet ved å gå over fra et rent Office 365-abonnement til Microsoft 365.
To typer multifaktor-autentisering i Office 365
Office 365 MFA Azure MFA Mobil app, oppringning, SMS som annen faktor Tilpasset telefonhilsen og anrops-ID App-passord Betinget tilgang Klarerte IP-adresser Rapportering Inkludert i Office 365 Tilleggslisens
Som annen faktor i Office 365 benyttes enten en mobilapp, oppringning eller SMS. MFA for Microsofts skytjenester kommer i to utgaver. Den ene er en gratis tjeneste som vi her for enkelhets skyld kaller Office 365 MFA. Den er lett å sette opp og komme i gang med. Dermed får du den grunnleggende beskyttelsen. Azure MFA rommer samme funksjonalitet som Office 365 MFA, men lar deg konfigurere kravene til sterk autentisering. Sånn kan du sette opp betingelser for når MFA skal brukes, og når det ikke er nødvendig. Dette bidrar til å redusere irritasjonsmomenter for sluttbrukerne dine. Azure MFA lar deg sette opp varslinger og blokkere kontoer ved mistanke om uautorisert bruk. Dessuten inneholder den gode rapporteringsmuligheter.
Konfigurer Office 365 MFA
Gå til admin.microsoft.com
Her skal vi sette opp Office 365 MFA, så du får testet funksjonaliteten før du ruller den ut til alle. Azure MFA bør ses i sammenheng med andre mekanismer, som Microsoft Intune (administrasjon av enheter) og Azure Identity Protection (beskyttelse av brukeridentiteter) og krever en egen fremstilling.
Logg deg på administrasjonssenteret for Microsoft Office 365. Utvid Brukere og velg Aktive brukere. Klikk på ellipsen (…) og velg Konfigurer godkjenning med flere faktorer. OBS! Her benyttes Forhåndsvisning av administrasjonssenteret. For den eldre versjonen er det Hjem, Aktive brukere, Mer.
Her er bare én bruker valgt. Du kunne ha krysset av for flere. Nå kan du enten klikke på Aktiver eller Behandle brukerinnstillinger.
Til venstre ser du dialogboksen om du klikke på Aktiver. Til høyre er boksen for Behandle brukerinnstillinger. Vi velger sistnevnte. Her krever vi for sikkerhets skyld at valgte brukere oppgir kontaktmetoder på nytt. MFA har aldri vært satt opp for denne brukeren før. Dermed er det ikke nødvendig å slette alle eksisterende app-passord som er generert. Vi behøver heller ikke å gjenopprette godkjenning med flere faktorer på alle lagrede enheter. Klikk på Lagre og Lukk.
Nå må du aktivere godkjenning med flere faktorer. Da vil du se at brukeren er aktivert. Logg av kontoen og logg på igjen.
Logge på med MFA for første gang
Etter at du har logget på med brukernavn og passord, får du opp en ny dialogboks om at det er påkrevd med mer informasjon. Klikk på Neste.
I trinn 1 blir du spurt om hvordan du ønsker å bli kontaktet. Vær obs på at du kan endre valgene dine senere. I første omgang velger vi godkjenningstelefon, som er et annet ord for mobilen din. Du kan velge mellom å få tilsendt en kode via SMS eller bli oppringt. La oss først velge mobiltelefon, legge til nummeret og huke av for SMS. Klikk på Neste.
Du får tilsendt en engangskode som du taster inn. Klikk på Kontroller.
Eldre versjoner av Office og for eksempel Apple Mail støtter ikke autentisering med flere faktorer. For å benytte disse klientene må du kopierer app-passordet og benytte dét i stedet for ditt vanlige passord. OBS! Du ser dette app-passordet bare én gang. Men du kan få tak i et nytt (se nedenfor). Med Office 2016 og nyere og siste versjon av iOS behøver du ikke tenke på dette. Klikk på Fullført.
Endre innstillingene for MFA
Som sluttbruker kan du endre innstillingene for MFA fra portalen for Office 365. Logg deg på https://portal.office.com. Klikk på Innstillinger (tannhjulet) øverst til høyre. Velg Oppdater kontaktinnstillinger. Du kan også gå direkte til https://aka.ms/setupmfa.
Velg Sikkerhet og personvern. Klikk på Oppdater telefonnumrene som brukes for kontosikkerhet. Legg også merke til at det en opsjon for å opprette og administrere app-passordet.
Vi opprettholder godkjenningstelefonen – SMS til mobilen – men plusser på med appen Microsoft Authenticator, som finnes for iPhone, Android og Windows Mobile. Godkjenningsappen gir den sikreste og mest brukervennlige tilleggsfaktoren for autentisering. Du trenger bare å trykke på Godkjenn.
Konfigurer Microsoft Authenticator
Du kan laste ned Microsoft Authenticator for iOS fra Apple App Store, for Android fra Google Play og for Windows Mobile fra Microsoft Store. Kryss av for Godkjennerapp eller token, Konfigurere Authenticator-appen.
Vent på popup-boksen for konfigurasjon. Du bør se et vindu som ser sånn ut på datamaskinen din (til venstre). Klikk på Neste.
- Åpne Microsoft Authenticator-appen på telefonen.
- Trykk på + > Arbeids- eller skolekonto.
- Bruk telefonen til å skanne QR-firkanten på skjermen.
iPhone-brukere må muligens aktivere kameraet i innstillinger for å skanne. Hvis du ikke kan bruke telefonkameraet, må du manuelt angi den ni-sifrete koden og nettadressen. Kontoen legges automatisk til appen og viser en sekssifret kode.
Så må du bekrefte aktiveringsstatus på datamaskinen. Bytt tilbake til maskinen og klikk på Ferdig. Vent nå på teksten Kontrollerer aktiveringsstatus for å fullføre konfigureringen av telefonen. Når det er fullført, vil du kunne klikke på Kontakt meg -knappen til høyre.
OBS! Hvis konfigurasjonen mislykkes, sletter du bare og prøver de foregående trinnene på nytt.
Bytt tilbake til telefonen og godkjenn påloggingen der. Der ser du et varsel for en ny pålogging. Åpne Microsoft Authenticator-appen. Trykk på Godkjenn for å tillate pålogging.
Fullfør konfigurasjonen ved å bytte tilbake til datamaskinen og følg alle instruksjonene som vises, som for eksempel å legge til et mobilnummer. Da burde alt være klart. Når du heretter har en ny pålogging eller legger til Office 365 arbeids- eller skolekontoen til en app, åpner du Authenticator-appen på telefonen, og trykker på Godkjenn.
Tilpasse Office 365 MFA
Gå til Azure Active Directory under Administrasjonssentre. Klikk på Azure Active Directory i administrasjonssenteret for Microsoft Azure. Velg MFA og klikk på Additional cloud-based MFA settings.
Her kan du velge: Hopp over godkjenning med flere faktorer for forespørsler fra brukere i forbund fra mitt intranett. Det er også en opsjon for: Tillat at brukere husker godkjenning med flere faktorer på enheter de har klarert. Dager før en enhet må godkjennes på nytt (1-60).
Begge alternativene kan forenkle livet for brukerne dine. Undertegnede er ikke overbevist om at det er en god idé å huke av for klarerte IP-adresser (et alternativ som kan mangle i ditt Office-abonnement). Angriperen kan allerede være på innsiden. Men klarerte enheter bør være et rimelig kompromiss mellom sikkerhet og brukervennlighet, særlig om du har satt opp Windows Hello eller beslektede teknologier.
Konklusjon
Multifaktor-autentisering (MFA) gir deg økt sikkerhet. Du beskytter ikke bare din egen konto og dataene dine, men hindrer også at angripere får fotfeste i virksomheten eller organisasjonen din. Med en kompromittert identitet som utgangspunkt kan de så legge ut på sin «drapskjede». Det finnes mange måter å sette opp MFA på med Office 365. Her demonstrerte vi den grunnleggende måten. Den beste metoden er å bruke Azure MFA i skyen og anvende det på brukerne dine sammen med betinget tilgang. Men det krever en ekstra lisens og en gjennomgang som må utsettes til et senere innlegg.
Koblinger
Office 365 – Sikkerhet i skyen
Aktivere moderne godkjenning for Office 2013 på Windows-enheter
Tillegg – App-passord med Office 2016 og senere
Alle Office 2016-klientapper støtter MFA gjennom bruk av Active Directory Authentication Library (ADAL). Dette betyr at app-passord ikke er nødvendig for Office 2016-klienter. Men hvis du finner ut at dette ikke er tilfelle, må Office 365-abonnementet være aktivert for ADAL. Dette er en prosedyre du må utføre ved hjelp av PowerShell. (Om du fortsatt bruker Office 2013, må du gå inn i registeret og foreta en endring der – se koblingen nedenfor.)
Start PowerShell i elevert modus (Run as administrator) fordi du må endre policyen. Oppgi brukernavn og passord i dialogboksen. OBS! Hvis du har aktivert MFA, trenger du et app-passord her. Se ovenfor hvordan du genererer et.
# Endre policyen for PowerShell
Set-ExecutionPolicy RemoteSigned
# Få tak i påloggingsinformasjon
$UserCredential = Get-Credential
# Logg deg på Exchange Online i Office 365
$Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $UserCredential -Authentication Basic -AllowRedirection
# Importer sesjonen
Import-PSSession $Session -DisableNameChecking
# Få tak i konfigurasjonen for moderne autentisering
Get-OrganizationConfig | Format-Table name, *OAuth*
# Sett moderne autentisering til sann
Set-OrganizationConfig -OAuth2ClientProfileEnabled:$true
