Azure AD Conditional Access – säkra upp access till Azure och Office 365

Azure och Office 365 erbjuder det Microsoft kallar mobile-first, cloud-first vilket innebär att användarna kan vara produktiva var de än är, med vilken device de vill och när de vill. Det går dock emot många säkerhetsaspekter att skydda företagets resurser.

Som standard i Office 365 kan en användare logga in varsomhelst ifrån med namn och lösenord men i många organisationer är det inte säkert nog. Azure AD Conditional Access försöker råda bot på det genom att säkra upp accessen till Azure och Office 365 genom att sätta ett villkor och en policy på hur access tillåts. Ett exempel är att man vid vissa villkor ställa krav på MFA (Multi Factor Authentication) eller att den enhet användaren loggar in i från är AD joinad eller till och med godkänd i MDM-lösningen eller alla dessa.

Det går att välja ut vissa användare/grupper då det ofta i organisationer ställs olika krav på olika användare beroende på hur känslig data de har tillgång till och vad för slags enheter de har sin ägo:

Det går att ställa in i väldig detalj vilka applikationer ett villkor gäller för, inte bara i Microsofts molnlösningar utan även de man integrerat med Azure AD inloggning. Exempelvis kan man tillåta inloggning med namn/lösenord till anvädarens OneDrive, men ska man logga in i Salesforce så krävs MFA.

Det går även att dela upp villkoren efter olika enheter, till exempel om man vill förhindra alla med ett viss operativsystem logga in alls eller kanske ställa högre krav på inloggningen från vissa operativsystem då de normalt inte hanteras av IT-avdelningen.

Det går även att ställa olika krav beroende på vilken ”risk” inloggningen sker efter. Här står Microsoft Security Graph bakom kunskapen kring detta. Till exempel om inloggning sker från en IP-adress som normalt används av anonyma VPN-nätverk så är risken betydligt högre än om användaren loggar in från en annan IP-adress. I och med detta kan man ställa högre krav på vissa inloggningar, eller rent utav blockera alla inloggningar med hög risk för att undersöka varför det sker.

Det går även ställa lägre krav på kända platser/IP-nätverk, till exempel om inloggning sker från IP-adress som tillhör alla kontor:

Xenit anser Azure AD Conditional Access är något alla organisationer bör titta närmare på. Varje organisation har sina egna krav och önskemål och det finns stora möjligheter att anpassa dessa regler för varje organisation för att vara säker på att access till företagets resurser endast sker från de enheter och platser som är tillåtet.

Disclaimer: All information on this blog is offered "as is" with no warranty. It is strongly recommended that you verify all information and validate all scripts in isolated test environments before using them in production environments.