Microsoft Enterprise SSO og Plattform SSO for macOS
Temaet for årets sikkerhetsmåned er sosial manipulering. Flere av angrepsteknikkene sikter seg inn mot identitetstyveri. Den beste metoden for å beskytte Mac-brukere mot denne type angrep er å sette opp Microsoft Enterprise SSO-plugin for Apple-enheter og Platform SSO for macOS.
Enterprise SSO ble lansert på vårparten og gir brukeridentiteter i Entra ID enhetsomfattende engangspålogging (SSO) for alle apper og nettsteder på en konsistent, sikker og sømløs måte. Modulen holder seg oppdatert med de nyeste Microsoft-teknologiene etter hvert som de utvikler seg.
Plattform SSO, som snart foreligger i offentlig forhåndsversjon, sørger for en kraftig forbedring av disse egenskapene. Brukere drar nytte av SSO gjennom en maskinvarebundet nøkkel eller ved å logge på en Mac med deres Microsoft Entra ID-passord. Integrasjonen med Secure Enclave muliggjør passordløs, phishing-resitent autentisering på macOS-enheter og fremmer virksomhetens målom å implementere sikkerhetsarkitekturen Zero Trust. Du administrer SSO-modulene med Microsoft Intune. Støtte for andre MDM-leverandører er annonsert.
Microsoft Platform SSO
SSO står for single sign-on og oversettes gjerne med integrert eller forenklet engangspålogging, som fungerer på tvers av tjenester og applikasjoner. Det sørger for at sluttbrukerne dine bare har én enkelt identitet og én påloggingsmetodefor alle ressurstilganger, som kanaliseres gjennom policymotoren Betinget tilgang for å håndheve dine retningslinjer. Det gjør livet lettere for sluttbrukere, forenkler overvåking og begrenser skaden om et vellykket angrep er et faktum. Platform SSO forbedrer de eksisterende SSO-utvidelser for macOS. Den lar brukere logge på Macene sine ved å bruke passordløs legitimasjon eller passord som administreres og valideres av Entra ID (Azure AD).
To moduler med ett mål
Drivkraften i bunnen er Microsofts Enterprise SSO-plugin, som må rulles ut først. Oppå den aktiveres Platform SSO. Da kan du benytte deg av plattform-legitimasjon som sørger for at Mac-brukere kan operere uten passord.I stedet benytter de Touch ID for å låse opp enheten og blir logget på Entra ID under panseret ved hjelp av en kryptografisk nøkkel som er knyttet til enheten.
Teknologien er beslektet med Windows Hello for Business og motstandsdyktig mot phishing. Den er støttet av Apples maskinvare med T2-brikken som allerede er i Macen. Dette vil spare virksomheten for penger ved å fjerne behovet for sikkerhetsnøkler eller andre maskinvarebaserte løsninger. Når brukere logger på, fortsetter den foreliggende Microsoft Enterprise SSO-plugin-modulen å gjøre sin magi ved å holde dem logget på appene de bruker på jobb – men med kun én legitimasjon, noe som er tryggere og sikrere.
Fastholde bruk av passord
Ikke alle er klare for å fjerne passord fullstendig fra Entra ID-pålogginger. Med Platform SSO for macOS kan organisasjoner synkronisere lokale kontopassord og Entra ID-passord, så brukere kan benytte samme legitimasjon på tvers av Mac-enheten.
De trenger ikke lenger huske separate passord, og passordet kan følge Microsofts anbefalinger, som går ut på at det skal inneholde minst 15 tegn og aldri utløpe når det kombineres med multifaktor-autentisering (MFA).
Platform SSO for macOS lar også administratorer konfigurere autentiseringsmetoden for sluttbrukere, hva enten de velger phishing-resistent legitimasjon eller tradisjonelt passord. (De andre sikkerhetsanbefalingene er utbedret, men det tar tid før det vises i Microsoft 365 Defender.)
Egenskaper ved Platform SSO
Onboarding av Macer i Microsoft Intune er forbedret. Platform SSO for macOS forenkler registreringen og muliggjør en kjent og naturlig macOS-opplevelse som Mac-brukere vil elske. Sånn er det ikke lenger behov for å starte Firmaportal-appen for å få tilgang til ressurser beskyttet av betinget tilgang på Intune-administrerte Macer. Påloggingsinformasjonen er bundet til maskinvare og eliminerer passord som primær angrepsvektor. Angripere må dermed skaffe seg fysisk tilgang til maskinen og har ingen glede av rappet legitimasjon. Dette er et viktig skritt på reisen mot Zero Trust.
Forberedelser til Platform SSO
Du kan forberede organisasjonen din for Platform SSO for macOS ved å følge disse trinnene:
- Distribuer Microsoft Enterprise SSO-plugin-modulen.
- Sørg for at brukere er registrert for multifaktor-autentisering(MFA) i Microsoft Entra ID.Den beste opplevelsen gir Microsoft Authenticator.
- Oppdater macOS-enheter til macOS 13 (Ventura) eller nyere (Sonoma).
Konfigurere Microsoft Enterprise SSO-plugin
Følg trinnene nedenfor for å aktivere og konfigurere programtillegget via Microsoft Intune. Enterprise SSO-plugin er tilgjengelig både for macOS og iOS/IPadOS og prosedyren er den samme. Du trenger administrative rettigheter i Intune. Velg Endepunktbehandling i Microsoft 365 administrasjonssenter.
Gå til Devices og velg macOS (for iPhone og iPad naturlig nok iOS/iPadOS).
Klikk på Create profile, velg Templates som profiltype og Device features som Template name og klikk på Create.
Angi et navn for profilen, som for eksempel Microsoft Enterprise SSO plug-in for macOS. Klikk på Next.
Under Configuration settings navigerer du til Single sign-on app extension. Velg Microsoft Azure AD for SSO app extension type. Det burde holde for å tildele profilen til utvalgte brukere, eventuelt enheter. Men det kan være verdt å utforske flere innstillinger som kan forbedre brukeropplevelsen. Bla deg lenger ned til Additional configuration og legge til verdiene nedenfor.
AppPrefixAllowList er av typen streng. Anbefalte verdier er com.microsoft.,com.apple. (Legg merke til skrivemåten med punktum og komma.) Dette er en liste over prefikser for apper som ikke støtter Microsoft Authentication Library (MSAL) og har tillatelse til å bruke SSO.
browser_sso_interaction_enabled er av typen integer (heltall). Når den er satt til 1 (anbefalt), kan brukere logge på fra Safari-nettleseren og fra apper som ikke støtter MSAL. Aktivering av denne innstillingen lar brukere starte utvidelsen fra Safari eller andre apper.
disable_explicit_app_prompt er av typen integer. Enkelte apper håndhever feilaktig brukerforespørsler på protokoll-laget. Da blir brukere bedt om å logge på, selv om Microsoft Enterprise SSO-plugin-modulen fungerer for andre apper. Når verdien er satt til 1, reduserer du disse oppfordringene.
Teste Microsoft Enterprise SSO-plugin
Først må du kontrollere at modulen er rullet ut. Så kan du åpne et privat vindu i Safari og gå til https://portal.office.com. Ingen brukernavn og passord vil være nødvendig.
Avsluttende ord
Microsoft hadde fra før støtte for tre autentiseringsmetoder som er fullstendig motstandsdyktige mot phishing. Det er Windows Hello for Business, FIDO2-nøkler og sertifikatbasert godkjenning. Med Plattform SSO blir det nå en fjerde.
Microsoft Authenticator stiller ikke helt i samme liga, selv med biometrisk beskyttelse (Face ID) og push-varsler med nummer-matching som angir geografisk sted og applikasjon. Samtidig vil en administrator som sørger for sikkerhet i små og mellomstore bedrifter (SMB), neppe ha grunn til å få søvnløse netter av pålogginger med Authenticator.
Med kombinasjonen av Microsoft Enterprise SSO-plugin for Apple-enheter og Platform SSO for macOS får en Mac endelig samme integrerte sikre pålogging som Windows lenge har hatt med Hello for Business.
Oppsett og bruk skal gjennomgås i detalj i et kommende innlegg når Platform SSO er lansert for offentlig forhåndsvisning; her har vi måttet nøye oss med Enterprise SSO. Det er verdt å nevne at du på Apple-enheter knapt trenger å huske et passord lenger. Nøkkelring (Keychain) synkroniserer dem via iCloud på tvers av Mac, iPhone og iPad. Og man har passnøkler, et emne for fremtidige innlegg.