www.SAMURAJ-cz.com 

03.03.2024 Kamil Translate to English by Google     VÍTEJTE V MÉM SVĚTĚ

Série článků (seriály, skupiny)

Azure AD identity a autentizace

Články související s identitou uživatelů a zařízení (nejen) v Azure AD. Různé možnosti přihlašování a ověřování. Oblasti jako moderní autentizace, vícefaktorová autentizaci, přihlašování bez hesla, apod.

Azure AD Connect a replikace účtů z On-Premises AD DS

Tento článek obsahuje moje stručné poznámky k velmi rozsáhlé oblasti Azure AD pro služby Microsoft 365 / Office 365. Neměl jsem čas na detailnější studium, takže jsem se snažil co nejjednodušeji otestovat a zprovoznit potřebné. Tedy replikaci lokálních účtů do online prostředí. Navíc v situaci, kdy již v Azure AD existovaly ručně vytvořené účty (cloud), a ty bylo potřeba spárovat s lokálními účty (on-premises). Neručím za přesnost a již vůbec není článek komplexní.
23.04.2021 | 18.09.2020 | Samuraj - Petr Bouška | Microsoft admin | 12090x | Komentáře [3]

Azure AD moderní ověřování, samoobslužný reset hesla (SSPR)

V článku se podíváme na možnosti Azure AD pro samoobslužnou změnu či reset hesla nebo odemknutí účtu (SSPR). Zaměříme se na situaci, kdy máme On-Premises Active Directory Domain Services (AD DS) uživatele synchronizované do cloudového Azure AD. Ne tak důležité je, že se využívá Password hash synchronization (PHS). Na začátku budeme řešit zpětný zápis hesla (Password Writeback), aby se změny hesel v cloudu projevily i v On-Premises. Zmíníme pojem moderní autentizace, politiky hesel a důležité jsou ověřovací metody (Authentication methods).

Azure AD přihlašování bez hesla a vícefaktorové ověření (MFA)

Navážeme na minulý článek, který se věnoval samoobslužnému portálu na reset hesla nebo odemknutí účtu (SSPR). Podíváme se na to, co Microsoft označuje jako přihlašování bez hesla (Passwordless Sign-in). Zde za pomoci aplikace Microsoft Authenticator. Jako hlavní se budeme věnovat vícefaktorové autentizaci (Multi-Factor Authentication - MFA). Znovu si zmíníme ověřovací metody a podíváme se i na jejich správu v Azure AD.
20.12.2021 | 21.05.2021 | Samuraj - Petr Bouška | Microsoft admin | 6017x | Komentáře [0]

Hybrid Azure AD Join

Registrace počítačů a dalších zařízení (jako jsou mobilní telefony) do Azure AD nám může přinést různé výhody. Krátce zmíníme základní možnost Azure AD Device Registration. Dále se budeme věnovat Hybrid Azure AD Join. Kdy máme počítače připojené k On-Premises AD doméně, jejich účty synchronizujeme do Azure AD a počítače se zaregistrují do Azure AD. Mohou pak využívat výhody obou prostředí. V Azure AD funguje SSO a podmíněný přístup (Conditional Access).

Windows, macOS a Android registrace do Azure AD a autentizace zařízení

Podíváme se na možné způsoby registrace zařízení do Azure AD. Zaměříme se na operační systémy macOS a Android (iOS by měl být podobný), ale popíšeme si také Windows. V druhé části rozebereme Device Authentication, tedy ověření zařízení při přihlašování do Azure AD, které můžeme využít pro identifikaci zařízení a řízení přístupu. Opět je zajímavější fungování na macOS a Android, které má určitá omezení, kdežto Windows funguje jednoduše automaticky.

Windows Hello for Business - úvod

Ve firemním prostředí můžeme zvýšit bezpečnost uživatelských účtů, a často také pohodlí uživatelů, když nasadíme Windows Hello for Business. Jde o vytvoření přihlašovacích údajů (asymetrický pár klíčů, často chráněný pomocí TPM) pro uživatelský účet v Azure AD (případně AD). Tyto údaje jsou napevno svázány s určitým zařízením (počítačem) a nelze je použít jinde (vzdáleně). Uživatel si pro přihlášení nastaví (nejčastěji) otisk prstu, jako záloha slouží PIN. Tento článek stručně popisuje technologii a uvádí argumenty o zvýšení bezpečnosti.
09.06.2023 | 05.06.2023 | Samuraj - Petr Bouška | Microsoft admin | 2287x | Komentáře [0]

Windows Hello for Business - nasazení Cloud Kerberos Trust

Windows Hello vytvoří přihlašovací údaje (asymetrický pár klíčů, často chráněný pomocí TPM) pro uživatelský účet v Azure AD (případně AD), které jsou napevno svázány s určitým zařízením. Uživatel si pro přihlášení nastaví (nejčastěji) otisk prstu, jako záloha slouží PIN. V článku si popíšeme možný způsob nasazení Windows Hello for Business v hybridním firemním prostředí. Jde o nejnovější a velmi jednoduchou metodu nasazení zvanou Cloud Kerberos Trust.
11.06.2023 | 06.06.2023 | Samuraj - Petr Bouška | Microsoft admin | 2094x | Komentáře [0]

Windows Hello for Business - uživatelské nastavení a používání

Windows Hello vytvoří přihlašovací údaje (asymetrický pár klíčů, často chráněný pomocí TPM) pro uživatelský účet v Azure AD (případně AD), které jsou napevno svázány s určitým zařízením. Uživatel si pro přihlášení nastaví (nejčastěji) otisk prstu, jako záloha slouží PIN. V tomto článku si popíšeme průběh registrace (Provisioning) Windows Hello na zařízení. Může probíhat při prvním přihlášení po zapnutí nebo přes nastavení Windows. Zmíníme přihlašování a reset PINu.
12.06.2023 | 07.06.2023 | Samuraj - Petr Bouška | Microsoft admin | 1979x | Komentáře [2]

Přihlašování pomocí FIDO2 bezpečnostního klíče

Podíváme se na Microsoft podporu pro přihlašování (autentizaci) pomocí FIDO2 security key (ve firemním prostředí). V rámci Azure AD je podporováno ověření pomocí FIDO2 bezpečnostního klíče. V hybridním prostředí, můžeme využít také pro přihlášení do Windows a lokálního Active Directory. FIDO2 se řadí mezi bezpečné vícefaktorové ověření bez hesla, navíc odolné proti phishingu, a můžeme tak výrazně zvýšit bezpečnost uživatelských účtů. Přihlašování klíčem může být také pohodlnější.
13.07.2023 | 21.06.2023 | Samuraj - Petr Bouška | Microsoft admin | 3476x | Komentáře [1]

Vícefaktorová autentizace (MFA) v Microsoft Entra ID

Využití Multi-Factor Authentication (MFA) je dnes běžným standardem. Podíváme se na možnosti, které nabízí Microsoft pro firemní účty v Microsoft Entra ID. Toto ověřování můžeme využít v rámci Microsoft 365, ale také napojit aplikace třetích stran či naše interní aplikace. Uvedeme si, jaké ověřovací metody jsou k dispozici, a proč jsou některé více bezpečné než jiné. Popíšeme fungování různých kategorií MFA.

Vícefaktorová autentizace (MFA) registrace ověřovacích metod a přihlašování

Po obecném popisu Microsoft Entra Multi-Factor Authentication (MFA) se podíváme více prakticky na registraci a správu ověřovacích metod. Zaměříme se na možnosti Microsoft Authenticator, v tomto případě je optimální Phone sign-in. Pak si ukážeme průběh přihlášení pomocí MFA a použití některých ověřovacích metod.