www.SAMURAJ-cz.com 

03.08.2021 Miluše Translate to English by Google     VÍTEJTE V MÉM SVĚTĚ

Články

Azure AD přihlašování bez hesla a vícefaktorové ověření (MFA)

Pátek, 21.05.2021 08:10 | Samuraj - Petr Bouška |
Navážeme na minulý článek, který se věnoval samoobslužnému portálu na reset hesla nebo odemknutí účtu (SSPR). Podíváme se na to, co Microsoft označuje jako přihlašování bez hesla (Passwordless Sign-in). Zde za pomoci aplikace Microsoft Authenticator. Jako hlavní se budeme věnovat vícefaktorové autentizaci (Multi-Factor Authentication - MFA). Znovu si zmíníme ověřovací metody a podíváme se i na jejich správu v Azure AD.

Článek navazuje na předchozí popis Azure AD moderní ověřování, samoobslužný reset hesla (SSPR)

Přihlašování bez hesla (Passwordless Sign-in) a Microsoft Authenticator

Jako ověřování bez hesla (Passwordless authentication) Microsoft označuje, když použijeme něco, co máme (mobilní telefon, bezpečnostní token - FIDO2) a něco, co známe (biometrika - otisk prstu, PIN (mě tedy PIN přijde jako heslo, ale což)). MS doporučuje Windows Hello for Business, FIDO2 security keys nebo Microsoft Authenticator app, na kterou se stručně podíváme. Tyto metody považuje za nejbezpečnější způsoby přihlášení - What authentication and verification methods are available in Azure Active Directory?

Microsoft Authenticator App můžeme použít pro ověření v SSPR (Self-Service Password Reset), pro přihlášení bez hesla (Phone Sign-in) nebo pro MFA (Multi-Factor Authentication). Můžeme využít samostatně (Phone Sign-in) nebo spolu s uživatelským heslem (Notification nebo Code).

Výzva ke schválení notifikace může vypadat následně:

Microsoft Authenticator schválení

Průběh přihlášení bez hesla

Při přihlášení nejprve zadáváme (vybíráme) své uživatelské jméno (email). Následně se již zobrazí schválení přihlášení pomocí aplikace. Pokud se zobrazí dotaz na heslo, tak by se níže měl nacházet odkaz Use an app instead, kterým se přepneme.

Přihlašovací dialog Microsoft Authenticator přihlášení

V aplikaci Microsoft Authenticator na mobilním telefonu se zobrazí notifikace a nabídka tří číslic. Vybereme číslo odpovídající přihlašovací obrazovce a klikneme na Approve. Potvrdíme otiskem prstu nebo PINem.

Microsoft Authenticator přihlášení v aplikaci

Povolení přihlášení bez hesla

Pro povolení Passwordless Authentication musíme nejprve zapnout kombinovanou registraci bezpečnostních informací. Následně povolíme Passwordless Phone sign-in pro všechny nebo vybrané uživatele.

  • Azure Active Directory admin center - Security - Authentication methods - Policies
  • zvolíme Microsoft Authenticator a zapneme Enable - Yes
  • Target volíme všechny uživatele nebo vybrané skupiny a uživatele
  • můžeme také volit Configure, zda jsou povoleny oba módy (defaultně) nebo pouze Passwordless and Push Notification mód
  • uložíme Save
Azure AD povolení Passwordless Authentication

Nastavení aplikace Microsoft Authenticator

Aby mohl uživatel použít přihlášení bez hesla, tak musí mít tuto možnost povolenu. Ke svému účtu mít přiřazenu (registrovánu) autentizační metodu Microsoft Authenticator app (https://aka.ms/mysecurityinfo). A v aplikaci u daného účtu nastaveno přihlašování telefonem (Enable phone sign-in).

Rozklikneme účet, zvolíme Set up phone sign-in a projdeme průvodce. Musíme mít nastaven zámek obrazovky (dokumentace uvádí otisk prstu nebo PIN, ale aplikace píše také o hesle nebo vzoru). Následně se provede registrace zařízení k uživateli v Azure AD tenantu.

Microsoft Authenticator nastavení Phone sign-in 1 Microsoft Authenticator nastavení Phone sign-in 2

Pozn.: Pro phone sign-in musí být zařízení registrované v Azure AD tenantu pro uživatele. Zařízení může být registrované pouze v jednom tenantu, takže lze využít pouze pro jeden work or school account.

Azure AD Multi-Factor Authentication (MFA) - vícefaktorová autentizace

Pokud se přihlašujeme jménem a heslem, tak jde o jednofaktorové ověření. Jde pouze o údaj, který známe, a pokud jej získá útočník, tak se jednoduše přihlásí do našeho účtu. Proto je bezpečnější přidat další faktor, něco, co máme (telefon, čipová karta, token) nebo něco, co jsme (biometrie - otisk prstu). Mluvíme pak o vícefaktorové autentizaci (Multifactor Authentication).

Azure AD Multi-Factor Authentication (MFA) poskytuje další vrstvu zabezpečení pomocí druhé formy ověřování při přístupu k datům nebo aplikacím (službám). Nejprve se ověříme standardním způsobem (nejčastěji jménem a heslem). V určitých případech může první krok (zadání hesla) proběhnout automaticky. Následuje druhý krok (MFA dotaz), kdy musíme použít další ověření.

Požadavek na použití MFA může být nastaven pouze pro určité typy přihlášení. Pokud nastanou určité podmínky, jako je třeba přihlášení z neznámého zařízení nebo přihlášení k určité službě či aplikaci. V ostatních případech může stačit klasické ověření.

Ukázky přihlášení pomocí MFA

Nejprve zadáváme (vybíráme) své uživatelské jméno (email) a heslo. Poté použijeme jednu z registrovaných metod. Může jít například o SMS, pomocí které nám přijde ověřovací kód.

MFA přihlášení 1 heslo MFA přihlášení 2 kód

Nebo schválení notifikace v aplikaci Microsoft Authenticator.

MFA přihlášení 1 heslo MFA přihlášení 2 notifikace

Pokud pro přihlášení využíváme Microsoft Authenticator app, tak jde rovnou o vícefaktorovou autentizaci. Čili si můžeme vybrat zadání hesla a (například) potvrzení notifikace v aplikaci. Nebo přihlášení aplikací, kdy potvrdíme číslici.

MFA přihlášení bez hesla

Ověřovací metody (Authentication methods)

Ověřovací metody pro MFA jsou podobné, jako pro SSPR, ale není podporován email a bezpečnostní otázky. Jde tedy o

  • Microsoft Authenticator app - podporuje (push) notifikace, uživatel pouze schválí Aprove, i ověřovací kód (OATH verification code), který se generuje každých 30 vteřin (nepotřebuje připojení k internetu, jde o OATH Software Token) a uživatel jej zadá v přihlašovacím dialogu
  • mobilní aplikace - pomocí ověřovacího kódu jsou podporovány i aplikace třetích stran, jako je Google Authenticator
  • OATH Hardware Token - generuje ověřovací kód, který uživatel zadá v přihlašovacím dialogu, může být programovatelný (podoba OATH Software Token) nebo s předprogramovaným Secret Key (nebo Seed), ty musíme zadat v administraci Azure AD
  • SMS - ověřovací kód se zašle pomocí SMS a uživatel jej zadá v přihlašovacím dialogu
  • hlasový hovor - automatizovaný hovor na číslo, uživatel jej přijme a potvrdí klávesou #

Zapnutí MFA

Multi-Factor Authentication můžeme zapnout několika způsoby.

  • Conditional Access policies - politiky definují, kdy a kdo musí použít MFA, vyžaduje licenci Azure AD Premium P1
  • povolit na uživatele (per-user) - MS nedoporučuje a označuje jako zastaralé (Legacy), můžeme nastavit pro vybrané uživatele, MFA se používá vždy (mimo zapamatovaného MFA, Trusted IPs, apod.), vyžaduje licenci Azure AD Office 365 apps
  • pro všechny pomocí Security Defaults - zapnutí Security Defaults nastaví MFA pro všechny uživatele, používá Microsoft Authenticator app, MS řídí, při kterých situacích je MFA vyžadováno, je součástí Azure AD Free licence

Podle Azure AD licence se liší nejen možnost zapnutí, ale také vlastnosti MFA. Například Azure AD Free podporuje pouze mobilní aplikaci (ne telefon). Více Licenses - Feature comparison of versions

Security Defaults

Zapnutí nebo vypnutí se provádí v

  • Azure Active Directory admin center - Properties - odkaz Manage Security defaults

Per-user MFA

Nastavení můžeme otevřít z několika míst, například

  • Azure Active Directory admin center - Users - All users  - nahoře je odkaz Multi-Factor Authentication

Pokud chceme vypnout (třeba, abychom použili jinou metodu nastavení), tak musíme všem uživatelům nastavit Disabled. Další možnosti jsou Enabled, kdy uživatel používá MFA, ale pro Legacy aplikace (nepodporující MFA) může využít heslo. Nebo Enforced, kdy pro Legacy aplikace musí registrovat a app passwords. Mezi Enabled a Enforced se přepíná automaticky.

Údaje, které zde vidíme se týkají pouze Per-user MFA. Neměli bychom je kombinovat se Security Defaults nebo Conditional Access policies a neuvidíme zde stav, pokud je nastaveno jednou z těchto metod.

Conditional Access policies

MS uvádí, že před použitím Conditional Access policies musíme vypnout Security Defaults i per-user MFA. Politiky se nastavují v

  • Azure Active Directory admin center - Security - Conditional Access - Policies

V dokumentaci Microsoftu jsou příklady běžných a doporučených politik Common Conditional Access policies.

Azure AD Conditional Access policies

Registrace autentizačních metod

Pokud uživateli povolíme MFA, a on nemá registrované MFA autentizační metody, tak se při dalším přihlášení (pomocí moderní autentizace) zobrazí průvodce na jejich zadání. Drobné detaily se liší podle metody, jak MFA povolíme. Pokud používáme kombinovanou registraci bezpečnostních informací, tak je průvodce velmi podobný jako pro SSPR.

Pokud používáme Conditional Access, tak je uživatel vyzván k registraci ve chvíli, kdy je požadováno MFA přihlášení. Pokud uživatel nepoužívá aplikace (přístupy), které jsou chráněny pomocí MFA, tak si nemusí registrovat autentizační metody. To může být nebezpečné, všichni uživatelé by měli mít tyto metody registrované. Řešení je vynutit registraci pomocí speciální Conditional Access policy, která vyžaduje MFA pro všechny přístupy. Aplikujeme ji na skupinu, kam zařadíme uživatele, kteří nejsou registrovaní. A postupně je odstraňujeme.

Pokud máme licenci Azure AD Premium P2, tak můžeme využít MFA registration policy.

Nastavení MFA

Část konfigurace Multi-Factor Authentication se nachází v

  • Azure Active Directory admin center - Security - MFA

Další nastavení nalezneme na odkaze

  • Azure Active Directory admin center - Security - MFA - Getting started odkaz Additional cloud-based MFA settings

Na stejnou stránku se dostaneme také z

  • Azure Active Directory admin center - Users - All users - nahoře odkaz Multi-Factor Authentication - Service Settings

Nachází se zde výběr povolených ověřovacích metod v části Verification options. Můžeme povolit či zakázat generování hesel pro staré bohaté aplikace - App passwords. Můžeme definovat důvěryhodné veřejné IP adresy, při připojení z nich neprobíhá MFA - Trusted IPs. A také povolit zapamatování MFA na důvěryhodném zařízení na daný počet dní - Remember multi-factor authentication on trusted device.

Detailní informace o konfiguraci jsou v článku Configure Azure AD Multi-Factor Authentication settings.

MFA konfigurace

Opětovné ověření (reauthentication)

Pro uživatele je důležité, jak složité je přihlášení a jak často jej musí opakovat. Zvláště při zavedení MFA, kdy je proces přihlášení více komplikovaný, je dobré se podívat na možnosti, kdy je třeba ověření uživatele.

Existuje řada nastavení, které mohou vést ke snížení potřeby ověření uživatele.

  • Azure AD Seamless SSO - automatické přihlášení ve firemní síti z firemního zařízení (synchronizovaní uživatelé s PHS nebo PTA)
  • politika frekvence přihlašování v rámci Conditional Access - vyžaduje Azure AD Premium licenci
  • možnost zůstaňte přihlášeni (Remain signed-in) - můžeme zakázat v Company branding, volba při přihlašování přes prohlížeč, umožní, že session zůstaňte aktivní (persistent cookie) i při zavření prohlížeče (neovlivňuje Azure AD Session Lifetime, který je defaultně 90 dní)
  • možnost zapamatování MFA (Remember MFA on trusted device) - nastavení v rámci MFA, volba při MFA přihlášení (Don't ask again for X days), uloží persistent cookie v prohlížeči, pokud nastavíme hodnotu menší než 90 dní, tak i Office klienti se budou muset ověřovat častěji

Standardně prohlížeč vyžaduje ověření při každém novém spuštění a přistoupení k aplikaci nebo službě. Klienti Office (aplikace) si uchovají ověření po dobu 90 dní. Na zařízeních, která nejsou registrovaná či připojená do Azure AD, se ověřuje každá aplikace samostatně (a udržuje svůj OAuth Refresh Token). Spravovaná zařízení (Managed devices), tedy ta, která mají objekt v Azure AD tenantu (jsou registrovaná nebo připojená) získávají Primary Refresh Tokens (PRT). Ten dovoluje využít SSO mezi aplikacemi.

Azure AD MFA pro On-Premises systémy

MFA v Azure AD můžeme využít i pro interní aplikace. Ty, které nepodporují přímé napojení na Azure AD, mohou využít Azure AD Application Proxy. Tak se publikují do Azure AD tenantu a mohou využít Conditional Access policies.

Další varianta je pro aplikace, které podporují RADIUS. Na Microsoft Network Policy Server (NPS) můžeme nainstalovat rozšíření (extension) pro Azure AD MFA. Jsou zde určitá omezení. Nelze použít Conditional Access policies, takže se vždy používá MFA. S protokol CHAPv2 je podporováno pouze notifikace z Microsoft Authenticator app a hlasový hovor.

Aplikace, které podporují moderní autentizaci (WS-Fed, SAML, OAuth, OpenID Connect), a ověřují se napřímo s Azure AD, mohou využít Conditional Access policies.

Správa autentizačních metod uživatele

Azure AD používá dvě oddělené skupiny kontaktních informací. První jsou jako součást uživatelského profilu viditelné ostatním členům organizace. Mohou se synchronizovat z On-Premises AD DS. Druhé, autentizační metody, jsou privátní a používají se pouze pro ověření. Uživatel si je může spravovat na stránce Security info svého profilu (MyAccount).

Administrátor může vidět registrované metody uživatelů v reportu

  • Azure Active Directory admin center - Password reset v části Usage & insights
  • Azure Active Directory admin center - Security - Authentication Methods v části User registration details

Nastavení a mazání metod administrátorem

Spravovat je může pro jednotlivé uživatele v

  • Azure Active Directory admin center - Users - All users
  • vybereme požadovaného uživatele a klikneme na něj
  • v levém menu zvolíme Authentication methods
Azure AD ověřovací metody u uživatele

Administrátor má k dispozici možnosti:

  • smazat existující metodu
  • přidat novou metodu (telefon či email)
  • resetovat heslo (nastavit dočasné, které musí uživatel změnit)
  • nastavit, aby při dalším přihlášení, byla pro uživatele požadována nová registrace autentizačních metod pro MFA (původní se nemažou, můžeme ručně)
  • odvolat existující MFA session - smaže uložené session a při přihlášení je třeba provést MFA

Některé podobné možnosti, a navíc možnost vymazat aplikační hesla, se nachází u jednotlivých uživatelů v

  • Azure Active Directory admin center - Users - All users  - nahoře je odkaz Multi-Factor Authentication
zobrazeno: 621krát | Komentáře [0]

Autor:

Související články:

Azure, Microsoft 365, Office 365, Cloud

Různá populární témata ohledně veřejného cloudu. Více zaměřeno na služby Microsoft, tedy IaaS, PaaS, SaaS Azure, adresářové služby Azure AD a hostované služby Microsoft 365 / Office 365.

Pokud se Vám článek líbil, tak mne potěšíte, když uložíte odkaz na některý server:

Pokud se chcete vyjádřit k tomuto článku, využijte komentáře níže.

Komentáře

Zatím tento záznam nikdo nekomentoval.

Přidat komentář

Vložit tag: strong em link

Vložit smajlík: :-) ;-) :-( :-O

Nápověda:
  • maximální délka komentáře je 2000 znaků
  • HTML tagy nejsou povoleny (budou odstraněny), použít se mohou pouze speciální tagy (jsou uvedeny nad vstupním polem)
  • nový řádek (ENTER) ukončí odstavec a začne nový
  • pokud odpovídáte na jiný komentář, vložte na začátek odstavce (řádku) číslo komentáře v hranatých závorkách