Azure Multi-Factor Authentication

Ez egy gyors áttekintés lesz. Az nem kérdés, hogy az MFA kell! – ha esetleg még nem használjátok, akkor gyorsan vezessétek be 🙂 – Már csak az a kérdés milyen lehetőségeink vannak az MFA-val kapcsolatban az Azure-ban. Ezt fogom részletezni ebben a kis szösszenetben 🙂

Mielőtt bevezetnénk tekintsünk át néhány előfeltételt. Ez sokban függ attól, hogy mely forgatókönyv szerint használjuk az Azure szolgáltatásokat.

No alt text provided for this image

A bevezetést két fontos eseménynek kell megelőznie:

  • A konfiguráció tesztelése
  • Felhasználók megfelelő tájékoztatása!

Miután ezzel megvagyunk két fő konfigurációs lehetőség közül választhatunk:

  • Központosított policy alapú MFA (Itt például szűrhetünk, hogy az adott felhasználó honnan jelentkezik be és ez alapján lesz érvényes az MFA. De itt más szűrési feltételek is elérhetőek.
  • Felhasználókénti MFA konfiguráció
No alt text provided for this image

Fontos! A státusz azt jelzi, hogy a rendszergazda regisztrálta őket az MFA-ba és hogy elvégezték-e a regisztrációs folyamatot.

Az összes felhasználó alapesetben le van tiltva. Amikor a felhasználót regisztráljuk az MFA-ba, akkor az állapotuk engedélyezetté válik. Ezután ha a felhasználó bejelentkezik és elvégzi a regisztrációs folyamatot, akkor állapotuk kikényszerítetté válik.

Az MFA állapotot le tudjuk kérdezni Azure felületen és powershellből.

Azure felület:

Azure Active Directory > felhasználók és csoportok > minden felhasználólehetőséget > multi-Factor Authentication

No alt text provided for this image

Powershell:

Powershell alapú ellenőrzéshez javasolok egy scriptet, amit itt érthettek el:

https://gallery.technet.microsoft.com/office/Export-Office-365-Users-eed7a82c

Ezen beállításokat tudjuk módosítani powershellből vagy a webes felületen.

Fontos! Az MFA több lehetőséget biztosít az azonosításhoz:

  • Értesítés jóváhagyása a mobiltelefonra telepített Microsoft Authenticator alkalmazásban. (Ez a lehetőség nem elérhető Android alapú mobiltelefonon Kínában élőknek és oda utazóknak)
  • Ellenőrző kód használata a Microsoft Authenticator alkalmazásban
  • Telefonhívás
  • SMS üzenet a mobiltelefonra

A rendszergazdáknak további lehetőségeik vannak az MFA konfigurációhoz. Például meg tudják adni, hogy meddig legyen megbízható az a készülék amiről a MFA-t elvégezték vagy szabályozhatjuk, hogy mely azonosítási lehetőség érhető el a felhasználó számára.

Fontos! Amennyiben a felhasználó kikényszerítve állapotba kerül, akkor szükséges lesz alkalmazás jelszó beállítására, amennyiben az adott alkalmazás nem támogatja a modern hitelesítést (pl.: POP, IMAP protokollt használó alkalmazás). Továbbá minden bejelentkezésnél szükség lesz az MFA-ra, tehát nem lesz token lejárat.

….folytatás következik…addig is a biztonság és a felhő legyen veletek:)

Üdv.: NLB