MFA blir tvingande för flera Microsoft-portaler
Microsoft aktiverar tvingande multifaktorsautentisering (MFA) för alla konton som loggar in mot portalerna för Entra ID, Intune och Azure. Och det händer snart – redan den 15 oktober aktiveras kravet om du som administratör inte har ansökt om uppskov.
I flera år har det varit en ”god idé”, ett ”rekommenderat arbetssätt” och den tydliga linjen för de flesta säkerhetsramverk som är kända där ute - att säkerställa att, som minst, de konton som har administrativ åtkomst i våra system har flerfaktorsautentisering aktiverat.
Jag själv är den första att stämma in i kören, men inser samtidigt att det finns en del utmaningar med att kräva att konton med förhöjd behörighet har just multifaktorsautentisering (MFA) aktiverat. Microsoft går nu ett steg längre och kräver MFA på alla konton som loggar in mot portalerna Entra ID, Intune eller Azure
Ett delat konto har ingen mobiltelefon, eller?
MFA har ofta förknippats med att man behöver ha en mobil enhet där man kan svara på en pushnotis, ta emot ett SMS, eller på annat sätt kunna bevisa att man är den man är. Servicekonton, eller användarkonton som inte används av en faktisk användare utan snarare delas mellan administratörer, används för specifika processer eller helt enkelt inte är knutna till en individ, har fallit utanför de här ramarna. Det är också de här kontona som angripare har riktat in sig på och där Microsoft nu hoppas på en kraftig förbättring genom det tvingande kravet.
Men hur löser man stark inloggning, MFA, för ett delat konto?
Svaret stavas FIDO2 och då specifikt hårdvarunycklar som man knyter till kontot och sedan sparar på en plats som endast behöriga kan komma åt. Att sedan logga in med en sådan hårdvarunyckel i stället för att ange lösenord och sedan multifaktor är mycket säkrare - och är därför den metod jag starkt rekommenderar dig att knyta till dina delade konton.
Pratar vi istället om konton som helt uteslutande används för script, tjänster eller applikationer, ja då är rekommendationen att förändra dessa till att använda sig av så kallade Service Principals i stället.
Hur ber man om uppskov?
Även om många organisationer idag har god säkerhet för alla sina konton och en sådan här förändring varken gör till eller från, så är det likafullt viktigt att poängtera att det alltså går att ansöka om uppskov.
För ett konto som har rollen ”Global Administratör” så kan denne gå till: https://aka.ms/managemfaforazure. Här ges möjligheten att helt enkelt klicka på knappen ”Postpone enforcement” (för en engelskspråkig tenant).
Viktigt att ha klart för sig, är dock att detta konto också behöver ha ”eleverad access” till alla Azure-resurser i miljön för att kunna begära anstånd. För när detta är gjort, kommer processen att fungera. Har man inte de nödvändiga behörigheterna, möts man istället av meddelandet att just detta saknas:
Att skaffa sig eleverade behörigheter på ett konto är alltså att ge ett specifikt konto ”nycklarna till kungariket”, något som Microsoft sedan tydligt skriver ut att, så snart du genomfört aktiviteten med att begära anstånd, så ska dessa behörigheter tas bort igen.
Det finns alltså inte något självändamål i att skjuta på denna säkerhetsförhöjande åtgärd och det är väldigt tydligt att Microsoft vill se att detta händer.
Ur ett säkerhetsperspektiv så är det något jag personligen tycker borde varit på plats för längesedan, men att det händer nu innebär så klart att vi inom it-världen behöver tänka till och säkerställa att vi får med alla de konton, tjänster och behörigheter som finns etablerade för att verksamheten ska fortsätta snurra.
