top of page

Azure AD:n tunnistautumismenetelmien uusi moderni hallinta


Azure AD tunnistautumismenetelmät

Azure Active Directoryn (Azure AD) käyttöön sallittuja tunnistamismentelmiä on hallittu perinteisesti Multi-Factor Authentication (MFA, monivaiheinen tunnistaminen) asetuksilla sekä SSPR-menetelmien asetuksilla (Self-Service Password Reset, salasanan vaihto itsepalveluna). Jatkossa asetukset ovat keskitetty yhteen paikaan, ns. Authentication Method Policyihin. Nämä selkeyttävät ylläpitäjien työtä ja mahdollistavat menetelmien yksityiskohtaisemman hallinnan tarjoten samalla monipuolisempia tapoja tunnistaa käyttäjät. Tässä blogissa kuvataan miten uudet menetelmät otetaan käyttöön ja käsitellään lyhyesti eri menetelmät asetuksineen.


Tämä on yksi pieni esimerkki asioista, joita toteutamme asiakkaidemme Azure AD -ympäristöihin osana hallittuja- ja jatkuvia pilvi-infran palveluitamme.


Huomioitavaa ja rajauksia


Uusi tapa hallita asetuksia on tällä hetkellä vielä ns. preview vaiheessa. Preview:ssä olevat ominaisuudet eivät ole vielä Microsoftin puolelta täysin loppuun asti viilattuja, mutta kokemusten mukaan hyvin toimivia.


Lisäksi suosittelemme tässä vaiheessa uusia tunnistamismenetelmiä vain organisaatioille, joilla on Conditional Access toiminnallisuus lisensoituna. Tämä kuuluu Azure AD Premium P1 tai Premium P2 tilauksiin, jotka yleensä lisensoidaan esimerkiksi Microsoft 365 Business Premium tai Microsoft 365 F3/E3/E5 -tilausten kautta. Tämä suositus johtuu siitä, että vanhalla menetelmällä voi määrittää MFA-vaatimukset käyttäjäkohtaisesti. Uudella menetelmällä vaatimus taas tulee kaikille, eikä tarkempaa hallintaa voi tehdä ilman Conditional Access policyjä (ainakaan vielä).


Suosittelemme lähes poikkeuksestta, että käyttäjille lisensoidaan aina vähintään Azure AD P1 tavalla tai toisella.


Mitä eri tunnistusmenetelmiä Azure AD mahdollistaa?


Microsoft 365-ympäristössä tunnistuksesta tyypillisesti vastaa Azure AD. Sen tarjoamat mahdolliset tunnistusmenetelmät on listattu alla hyvien ja huonojen puolien kera. Huom. taulukossa maininta MFA-kalastelusta tarkoittaa, että menetelmä ei kestä sitä, jos käyttäjä kalastelun yhteydessä tunnistautuu monivaiheisesti. Turvallisemmat menetelmät vaatisivat sen, että käyttäjän lisäksi saataisiin käyttäjän laitetta huijattua.

Menetelmä

Kuvaus

Kommentti

FIDO2 security key

​FIDO2-avain, fyysinen laite, esim. YubiCo tai Thales

Turvallinen, kalastelun kestävä ja salasanattoman kirjautumisen mahdollistava menetelmä. Suositeltava, mutta avaimet maksavat.

​Microsoft Authenticator

Microsoftin Authenticator-sovellus iOS- ja Android-puhelimille

Suositeltava menetelmä yleiseen käyttöön, erityisesti number-matching-tilassa. MFA-kalasteltavissa. Mahdollistaa salasanattoman kirjautumisen.