Multifaktor-autentisering (MFA) – også kjent som totrinnsverifisering eller godkjenning med flere faktorer – reduserer faren for identitetsrelaterte angrep med 99,9 prosent. Det er tre måter å sette opp MFA på i Microsoft 365: Eldre MFA per bruker, også omtalt som Office 365 MFA, bør unngås. Sikkerhetsstandarder egner seg for organisasjoner med bare Azure AD Gratis eller Microsoft 365 Apps. MFA med Betinget tilgang er anbefalt og krever Azure AD Premium. Likevel er det god grunn til å se nærmere på de to andre metodene før vi følger Microsofts anbefaleringer, som er bakket opp av solid dokumentasjon, maler og en forenklet veiviser.
Eldre MFA per bruker
Du går inn i Microsoft 365-administrasjonssenter og klikker på Godkjenning med flere faktorer. Fra portalen for Azure AD velger du Users | All users, Multi-Factor Authentication. Så velger du brukere og aktiverer MFA. Dette anbefales ikke lenger. Innstillingene overstyrer de to andre metodene. Sørg derfor for at alle brukere her er deaktivert. I Tjenesteinnstillinger (service settings) bør du ikke tillate app-passord for programmer som ikke støtter moderne autentisering med MFA. Klarerte IP-nettverk representerer en sikkerhetsrisiko, i og med at de fleste angrep starter med å kompromittere brukere. Som annen faktor skal du ikke bruke taleanrop (kan avlyttes) eller tekstmeldinger (kan fanges opp, SIM-svindel). Standardverdien for å tillate brukere å huske MFA på enheter i 14 dager har like lite empirisk belegg som at passord i Active Directory (AD) bør endres etter 42 dager.
Sikkerhetsstandarder
Sikkerhetsstandarder er lite fleksible. De tillater ingen unntak eller tilpasninger og er ikke kompatible med retningslinjer for Betinget tilgang eller Identitetsbeskyttelsen i Azure AD. Som annen faktor støttes bare Microsoft Authenticator. Men reglene Sikkerhetsstandarder tegner opp, har mye for seg. De bør danne utgangspunkt for hvordan du konfigurerer MFA med Betinget tilgang. Standardene håndhever disse fem anbefalingene automatisk:
Enhetlig registrering for MFA: Alle brukere må registrere seg for MFA innen 14 dager, målt fra første pålogging etter at Sikkerhetsstandarder er aktivert. Etter utløp av tidsfristen kreves en obligatorisk registrering før brukere kan logge på.
Beskyttelse av administratorkontoer: Privilegerte kontoer som er medlem av følgende roller, må benytte MFA hver gang bruker autentiserer: Global administrator, SharePoint og Exchange-administratorer, Administrator for betinget tilgang, Sikkerhets- og Helpdesk-administrator, Faktureringsadministrator, Bruker- og Autentiseringsadministratorer.
Beskytte brukerkontoer: I tillegg til privilegerte kontoer beskyttes vanlige brukerkontoer av MFA. Brukere trenger bare oppgi MFA som del av autentiseringen når påloggingsrisikoen krever det.
Blokkering av eldre autentisering: Eldre autentiseringsprotokoller som ikke støtter MFA, vil bli blokkert, som POP3, SMTP, IMAP og ActiveSync.
Beskyttelse av privilegerte handlinger Aktiviteter med høynede privilegier kan initieres via Azure Portal, PowerShell eller Azure CLI. Her er det nødvendig med MFA.
Blokkering av SMTP skaper problemer for multifunksjonsskrivere og skannere. Virkelig interessant er imidlertid beskyttelsen av standard brukerkontoer. Det opereres ikke med et fastsatt tidsintervall MFA skal huskes på en enhet, men bare med risikoer knyttet til påloggingen, som er basert på atferdsanalyse og maskinlæring. Ett opplagt faresignal er introduksjonen av en ny enhet, fordi det ikke kan avgjøres om den tilhører en skurk eller legitim bruker. Men ellers blir brukere i liten grad bedt om å oppgi MFA.
Veiviser for MFA med Betinget tilgang
Denne meldingen dukker opp i administrasjonssentret for Microsoft 365: Reduser kompromitterte brukerkontoer med multifaktor-autentisering. Det er 99,99 % mindre sannsynlig at brukerkontoer blir kompromittert når du slår på multifaktorautentisering (MFA). Vi veileder deg gjennom konfigureringen og hjelper deg med å bestemme de beste alternativene for din organisasjon.
Vi klikker på Vis anbefaling og får opp denne veiviseren. Første trinn gir en oversikt over MFA: Håndhev multifaktor-autentisering. Det gis en forklaring: Multifaktor-autentisering er en prosess der en bruker under påloggingsprosessen blir bedt om en ekstra form for identifikasjon, som å taste inn en kode på mobiltelefonen eller avlese et fingeravtrykk. Hva du kan forvente: Denne veiledningen gir gjeldende MFA-status og hjelper IT-administratorer å velge det beste MFA-alternativet som oppfyller organisasjonens krav. Deretter bistår vi med å konfigurere og håndheve valgt MFA-metode for organisasjonen. Anbefalingen er å velge Adaptiv MFA ved bruk av Betinget tilgang, ikke MFA med Sikkerhetsstandarder. Innsikter viser at to av to administratorer har vært beskyttet av MFA i løpet av de siste 30 dagene – de eneste to brukerne i vår lille tenant.
Annet trinn er MFA-alternativer. Her heter det: Velg beste metode for å aktivere MFA. Basert på dine valgte MFA-krav har vi anbefalt den beste metoden for å aktivere MFA for din organisasjon. Du kan velge å gå gjennom en detaljert sammenligning av alternativene for å velge et annet, og klikk på Neste for å starte utrullingen av MFA. Det er krysset av for:
Adaptiv MFA som bruker policyer for Betinget tilgang (anbefalt). Slå på MFA ved å bruke maler for Betinget tilgang. Dette er den mest robuste måten å aktivere MFA på, med muligheten til å teste med enkelte grupper. Vi vil beskytte dine administratorer, alle brukere og bestemme de beste malene basert på dine lisenser. Det er ikke krysset av for:
MFA som bruker Sikkerhetsstandarder. Et definert sett av sikkerhetstiltak for å beskytte alle virksomheter. Vi beskytter dine administratorer og sluttbrukere med MFA og blokkerer mulige sikkerhetshull, som autentisering per bruker. Sikkerhetsstandarder følger også med alle Office-abonnementer.
Tredje trinn er Adaptiv MFA som bruker Betinget tilgang. Bruk forhåndsbygde maler for Betinget tilgang for automatisk konfigurasjon. Du må hindre redundans ved å forsikre deg om at MFA per bruker er slått av for alle brukere som skal inkluderes i retningslinjene. Det er anbefalt å velge alle foreslåtte maler basert på analysen av miljøet.
I fjerde og siste trinn bekrefter du valgene. Allerede i tredje trinn kunne du ha lagt til unntak. I veiviseren fritas bruker som kjører den, for policymalene. Klikk på Done.
Opprettede policyer for Betinget tilgang
Dette er policyene som veiviseren har opprettet. Den eneste endring vi har foretatt, er å fjerne min bruker fra unntakene.
Da endres påloggingen fra midlertidig enkelt faktor til multifaktor-autentisering igjen. Man bør legge merke til at policyene veiviseren oppretter, gjenskaper konfigurasjonen for Sikkerhetsstandarder.
Azure AD Identity Protection
I vår tenant benytter vi Microsoft 365 Business Premium med flere tillegg, blant dem lisenser på Azure AD Premium P2. Her følge det med Azure AD Identity Protection, som sørger for adaptiv MFA med en vurdering av bruker- og påloggingsrisiko.
Det er anbefalt å sette brukerrisiko til høy og kreve at bruker endrer passord, noe som forutsetter at selvbetjent tilbakestilling av passord er satt opp. Policyen hjelper til med å identifisere og respondere på brukeratferd, aktiviteter som virker mistenkelige og indikerer at kontoen er blitt kompromittert. Den fanger opp tegn på lekket legitimasjon og atypisk oppførsel basert på maskinlæring, og bruker Azure AD Trusselintelligens for å fastslå om vi har å gjøre med kjente angrepsmønstre.
For påloggingsrisiko er dette de anbefalte verdiene. Disse retningslinjene hjelper til med å identifisere og reagere på risikabel eller uvanlig påloggingsadferd som kan indikere at kontoen er kompromittert. Retningslinjene vil fange opp pålogginger av følgende typer: Anonym IP-adresse, atypisk reise, skadevare-koblet IP-adresse, ukjente påloggingsmønstre, administrator-bekreftet bruker kompromittert, ondsinnet IP-adresse, regler for mistenkelig innboksmanipulering og umulig reise.
Selv om policyene kan konfigureres i Identitetsbeskyttelsen, er Betinget tilgang den foretrukne metoden. Den gir mer kontekst, inkludert forbedrede diagnostiske data, integrasjon av kun rapportmodus, støtte for Graph API og muligheten til å bruke andre attributter for Betinget tilgang som påloggingsfrekvens i policyen.
Importere en mal for Betinget tilgang
Betinget tilgang er en egenskap i Azure AD, men du får også tilgang til funksjonaliteten i portalen for Microsoft Endpoint Manager, i og med at du ønsker å innlemme enheter, apper og nettverkssteder i policyene.
Klikk på New policy from template (Preview).
Vi mangler en policy for alle brukere fordi vi ønsker å legge til flere som ikke har lisenser på Azure AD Premium P2. Vi skal beskytte identiteter, ikke enheter. Klikk på Next.
Kryss av for Require multifactor authentication for all users. Gi policyen et navn. Klikk på Next. Du får opp et sammendrag av valgene dine. Klikk på Create Policy. Den vil sette opp denne regelen: Omfatter alle brukere og gjelder for alle sky-apper og handlinger. Den ekskluderer brukeren som har satt opp policyen og er bare i rapporteringsmodus. Du må fjerne eksklusjonen og slå den på.
Avsluttende ord
Dette avslutter vår reise med å sette opp automatiserte metoder for MFA med Betinget tilgang. Husk at du må slå av Sikkerhetsstandarder før du legger ut på den. Kravet til alle brukere rapporterer fortsatt bare i vår tenant. Når den slås på, vil den typisk settes til å huske MFA på enheter i 90 dager for ikke å plage bruker i utide. Men så lenge alle brukere har Azure AD Premium P2, klarer vi oss fint uten fastsatte tidsintervaller. Det er også sånn Sikkerhetsstandarder opererer. Veiviseren – og reglene i Sikkerhetsstandarder – skjærer gjennom årelange diskusjoner om hvordan MFA bør settes opp.
Dette er Microsofts anbefalte beste praksis. Vi setter opp MFA for alle brukere og alle sky-apper, samt handlinger. Unntak legger vi bare til for break glass-kontoer. Dette er reisverket. Det finnes ikke lenger noe utenfor og innenfor bedriftsnettverket. Sikkerheten må være identitetsdreven, sentrert rundt tilganger. Når det grunnleggende er på plass, kan vi skrittvis forfine med å kreve at vi bare godtar pålogginger fra klarerte enheter og apper, eliminere nettverkssteder (som Nord-Korea) osv.
Koblinger
Security defaults in Azure AD foretar en gjennomgang av Sikkerhetsstandarder. Her finnes du også koblinger til hvordan du gjenskaper standardene med Betinget tilgang.
What is risk? gir en oversikt over risikovurderinger i Azure AD Information Protection.
How to Manage Conditional Access as Code – The Ultimate Guide bør absolutt vurderes, gjentagbare og selvdokumenterende prosedyrer.
