Hopp til hovedinnhold

Sikkerhetsstandarder og multifaktor-autentisering

Logo letter
Evelon AS
Jon-Alfred Smith
Mørkt animert bilde med små roboter

Multifaktor-autentisering (MFA) går under mange navn, som totrinnsverifisering, totrinnsbekreftelse, godkjenning med flere faktorer. Det innebærer at du plusser på med én faktor i tillegg til brukernavn og passord. Brukernavn inngår ikke som faktor. Tilleggsfaktoren må tilhøre en annen kategori enn passord, som for eksempel en tekstmelding eller en autentiseringsapp. MFA avverger 99,9 prosent av alle identitetsangrep og er uten tvil den mest effektive måten å øke sikkerheten i en organisasjon på.

MFA betyr imidlertid også at brukere må utføre et ekstra trinn i autentiseringsprosessen, noe som koster tid og ikke gir dem noen synlig gevinst. Det gjelder å finne en balanse mellom sikkerhet og brukervennlighet. Det er nettopp hensikten med Sikkerhetsstandarder, samtidig som de angir beste praksis for MFA fra Microsofts side. Men det er også visse begrensninger, som gjør MFA med Betinget tilgang til et bedre valg, særlig om du gjenskaper funksjonaliteten i Sikkerhetsstandarder.

Sikkerhetsstandarder

sikkerhetsstandard1

Sikkerhet er en utfordring for virksomheter når de beveger seg opp i skyen. For å hjelpe dem har Microsoft laget et sett med grunnleggende mekanismer for å sikre identiteter. Når du aktiverer Sikkerhetsstandarder, håndheves anbefalingene nedenfor automatisk:

sikkerhetsstandard2

Fordeler

Sikkerhetsstandarder er lekende lett å sette opp. Det er ikke vanskelig å være enig i valgene som er truffet her. Brukere har to uker på seg for å registrere seg for MFA. Tellingen foretas fra første pålogging etter at Sikkerhetsstandarder er aktivert. Om aktiveringen fant sted 1. mai 2022 og bruker logger på 16. mai, er fristen for registrering 30. mai. Standard brukere slipper som regel å oppgi MFA, annet enn når de logger på fra nye enheter eller når faresignaler tilsier det.

Sikkerhet og brukervennlighet er på plass. Administrative kontoer og privilegerte handlinger kan vi aldri beskytte godt nok. POP3, IMAP og Exchange ActiveSync uten støtte for MFA er et smutthull for angripere og bør blokkeres. Sikkerhetsstandarder kan brukes sammen med alle abonnementer på Azure Active Directory, blant dem Gratis og Office 365, som ikke har støtte for betinget tilgang.

Begrensninger

Sikkerhetsstandarder er lite fleksible og har av den grunn fått en til dels lunken mottakelse. De gjelder for alle brukere eller ingen. Man kan ikke sette opp unntak. Ved at SMTP er blokkert, skaper det problemer for skannere som er konfigurert med SMTP Auth. Den eneste andre faktoren som støttes, er Microsoft Authenticator. Det betyr at samtlige ansatte må ha en Android- eller iOS-mobil. Sikkerhetsstandarder kan ikke brukes sammen med Betinget tilgang et vice versa.

Administrere Sikkerhetsstandarder

sikkerhetsstandard3

Gå inn i Azure Active Directory admin center. Klikk på Azure Active Directory i sidepanelet til venstre. Velg Properties. Bla deg ned til Manage security defaults.

sikkerhetsstandard4

Her kan du se om Sikkerhetsstandarder er slått på. Eventuelt kan du aktivere eller deaktivere dem.

sikkerhetsstandard5

Om du ikke benytter Betinget tilgang eller Identitetsbeskyttelse, får du aktivert standardene. Ellers får du en feilmelding. Du kan selvfølgelig fjerne policyene. Men en bedre idé er at du går over retningslinjene du har satt opp for å gjenskape reglene Sikkerhetsstandarder har trukket opp. De reflekterer tross alt Microsofts anbefalinger som beste praksis for å beskytte identiteter.

Gjenskape Sikkerhetsstandarder med Betinget tilgang

Policyer for betinget tilgang trigger kontroller når alle betingelser er møtt. «Når dette skjer» er betingelser. «Så gjør dette» kalles tilgangskontroller. Tilgjengelige betingelser er brukere og grupper, enhetsplattform og -tilstand, sted, klient- og skyapper og påloggingsrisiko. Så bestemmer disse betingelsene eller signalene om tilgang skal tillates uten MFA, kreve MFA eller blokkeres. Vurdering av sanntidsrisiko er en avansert funksjon som krever identitetsbeskyttelsen i Azure AD Premium P2.

sikkerhetsstandard6

Betinget tilgang lar deg opprette samme regler som med Sikkerhetsstandarder, men du får mer fleksibilitet. Du kan legge til unntak for brukere, nettverkssteder og enheter. Du kan opererere med andre typer policyer som kvalifiserer for adgang til bedriftsdata. Men først må det grunnleggende være på plass. Nedenfor er reglene i Sikkerhetsstandarder gjenskapt med Betinget tilgang. Det er lagt til en policy til: Access from trusted devices. Den sikrer at det bare godtas pålogginger fra klarerte enheter. Portalen for Azure AD er ikke fornorsket ennå. Dermed er regelsettene navngitt på engelsk.

  • Require multi-factor authentication krever MFA for alle brukere for tilgang til virksomheten. Unntak er om de befinner seg på et klarert nettverk og logger på fra en enhet som er registrert i Intune.
  • Require MFA for administrative roles fordrer alltid MFA for medlemmer av administratorroller.
  • Block legacy authentication blokkerer eldre autentiseringsprotokoller. Her er det enkelte ganger aktuelt å fravike kravet.
  • Require MFA for Azure management krever MFA for administrative oppgaver I Azure.

For fremgangsmåten se avsnittet Koblinger til slutt. Dette gir deg all den fleksibilitet du måtte ønske. Du kan legge til unntak for en skanner. Du kan sette opp forskjellige regler for ulike brukere. Men det du ikke bør gjøre, er å anse ditt interne nettverk som så godt beskyttet at man slipper å bruke MFA der. Antakelsen om godt sikrede lokalnett er motbevist av de senere års avanserte angrep. Det er også viktig at brukere ikke oppfordres til å logge på med MFA for ofte. Det fører til en tretthet som kan få dem til å godkjenne pålogginger de selv ikke har initiert. En anbefaling fra Microsofts er å huske MFA på enheter i 90 dager.

sikkerhetsstandard7

Om Identitetsbeskyttelsen oppdager faresignaler knyttet til brukerkontoen, kan det komme en automatisk oppfordring om å skifte passord. Ved en risikovurdering av selve påloggingen kan bruker bli oppfordret til å anvende MFA.

sikkerhetsstandard8

Vær oppmerksom på at du må ha Identity Protection for å rulle ut MFA som gir brukere en 14 dagers frist for å registrere seg.

Avsluttende ord

Sikkerhet skal ikke hindre folk i å gjøre jobben sin, men sørge for at det skjer på en trygg måte. Sikkerhetsstandarder er en enkelt og effektiv måte som beskytter brukeridentiteter uten at de griper forstyrrende inn i arbeidet. Standardene er helt ideelle om man bare har Azure AD Gratis eller Office 365 Apps. Med Azure AD Premium P1 eller P2 anbefales det at du bruker Betinget tilgang i stedet, men da sånn at du gjenskaper reglene som Sikkerhetsstandardene legger opp til.

Koblinger

Conditional Access: Require MFA for administrators

Conditional Access: Require MFA for Azure management

Conditional Access: Block legacy authentication

Conditional Access: Require MFA for all users

Publisert:

Vi hjelper gjerne til med å finne den beste løsningen for din bedrift

Ta kontakt med oss for en uforpliktende prat!