Hopp til hovedinnhold

Totrinnsbekreftelse med Azure MFA

Logo letter
Evelon AS
Jon-Alfred Smith

Totrinnsbekreftelse eller multifaktor-autentisering (MFA) er den enkleste og mest effektive metoden for å øke sikkerheten i virksomheten din. MFA reduserer faren for identitetstyveri med 99,9 prosent. Samtidig må brukere utføre et ekstra trinn i autentiseringsprosessen. Det koster tid, uten at det gir en synlig gevinst. Teknisk er det tre forskjellige måter å konfigurere MFA på i Microsoft 365 og Azure. Du kan sette opp eldre MFA per bruker (anbefales ikke lenger), aktivere Sikkerhetsstandarder eller benytte deg av Betinget tilgang. Du må bestemme deg for når og hvor ofte dine ansatte må logge på med MFA. Brukere går lett lei og kan tankeløst godkjenne autentiseringsforespørsler de ikke selv har initialisert. Sånn oppstår en sikkerhetsrisiko som MFA er med på å skape.

Multifaktor-autentisering

Totrinnbekreftelse11

Multifaktor refererer til prinsippet om å utnytte flere elementer (faktorer) for å bekrefte en identitet. Du kjenner det fra nettbanken. Du logger på med personnummer, oppgir seks sifre som genereres av en kodebrikke eller mobilapp, og taster inn passordet ditt. Elementer som kan benyttes i MFA, er:

  • Noe du vet – som et passord eller en PIN-kode
  • Noe du har – som en mobil, en maskinvarenøkkel eller programvare-basert sikkerhetsnøkkel
  • Noe du er – som inkluderer fingeravtrykk, ansiktsgjenkjenning og netthinneskanning

Autentisering med bare passord er ikke sikkert nok fordi de kan komme på avveie, stjeles og knekkes. Allerede en PIN er bedre fordi den er knyttet til en spesifikk enhet og ikke sendes over nettet. Ved å legge til en faktor øker du sikkerheten i autentiseringsprosessen enormt. Azure MFA er Microsofts løsning, skydrevet og fullt integrert i Azure Active Directory (AD). Det er støtte for tredjeparter fra leverandører som RSA, Duo Security, Trusona og SecureAuth.

Grunnleggende sikkerhetsrisiko med MFA

Totrinnbekreftelse2

En opplagt risiko oppstår sånn: Passord stjeles ved phishing og andre former for sosial manipulering. De knekkes ved rå kraft eller passordsprøyting. Lister over brukerlegitimasjon omsettes på Det mørke nettet. En hacker logger på med gyldig legitimasjon. Du blir oppfordret til å godkjenne påloggingen og gjør det i vanvare. Da er angriperen autentisert. For å gardere deg bør du sette opp en regel om at brukere bare kan logge på fra klarerte enheter. Det hindrer ikke at Microsoft godt kan forbedre forespørslene og inkludere kontekst og hvor de kommer fra. I skjermbildet ovenfor ble hackere fra Tyskland hindret av krav om MFA, men hadde heller ikke kommet videre grunnet Betinget tilgang.

Funksjonssammenlikning av MFA-versjoner

Totrinnbekreftelse3

Mekanismene i Azure AD Gratis følger med i alle abonnementer på Microsoft 365 og Azure. Med det menes Sikkerhetsstandarder. Microsoft 365 Apps gir noe mer funksjonalitet. Azure AD Premium P1 eller P2 lar deg konfigurere MFA med Betinget tilgang, som er den beste metoden.

Eldre MFA per bruker (anbefales ikke)

Totrinnbekreftelse4

Den eldre måten å sette opp MFA på er ved å gå inn i Microsoft 365-administrasjonssenter og klikke på Godkjenning med flere faktorer. Fra portalen for Azure AD velger du Users | All users, Multi-Factor Authentication. Eldre MFA per bruker omtales også som Office 365 MFA.

Totrinnbekreftelse5

Så velger du brukere og aktiverer MFA. Dette anbefales ikke lenger. I stedet bør du sørge for at brukerne er deaktivert her og i stedet benytter seg av Sikkerhetsstandarder eller Betinget tilgang. Du bør bare benytte deg av denne muligheten hvis de to andre alternativene ikke er en opsjon. Som et minimum bør i så fall brukerkontoer som har administratorroller, spesielt den globale administrator, aktiveres. Ved neste pålogging blir de bedt om å registrere seg for MFA.

Tjenesteinnstillinger for MFA

På siden for tjenesteinnstillinger (service settings) kan du konfigurere app-passord, klarerte IP-adresser, alternativer for verifisering og tillate brukere å huske MFA på enheter de stoler på.

Totrinnbekreftelse6

App-passord er engangspassord for programmer som ikke støtter moderne autentisering med MFA. Du bør ikke benytte alternativet, med mindre du må, da det representerer en sikkerhetsrisiko.

Totrinnbekreftelse7

Klarerte IP-adresser lar deg hoppe over MFA for forespørsler fra utvalgte lokale subnett. Dette valget er bare tilgjengelig for Eldre MFA per bruker. Sikkerhetsstandarder lærer av seg selv hvilke nettverk som er trygge. Med Betinget tilgang legger du til klarerte nettverkssteder som unntak.

Totrinnbekreftelse8

Du må velge hvilke MFA-metoder du vil støtte:

  • Ring til telefon. Bruker mottar et automatisk taleanrop og trykker hash-tasten (#) under samtalen for å godkjenne autentiseringen.
  • Tekstmelding til telefon. En SMS sendes til brukers mobil. Bekreftelseskoden benyttes idet du logger på. Metoden omtales som tidsbasert engangspassord.
  • Varsling via mobilapp. MFA-tjenesten sender et push-varsel til Microsoft Authenticator-appen for iOS eller Android. Bruker må trykke på Godkjenn før det gis tilgang.
  • Bekreftelseskode fra mobilappen. Samme Microsoft Authenticator frembringer også en ny OATH-bekreftelseskode hvert 30. sekund. Dette er også et tidsbasert engangspassord.

Microsoft advarer i dag mot å benytte taleanrop og SMS som annen faktor i autentiseringen. De overføres i klartekst og kan snappes opp av determinerte angripere. SIM-kortsvindel er utbredt og har fått mange navn, blant dem SIM-Swapping (SIM-bytte), smishing og simjacking. På den måten får angripere engangskoder på vegne av sine ofre. Utover det har telefonnettverk ytelsesproblemer og nedetid, som påvirker tilgjengeligheten av MFA-tjenesten generelt. Det sikreste er en mobilapp eller en passordløs løsning som maskinvarenøkler.

Totrinnbekreftelse9

Her kan du angi om du ønsker å tillate brukere å huske MFA på enheter de stolerpå (mellom én og 365 dager). Standardinnstillingen er 14 dager. Det er en grei konfigurasjon for Eldre MFA per bruker. Om du setter opp MFA med Betinget tilgang, anbefales det at du forlenger varigheten til 90 eller flere dager.

Sikkerhetsstandarder

Totrinnbekreftelse10

Sikkerhetsstandarder (Security Defaults) er et sett med mekanismer som beskytter brukere mot identitetsrelaterte angrep. Når de er aktivert, må alle i virksomheten registrere seg for MFA innen 14 dager. Etter det er det obligatorisk før brukere kan logge på. Medlemmer av administratorroller må alltid benytte MFA, vanlige brukere bare når risikoen ved påloggingen krever det. Her benyttes det maskinlæring. Standardene blokkerer eldre protokoller som ikke støtter moderne godkjenning, som POP3, SMTP, IMAP og ActiveSync med grunnleggende autentisering. Det er nødvendig med MFA for privilegerte handlinger som utføres i Azure.

Totrinnbekreftelse12

Du aktiverer Sikkerhetshandlinger ved å gå til portalen for Azure AD. Velg Properties og bla deg ned til Mange Security defaults. Klikk på Yes for Enable Security defaults. Klikk på Save. Du kan få en feilmelding om at Sikkerhetsstandarder ikke kan brukes sammen med betinget tilgang eller identitetsbeskyttelse. Da må du eventuelt fjerne policyene. Bla deg ned til Mange Security defaults. Klikk på No for Enable Security defaults. Oppgi årsaken. Klikk på Save.

MFA med Betinget tilgang

Totrinnbekreftelse13

Policyer for betinget tilgang trigger kontroller når alle betingelser er møtt. «Når dette skjer» er betingelser. «Så gjør dette» kalles tilgangskontroller. Tilgjengelige betingelser er brukere og grupper, enhetsplattform og -tilstand, sted, klient- og skyapper og påloggingsrisiko. Så bestemmer disse betingelsene eller signalene om tilgang skal tillates uten MFA, kreve MFA eller blokkeres. Vurdering av sanntidsrisiko er en avansert funksjon som krever identitetsbeskyttelsen i Azure AD Premium P2.

Betinget tilgang lar deg opprette samme regler som med Sikkerhetsstandarder, men du får mer fleksibilitet. Du kan legge til unntak for brukere, nettverkssteder og enheter. Du kan opererere med andre typer policyer som kvalifiserer tilgang til bedriftsdata. Men først bør du ha det grunnleggende på plass. Nedenfor er reglene i Sikkerhetsstandarder gjenskapt med Betinget tilgang. Det er lagt til en policy til: Access from trusted devices. Den sikrer at det bare godtas pålogginger fra klarerte enheter. Portalen for Azure AD er ikke fornorsket ennå. Dermed er regelsettene navngitt på engelsk.

Totrinnbekreftelse14
  • Require multi-factor authentication krever MFA for alle brukere for tilgang til virksomheten. Unntak er om de befinner seg på et klarert nettverk og logger på fra en enhet som er registrert i Intune.
  • Require MFA for administrative roles fordrer alltid MFA for medlemmer av administratorroller.
  • Block legacy authentication blokkerer eldre autentiseringsprotokoller. Her er det enkelte ganger aktuelt å fravike kravet.
  • Require MFA for Azure management krever MFA for administrative oppgaver I Azure.

Fremgangsmåten for å konfigurere Betinget tilgang for MFA er antydet i slutten av dette innlegget.

Bruke flere metoder sammen

Tabellen viser hva som skjer om du forsøker å aktivere flere autentiseringsmetoder sammen.

Totrinnbekreftelse15

Sikkerhetsstandarder og Betinget tilgang er uforenlige. Du må velge en av metodene. Eldre MFA per bruker overstyrer de to andre. Med Sikkerhetsstandarder kan du bare bruke Microsoft Authenticator som annen faktor. For de to andre er det valgfritt. Det er avhengig av hva du som administrator bestemmer og hvilke som velges. Du bør alltid sette opp minst to alternativer.

Overvåking av pålogginger

Totrinnbekreftelse16

Få bruker til å registrere MFA på nytt

Totrinnbekreftelse17

Du kan registrere deg for MFA og endre innstillinger på https://mysignins.microsoft.com eller https://aka.ms/mfasetup.

Microsoft Authenticator

Microsoft Authenticator er den beste mobilappen for MFA i Microsoft 365 og Azure. Den er tilgjengelig for iOS/iPadOS, watchOS (Apple Watch) og Android. Til vanlig vil du bruke push-varsling. Når MFA er aktivert, får du opp en oppfordring om å trykke på Godkjenn eller Avvis. Om autentiseringen svikter, kan du falle tilbake på en tidsbasert engangskode som genereres på nytt hvert 30. sekund, med støtte for en hvilken som helst online-konto.

Totrinnbekreftelse18

Godkjenner-appen kan benyttes sammen med brukernavn/passord. Som sikkerhet er det en applås som krever fingeravtrykk, ansiktsgjenkjenning eller en PIN for å åpne den. Du konfigurere kontoen ved å inn QR-koden i innstillingene for MFA for Microsoft. For detaljer se her.

Avsluttende ord

Funksjoner som Betinget tilgang, MFA og Selvbetjent tilbakestilling av passord er bygget inn i Azure AD. Men du må konfigurere dem. Det følger den delte ansvarsmodellen mellom deg og Microsoft for å sikre virksomheten din. Du bør i det lengste unngå eldre MFA per bruker (Office 365 MFA). Valget står mellom Sikkerhetsstandarder og MFA med Betinget tilgang. I Microsoft 365 Business Premium er det naturlig å velge sistnevnte.

Publisert:

Vi hjelper gjerne til med å finne den beste løsningen for din bedrift

Ta kontakt med oss for en uforpliktende prat!