www.SAMURAJ-cz.com 

03.08.2021 Miluše Translate to English by Google     VÍTEJTE V MÉM SVĚTĚ

Články

Azure AD moderní ověřování, samoobslužný reset hesla (SSPR)

Čtvrtek, 20.05.2021 10:48 | Samuraj - Petr Bouška |
V článku se podíváme na možnosti Azure AD pro samoobslužnou změnu či reset hesla nebo odemknutí účtu (SSPR). Zaměříme se na situaci, kdy máme On-Premises Active Directory Domain Services (AD DS) uživatele synchronizované do cloudového Azure AD. Ne tak důležité je, že se využívá Password hash synchronization (PHS). Na začátku budeme řešit zpětný zápis hesla (Password Writeback), aby se změny hesel v cloudu projevily i v On-Premises. Zmíníme pojem moderní autentizace, politiky hesel a důležité jsou ověřovací metody (Authentication methods).

Azure AD licence a vlastnosti

Azure Active Directory nabízí různé služby a vlastnosti podle úrovně licence Azure AD. Edice jsou Free, Office 365 Apps (dříve Basic), Premium P1 a Premium P2. Jakou máme edici vidíme v Azure AD Admin CenterOverview sekce Basic information - License. Jakmile máme pro jednoho uživatele vyšší licenci, tak vidíme celý Tenant s touto licencí. Měli bychom využívat vyšší funkce pouze pro uživatele, kteří mají danou licenci přiřazenu.

Podle informací je Azure AD Free součástí základních předplatných Office 365, Azure, Dynamics 365, Intune a Power Platform. Azure AD for Office 365 apps je součástí Office 365 E1, E3, E5, F1 a F3. Azure AD Premium P1 je součástí Microsoft 365 E3, Microsoft 365 Business Premium a Enterprise Mobility + Security (EMS) E3. Azure AD Premium P2 je součástí Microsoft 365 E5 a EMS E5. Premium P1 a P2 můžeme také samostatně kupovat.

Základní funkce jsou i v Azure AD free, ale mohou být značně omezené oproti vyšší edici. To se týká funkcí, na které se zde zaměřujeme, Self-Service Password Reset (SSPR) a Multi-Factor Authentication (MFA).

Azure AD free

Podle dokumentace se v Azure AD free nachází

  • Self-Service Password Change for cloud users
  • Multi-Factor Authentication

Azure AD for Office 365 apps

Další funkce přibývají s Azure AD for Office 365 apps jako je

  • Company branding (customization of logon & logout pages, access panel)
  • Self-service password reset for cloud users

Azure AD Premium P1

Mnoho dalších přidává Azure AD Premium P1

  • Self-service password reset/change/unlock with on-premises write-back
  • Azure AD Join: self-service bitlocker recovery, enterprise state roaming
  • Conditional Access

Azure AD Premium P2

Edice Azure AD Premium P2 doplňuje funkce Identity Protection a Identity Governance

  • Vulnerabilities and risky accounts detection
  • Privileged Identity Management (PIM)

SSPR a MFA

Tedy ve Free a Office 365 apps funguje SSPR jen pro cloudové uživatele, abychom mohli pracovat se synchronizovanými uživateli z on-Premises, tak potřebujeme Premium P1. Podobně pro lepší využití MFA, na základě Conditional Access, potřebujeme také Premium P1.

Moderní ověřování (Modern Authentication)

Moderní ověřování je metoda správy identit, která nabízí bezpečnější ověřování a autorizaci uživatelů. Termín moderní autentizace zastřešuje kombinaci metod autentizace a autorizace mezi klientem a serverem. Obsahuje metody ověřování (jako vícefaktorové ověřování, ověřování pomocí čipové karty), autorizační metody (Open Authorization (OAuth)), zásady podmíněného přístupu (Conditional access policies, Mobile Application Management).

Jako starší ověřování (Legacy Authentication) se označují dlouho využívané protokoly Kerberos, NTLM, CHAP, apod., které obecně nepracují dobře přes internet. Často se využívá Basic Authentication, která je velice jednoduchá (používá textové jméno a heslo, pouze kódované pomocí base64, takže se musí kombinovat se SSL), ale má řadu zranitelných míst.

Moderní autentizace je skupina protokolů, které mají zvýšit bezpečnost cloudových zdrojů. Například Security Assertion Markup Language (SAML), WS-Federation, OAuth. Jejich cílem je odejít od metody jméno/heslo a místo toho využívat potvrzení na principu tokenů (token-based claims). Při ověření se vygeneruje token pro přístup, kde se určuje, jaké přístupy žadatel má. Tokeny jsou časově omezené a mohou se odvolat.

U Microsoft služeb poznáme, o jakou jde autentizaci, podle vzhledu přihlašovacího dialogu. První obrázek je Basic Authentication, druhý Modern Authentication.

Microsoft Basic Authentication Microsoft Modern Authentication

Zapnutí Password Writeback (zpětný zápis hesla)

Postup je dobře popsaný v oficiální dokumentaci. Zde jen stručné info.

Musíme nastavit (nebo zkontrolovat) oprávnění pro účet, který používá Azure AD Connect (může jít o účet s podobným názvem jako MSOL_432e1e4ab312). Jde o Permissions Reset password a Properties Write lockoutTime, Write pwdLastSet (v mém prostředí bylo vše nastaveno automaticky, dokonce Read/Write all properties pro Descendant User objects).

Nechápu, co znamená informace v oficiální dokumentaci: Extended rights for "Unexpire Password" on the root object of each domain in that forest, if not already set. Nikde jsem k tomu nenalezl více informací.

Druhý krok je spustit Azure AD Connect - Customize synchronization options a pod Optional Feature povolit Password writeback.

Azure AD Connect - Password writeback

Politiky hesel (Password Policies)

Pokud máme uživatelské účty synchronizované z On-Premises AD DS do Azure AD, tak existují dvě verze požadavků na hesla, exspirace hesel a zamykání účtů. Standardně se, na účty synchronizované z On-Premises spolu s hashem hesla, neuplatňuje cloudová politika hesel (požadavky na komplexnost hesla) a jsou nastaveny bez vypršení (Never Expire). Také nefunguje (nesynchronizuje) se vlastnost Force Password Change on Next Logon.

On-Premises AD DS

V interním prostředí AD DS využíváme, pro nastavení politik hesel, Group Policy.

  • Computer Configuration > Policies > Windows Settings > Security Settings > Account Policies > Password Policy

Zde můžeme nastavit požadavky na heslo, například minimum 8 znaků a komplexní (musí obsahovat znaky minimálně ze 3 různých kategorií, nesmí obsahovat jméno uživatele). A požadavky na změnu hesla (vypršení), minimální a maximální dobu, historie hesel.

  • Computer Configuration > Policies > Windows Settings > Security Settings > Account Policies > Account Lockout Policy

Zde nastavujeme zamykání účtů. Například, že při 5 chybných heslech v řadě se účet zablokuje na 30 minut. Můžeme také nastavit po jaké době se počítadlo chybných pokusů vynuluje.

Cloud Azure AD

Azure AD má standardně pevně definované požadavky na hesla. Jde o minimum 8 znaků (maximum 256) ze 3 různých kategorií (malá písmena, velká písmena, číslice, povolené symboly). Také se automaticky využívá globální seznam slabých nebo kompromitovaných hesel (Global banned password list), která není možno použít. A můžeme si definovat vlastní seznam (Custom banned password list). Jsou využívány i další ochranné mechanizmy Azure AD Password Protection. Banned password list můžeme využít i pro On-Premises AD DS skrze agenta instalovaného na DC.

Azure AD není defaultně zapnuto vypršení hesel. Můžeme nastavit v 

  • Microsoft 365 admin center - Settings - Org settings - Security & Privacy - Password expiration policy

Pro zamykání účtů slouží Smart Lockout, konfigurace je v

  • Azure Active Directory admin center - Security - Authentication methods - Password protection

Nastavujeme počet chybných přihlášení, kdy dojde k zamčení, a minimální dobu zamčení. Chytré chování je v řadě věcí. Pokud se účet opakovaně zamyká, tak je to stále na delší dobu. Sledují se hash hesel posledních tří chybných pokusů a pokud je použité stejné heslo, tak se nezvyšuje počítadlo chybných pokusů.

Pokud se účet v cloudu zamkne, tak jej administrátor nemůže odblokovat. Musí uplynout stanovený čas nebo může uživatel použít SSPR a provést reset hesla.

Self-Service Password Reset / Change / Unlock (SSPR)

Azure AD SSPR (Self-Service Password Reset) umožňuje uživatelům změnu nebo reset hesla (zapomenuté heslo) či odemčení účtu bez zásahu administrátora. Přímý odkaz Microsoft Online password reset.

SSPR může být vypnuté (None), zapnuté pro skupinu uživatelů (Selected) nebo zapnuté pro všechny uživatele (All). Po zapnutí si standardně musí uživatelé vyplnit kontaktní informace (autentizační metody), které se použijí pro SSPR. Do té doby nejde službu využít.

Pozn.: Defaultně mají administrátoři (členové všech admin rolí) vždy zapnutý SSPR a jsou vyžadovány 2 metody ověření. Info vidíme v části Administrator Policy.

Pozn.: MS uvádí, že bychom měli povolit pouze pro uživatele s patřičnou licencí. Momentálně se žádná kontrola licence neprovádí.

Změna hesla (či odemčení účtu) s Password Writeback probíhá v On-Premises AD DS okamžitě. Před provedením se kontroluje, zda v On-Premises běží patřičná služba a funguje komunikace. Zadané heslo se odešle šifrované do On-Premises, vyhledá se uživatel a pokusí se změnit heslo. Pokud heslo nesplňuje On-Premises politiky pro hesla, tak se vrátí zpět chyba a heslo se nezmění. I když by byla cloudová politika hesel přísnější, tak se zde použije On-Premises politika (při synchronizaci hashů hesla do cloudu se nekontroluje politika v cloudu).

Kombinovaná registrace bezpečnostních informací

Pokud není zapnuta kombinovaná registrace bezpečnostních informací (Combined security information registration), tak musí uživatelé registrovat autentizační metody zvlášť pro SSPR (Self-Service Password Reset) a pro MFA (Multi-Factor Authentication). Zapnutím se změní aplikace (vzhled) pro registraci autentizačních metod (umožňuje i registraci autentizační aplikace).

Zapnutí je výrazně doporučeno (a pro některé další funkce nutné). Provede se jednoduše

  • Azure Active Directory admin center - User settings v odkaz Manage user feature preview settings
  • položka Users can use the combined security information registration experience

Ověřovací metody (Authentication methods)

Zde vycházíme z toho, že máme zapnutou kombinovanou registraci bezpečnostních informací. Pak můžeme většinu metod využít pro SSPR i pro vícefaktorovou autentizaci (MFA). Ale některé jsou výjimka, například email nelze použít pro MFA. Windows Hello for Business zase pro SSPR.

Pozn.: Popisy autentizačních metod se na různých místech Microsoft dokumentace liší. Ovlivňuje je použití i nastavení, a je možné, že MS možnosti stále rozšiřuje.

Ověření nejčastěji funguje tak, že se zasílá nebo generuje ověřovací kód (Verification Code). Ten uživatel zadává v samoobslužném portále (SSPR) nebo v přihlašovacím dialogu (pro MFA). Druhá možnost je potvrzení (notifikace). Microsoft doporučuje vždy registrovat více metod, aby existovala záloha.

  • Mobile app notification - schválení push notifikace pomocí Aprove v aplikaci Microsoft Authenticator app (jiná pravděpodobně není podporovaná)
  • Mobile app code - aplikace generuje ověřovací kód (OATH verification code) každých 30 vteřin, tedy jde o OATH software token, nepotřebuje připojení k internetu, jsou podporovány i jiné aplikace (třeba Google Authenticator)
  • Email - na email se zašle ověřovací kód
  • Mobile phone - zadáme mobilní telefonní číslo, k dispozici je pak zaslání ověřovacího kódu pomocí SMS (Text my mobile phone) nebo automatizovaný hovor, uživatel jej přijme a potvrdí klávesou # (Call my mobile phone)
  • Office phone - zadáme pevné telefonní číslo, k dispozici je automatizovaný hovor, uživatel jej přijme a potvrdí klávesou # (Call my office phone)
  • Security questions - bezpečnostní otázky, které vybíráme a zadáváme odpověď

Zapnutí a nastavení SSPR

  • Azure Active Directory admin center - Password reset v části Properties zapínáme.
SSPR zapnutí
  • v části Authentication methods vybíráme, zda se pro ověření požaduje 1 nebo 2 metody, a jaké jsou povoleny
SSPR ověřovací metody

Pozn.: Pokud zvolíme jednu metodu, tak nemůžeme povolit Mobile app notification.

Na stránce je také odkaz na dokumentaci, která popisuje kombinovanou registraci bezpečnostních informací.

  • v části Registration můžeme zapnout, aby se uživatelům při dalším přihlášení zobrazil formulář na zadání autentizačních metod (defaultně zapnuto)

Údaje si mohou uživatelé zadat a spravovat i bez této volby, ve svém profilu v Security Info https://aka.ms/setupsecurityinfo. Nebo je může zadat administrátor v Azure AD v nastavení uživatelského účtu (pod Authentication methods). Jako návrh se mohou synchronizovat z On-Premises AD (alternativní emailová adresa a mobilní telefon).

  • část On-premises integration využijeme, pokud jsme zapnuli Password Writeback, aby se změny dostaly do on-Premises AD DS

Asi se automaticky zapíná Write back passwords to your on-premises directory? Druhou volbou Allow users to unlock accounts without resetting their password? můžeme povolit odemykání účtu v on-Premises AD bez změny hesla. Když probíhá Password Reset, tak se vždy účet odemyká.

SSPR On-Premises integrace

Audit a sledování využití

Reporty jsou dostupné na různých místech, pokaždé obsahují trochu jiné informace.

  • Azure Active Directory admin center - Security - Authentication Methods - Activity
  • Azure Active Directory admin center - Users - Sign-ins
  • Azure Active Directory admin center - Password reset v část Audit logs a Usage & insights

Poslední místo se týká SSPR. V Audit logu vidíme historii použití SSPR uživateli. V Usage & insights vidíme statistiky využití a detailní seznamy uživatelů, kteří mají povoleno SSPR nebo mají registrované metody pro SSPR nebo MFA (včetně výpisu metod).

SSPR Insights - sledování použití

Uživatelské použití SSPR

Registrace autentizačních metod

Pokud uživateli povolíme SSPR, a máme nastaveno vyžadování registrace při přihlášení, tak se při dalším přihlášení pomocí moderního ověřování (například přes prohlížeč) zobrazí informace, že je třeba zadat více informací. Můžeme projít průvodce a nastavit autentizační metody nebo jej přeskočit (při dalším přihlášení se zobrazí znovu).

Registrace autentizačních metod 1

Vzhled a možnosti závisí na tom, zda máme povolenu kombinovanou registraci bezpečnostních informací nebo ne (obrázek níže).

Registrace autentizačních metod 2

Může být potřeba zadat jednu nebo dvě metody, podle situace se mohou nabízet různé metody. Jako hlavní se nabízí Microsoft Authenticator app, ale můžeme vybrat jinou metodu.

Registrace autentizačních metod 3
Registrace autentizačních metod 4

Uživatel si může spravovat autentizační metody ve svém účtu My Account kliknutím na Security info. Přidání telefonu nebo emailu je intuitivní. Zadáme údaje a odešle se ověřovací kód, který musíme v dalším kroku zadat pro potvrzení.

Pozn.: Pokud již máme nastavenu nějakou metodu, tak při dalším přístupu na stránku Security info (a tedy možnost metody změnit) musíme použít silné ověření (Strong Authentication). Tedy využit nastavenou metodu pro přihlášení.

Autentizační metody - My Account - Security info

Pozn.: Některé údaje mohou být nastaveny z firemního adresáře (jako mobilní telefon), ale je potřeba je ověřit, aby se daly využít.

Nejvíce možností nabízí Microsoft Authenticator app, která podporuje generování kódu (OATH software token) i notifikace. Je možno ji použít pro SSPR i MFA a také pro přihlašování bez hesla (passwordless sign-in). Aplikace se přidává naskenováním QR kódu z obrazovky a následným potvrzením.

Microsoft Authenticator app registrace

Aplikace většinou funguje dobře a rychle zobrazuje notifikace (pokud nám běží na pozadí a systém ji neukončí). Když občas notifikace automaticky nepřijde, tak je potřeba spustit aplikaci. Pokud se notifikace stále nezobrazí, tak můžeme ručně vyvolat kontrolu notifikací. Na horní liště vpravo je tlačítko. Jednou mi notifikace stále nepřicházela. Vypnul jsem WiFi a přešel na data a okamžitě dorazila.

Odemčení účtu, zapomenuté heslo

SSPR můžeme spustit přímým odkazem https://passwordreset.microsoftonline.com/ (zkratka https://aka.ms/sspr) nebo na přihlašovací stránce kliknout na Forgot my password.

Pokud používáme synchronizaci hashů hesla (PHS), tak při zamčení uživatelského účtu v On-Premises AD DS, zůstane v Azure AD odemčený. Stejné je to opačně, při zamčení v cloudu zůstane odemčený v interním AD DS.

Pozn.: Změnu hesla (pokud jsme přihlášeni) je možné provést ve správě účtu My Account - Change Password.

SSPR obnova 1

Můžeme provést

  • reset hesla - I forgot my password - nastavit nové heslo bez znalosti starého, zároveň se provádí odemčení účtu. Toto je možné pro cloudové i On-Premises účty. Změna se provede okamžitě.
  • odemčení účtu - I know my password, but still can't sign in - pouze pro On-Premises účty, odemkne účet v interním AD DS. Pokud je zamčený i účet v cloudu, tak ten se neodemkne. Tato možnost musí být povolena.
SSPR obnova 2

V dalším kroku provedeme ověření. Možnosti se nabízí podle nastavení a registrovaných metod.

SSPR obnova 3
zobrazeno: 619krát | Komentáře [0]

Autor:

Související články:

Azure, Microsoft 365, Office 365, Cloud

Různá populární témata ohledně veřejného cloudu. Více zaměřeno na služby Microsoft, tedy IaaS, PaaS, SaaS Azure, adresářové služby Azure AD a hostované služby Microsoft 365 / Office 365.

Pokud se Vám článek líbil, tak mne potěšíte, když uložíte odkaz na některý server:

Pokud se chcete vyjádřit k tomuto článku, využijte komentáře níže.

Komentáře

Zatím tento záznam nikdo nekomentoval.

Přidat komentář

Vložit tag: strong em link

Vložit smajlík: :-) ;-) :-( :-O

Nápověda:
  • maximální délka komentáře je 2000 znaků
  • HTML tagy nejsou povoleny (budou odstraněny), použít se mohou pouze speciální tagy (jsou uvedeny nad vstupním polem)
  • nový řádek (ENTER) ukončí odstavec a začne nový
  • pokud odpovídáte na jiný komentář, vložte na začátek odstavce (řádku) číslo komentáře v hranatých závorkách