Microsoft 365 Identitets- og sikkerhetsvurdering – Del I
Microsoft 365 leverer tjenester og apper for produktivitet og samarbeid som lar deg jobbe når som helst, hvor som helst, på hva som helst. Du kan administrere brukere og enheter over et åpent og fiendtlig Internett. Dette krever at du tar i bruk de omfattende sikkerhetsmekanismene som følger med. To verktøy er sentrale. Azure AD Secure Score går igjennom hvor godt brukeridentitetene dine er sikret, og hjelper deg med å identifisere beste praksis som ennå ikke er implementert. Det gir bedrifter god innsikt i hva som må gjøres for å beskytte brukerne ytterligere.
Microsoft Sikkerhetsvurdering
undersøker hele organisasjonen din. Analysen tar utgangspunkt i løsningene, tjenestene, identitetene og enhetene som er del av eller benytter Microsoft 365. Her inngår informasjon og anbefalinger fra Azure Active Directory (AD) og Identity Secure Score. For enheter trekkes det inn vurderinger fra Microsoft Defender for Endpoint (MDE) og Microsoft Endpoint Manager (MEM). Bedømmelsen av apper bygger på overvåkingen i Office 365 og Cloud App Security. Forslag til forbedringshandlinger sørger for å beskytte miljøet ditt optimalt.
Azure AD Identity Secure Score
Dashbordet for Identity Secure Score finner du ved å åpne administrasjonssentret for Azure AD. Bla deg ned til Security, velg Identity Secure Score. Du kan også søke etter Azure AD Identity Secure Score i All services og legge den til som favoritt i navigasjonsfeltet. Dessverre er portalen ikke fornorsket ennå. Analysen forholder seg til hvilke lisenser du har, dermed til tilgjengelige tjenester. I vår lille organisasjon bruker vi Microsoft 365 Business Premium med en tilleggslisens på Azure AD P2, som kommer med Identitetsbeskyttelse. Derfor vurderes policyene for påloggings- og brukerrisiko.
Den gamle versjonen av Identity Secure Score opererer med en poengsum fra 1 til 223. Den nye måler i prosent. Begge fungerer som en indikator på hvor godt du har tilpasset deg Microsofts anbefalinger om å skire identiteter. Poengsummen hjelper deg med å foreta en objektiv vurdering. Du kan planlegge forbedringer og få råd om hva du bør gjøre. En sammenlikningsgraf viser hvordan du skårer innenfor samme bransje og i forhold til størrelsen på virksomheten. Det bidrar lett til å utfordre konkurransementaliteten hos en enhver administrator med respekt for seg selv.
I en relativt enkelt Microsoft 365-organsasjon er det ingen heksekunst å komme opp i 100 prosent. Det grunnleggende er å kreve multifaktor-autentisering (MFA) for alle brukere, sette opp selvbetjent tilbakestilling av passord, konfigurere passord til at de aldri utløper, og blokkere eldre protokoller som ikke håndterer MFA. Det blir vanskeligere – om ikke umulig – å skåre like høyt om du i tillegg benytter tredjepartsløsninger for sikkerhet eller har et hybrid miljø med føderering. Til gjengjeld vet du da hvilke råd du kan se bort fra.
Konfigurere MFA for alle brukere
Virksomheter sliter ofte med hvordan de skal komme i gang med MFA og hindre usikre protokoller. Så la oss benytte oss av Secure Score for Identity og utdype det utførlig. Klikk på handlingen Ensure all users can complete multi-factor authentication for secure access (Sørg for at alle brukere kan fullføre MFA for sikker tilgang). Du får informasjon om hvilken innvirkning det har på scoren, og hva som er maks resultat. Under Status kan du velge mellom: Skal adresseres, risiko akseptert, planlagt, løst ved tredjepart og løst ved alternativ utbedring. Det beskrives hva utfordringen består i:
«Multifaktor-autentisering (MFA) hjelper deg med å beskytte enheter og data som er tilgjengelige for disse brukerne. Ved å legge til flere autentiseringsmetoder, som Microsoft Authenticator-appen eller et telefonnummer, øker beskyttelsesnivået hvis en faktor er kompromittert.» Det gis en vurdering av brukerinnvirkning og implementeringskostnad, som i begge tilfeller er høy. Du får en forklaring på hvordan du skal gå frem. Det er to forslag. Ved en standard implementering kan du aktivere Sikkerhetsstandarder for å blokkere eldre autentisering, og kreve registrering og aktivering av MFA for alle brukere. Om du har mer komplekse sikkerhetskrav, bør du velge tilpasset implementering i Azure Portal-siden for betinget tilgang.
Standard implementering av MFA
Sikkerhetsstandarder (Security Defaults) er et sett med grunnleggende sikkerhetfunksjoner for å beskytte brukere mot identitetsrealterte angrep. Når de er aktivert, håndheves disse anbefalingene: Enhetlig registrering for MFA, så både administrator- og brukerkontoer er beskyttet, blokkere eldre autentisering og beskytte privilegerte handlinger i Microsoft Azure.
Velg Properties i administrasjonssentret for Azure AD. Bla deg ned til Mange Security defaults. Klikk på Yes for Enable Security defaults. Klikk på Save. Sikkerhetsstandarder kan bare brukes når du ikke har egendefinerte regler for betinget tilgang eller for identitetsbeskyttelse. Før du aktiverer Sikkerhetsstandarder, må alle tilpassede policyer fjernes. Begge kan ikke eksistere sammen.
Tilpasset implementering av MFA
En bedre og mer fleksibel, men også tidkrevende løsning er å benytte Betinget tilgang for å gjenskape det du oppnår med Sikkerhetsstandarder. Fordelen er at du kan legge til unntak og andre regler. Det krever minst Microsoft 365 Business Premium eller en lisens på Azure AD Premium P1. Metoden innebærer å opprette fire policyer. Du bør bli enig med deg selv om en standard for navngivning; for egen del bruker jeg samme språk som i portalen.
De første fire policyen dekker Sikkerhetsstandarder. Det er Require multi-factor authentication (Krev MFA for alle), Require MFA for administrative roles (Krev MFA for administrative roller), Block legacy authentication (blokker eldre autentisering) og Require MFA for Azure management (Krev MFA for administrasjon i Azure). Access from trusted devices (Tilgang fra klarerte enheter) håndteres ikke av Sikkerhetsstandarder og er et godt eksempel på hvorfor betinget tilgang er å foretrekke. Regelen sikrer at du bare kan logge på fra enheter som er registrert i Intune og oppfyller alle krav til samsvar.
Krev MFA for alle
Logg på Azure-portalen som global administrator, sikkerhetsadministrator eller administrator for betinget tilgang. Bla deg frem til Azure Active Directory, Security, Conditional Access. Klikk på New policy og gi den et navn. Velg All users under Assignments, Include. Legg eventuelt til kontoer som skal ekskluderes. Under Cloud apps or actions velger du All cloud apps. Her kan du ekskludere apper som ikke krever MFA.
Et viktig moment ved å benytte betinget tilgang er at du kan legge til unntak. Det anbefales at du benytter deg av brukerekskluderinger for minst én administrator, så du har en nødtilgang. Dette omtales som break glass-kontoer. Det kan være nødvendig å utelukke tjenestekontoer. Du kan ta hensyn til brukere ved for eksempel å legge til klarerte nettverk som ikke krever MFA. Det har også et sikkerhetsaspekt ved at dine ansatte ikke automatisk trykker på Godkjenn i Authenticator-appen uten å tenke seg om – det kan være en hacker som ber om godkjenning.
Under Conditions velger du Client apps.
Her kunne du ha opprettet en navngitt lokasjon (f.eks. MFA Trusted IPs) og ekskludert dem fra regelen. Du kunne også velge at du vil unnta hele Norge.
Til slutt angir du tilgangskontrollen. Bekreft innstillingene og sett Aktiver policy til På. Velg Create for å opprette for å aktivere policyen din.
Krev MFA for administrative roller
Den innledende fremgangsmåten er den samme som ovenfor. Gi policyen et navn. Under Users and Groups velger du Directory Roles og legger til roller som Global administrator, Exchange- og SharePoint-administrator. Under Exclude velger du én eller flere break glass-kontoer. Under Cloud Apps velger du alle. Under Access Control velger du at du skal gi tilgang med MFA. Bekreft innstillingene og sett Aktiver policy til På. Velg Create for å opprette for å aktivere policyen din.
Blokker eldre autentisering
Gi policyen et navn. Velg alle brukere. Ekskluder eventuelt kontoer som må ha muligheten til å bruke eldre autentisering uten MFA. Ekskluder minst én konto for å forhindre at du blir låst ut. Hvis du ikke ekskluderer noen konto, vil du ikke kunne opprette denne policyen. Velg alle skyapper under Cloud apps or actions. Under Conditions velg bare Exchange ActiveSync-klienter og Andre klienter. Under Access Control velg Block Access. Aktiver policy til Bare rapport. Velg Opprett for å opprette for å aktivere policyen din. Senere setter du policyen til På.
Krev MFA for administrasjon i Azure
Gi policyen et navn. Her velger du Microsoft Azure Management. Du velger alle klientapper og følger deretter samme fremgangsmåte som ovenfor for å aktivere policyen.
Avsluttende ord
Passordet ditt betyr ikke særlig mye, men MFA gjør det! Basert på Microsofts studier er det mer enn 99,9% mindre sannsynlig at kontoen din blir kompromittert hvis du bruker MFA. Naturligvis skal du ikke sette passordet til at det aldri skal utløpe, uten MFA. Det tar mellom én og to døgn til endringene reflekteres i Azure AD Identity Secure Score. I del II av dette innlegget tar vi for oss Microsoft Sikkerhetsvurdering, der vi har med Microsoft Defender for Endpoint. Produktet kan for en rimelig penge tegnes som tilleggslisens for Microsoft 365 Business Premium.