Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



26.10.2020

Nowa wersja nVision

Można już pobierać nową wersję nVision
26.10.2020

Monitorowanie infrastruktury

Vertiv Environet Alert
23.10.2020

Telefonia w chmurze

NFON Cloudya
23.10.2020

Nowości w EDR

Bitdefender GravityZone
23.10.2020

Wykrywanie anomalii

Flowmon ADS11
23.10.2020

Mobilny monitor

AOC 16T2
22.10.2020

HP Pavilion

HP zaprezentowało nowe laptopy z linii Pavilion.
22.10.2020

Inteligentny monitoring

WD Purple SC QD101
22.10.2020

Przełącznik 2,5GbE

QNAP QSW-1105-5T

Uwierzytelnianie wieloskładnikowe w Office 365

Data publikacji: 20-12-2019 Autor: Michał Gajda
Rys. 1. Widok ustawień usługi...

Ochrona tożsamości staje się jednym z kluczowych elementów dbania o bezpieczeństwo całej infrastruktury. Aktualnym standardem we wspomnianej dziedzinie staje się masowe wykorzystywanie mechanizmów uwierzytelniania wieloskładnikowego.


Żyjemy w czasach, w których trwa bezustanny wyścig pomiędzy administratorami oraz specjalistami dbającymi o ciągłe podnoszenie poziomu bezpieczeństwa infrastruktury IT a hakerami, którzy nieustannie próbują przełamać wdrażane zabezpieczenia, aby wykraść cenne informacje. Ważnym elementem tego wyścigu jest ochrona tożsamości użytkowników, narażonych na różne formy ataków i manipulacji oraz będących często najsłabszym ogniwem zabezpieczeń.


Jednym z działań na rzecz zwiększania bezpieczeństwa tożsamości jest coraz powszechniejsze wdrażanie usług uwierzytelniania wieloskładnikowego, które w niektórych instytucjach, takich jak np. banki, jest już wręcz obowiązkiem. Uwierzytelnianie wieloskładnikowe jest też od dawna dostępne w ramach usług chmurowych na platformie Office 365.

 

> UWIERZYTELNIANIE WIELOSKŁADNIKOWE


Klasyczny proces uwierzytelniania polegający na weryfikacji „tego, co znamy” zazwyczaj sprowadza się do wprowadzenia loginu, wskazującego, z którym użytkownikiem mamy do czynienia, oraz jego hasła, dzięki któremu przynajmniej w teorii możemy określić, czy uwierzytelniająca się osoba jest tą, za którą się podaje. Tyle na temat opisu świata idealnego, w którym niestety nie żyjemy. Obecnie przechwycenie czyjegoś loginu i hasła nie jest dla hakerów większym problemem. Dlatego szczególną uwagę należy zwrócić na ochronę kont posiadających podwyższone uprawnienia, jak na przykład konta administratorów platformy Office 365.


W omawianej sytuacji, aby uchronić się przed utratą dostępu do konta, możemy posłużyć się mechanizmem uwierzytelniania wieloskładnikowego. Jak sama nazwa wskazuje, pozwala on na wprowadzenie do procesu uwierzytelniania dodatkowego składnika, mogącego znacząco wpłynąć na poziom bezpieczeństwa. W takim scenariuszu oprócz pierwszego składnika, czyli „tego, co znamy” (loginu i hasła) można zastosować również dodatkowy element w postaci „tego, co posiadamy”. Najczęściej będzie to zaufane urządzenie, którego nie można w prosty sposób zduplikować, jak na przykład token sprzętowy czy obecnie coraz częściej zarejestrowany w danym systemie smartfon. W zależności od wykorzystywanego sposobu uwierzytelniania do zasobów chmurowych składnikiem, który posiadamy, mogą być również certyfikat lub inteligentna karta. Alternatywą może być także zastosowanie składnika w postaci „tego, kim jesteśmy”, czyli elementów biometrii, jak na przykład odcisku palca (funkcja Windows Hello for Business). Poszczególne możliwości uwierzytelniania zostały zebrane w tabeli.

 

Jak łatwo zauważyć, ścieżek wdrożenia uwierzytelniania wieloskładnikowego jest kilka i w zasadzie są one mocno uzależnione od obecnie posiadanej architektury IT. W artykule skupimy się na najprostszym rozwiązaniu, korzystającym z usługi Azure Multi-Factor Authentication (MFA) i możliwym do wdrożenia praktycznie w każdym przypadku.


Warto pamiętać, że uwierzytelnianie wieloskładnikowe może zostać wdrożone tylko w sytuacji, gdy aplikacje końcowe obsługują mechanizm nowoczesnego uwierzytelniania (Modern Authentication) opisany w poprzednim artykule. Tego typu uwierzytelnianie domyślnie wspierane jest podczas dostępu do portalu Office 365 z poziomu przeglądarki internetowej. Dodatkowo możliwe jest również wykorzystywanie aplikacji Office 2013 lub nowszych oraz mobilnych wersji aplikacji pakietu Office. W przypadku gdy aplikacja kliencka nie obsługuje rozwiązania nowoczes­nego uwierzytelniania, konieczne jest posłużenie się odpowiednio zdefiniowanym hasłem aplikacji, co zostało opisane w dalszej części artykułu.

 

> USŁUGA AZURE MULTI-FACTOR AUTHENTICATION


Aby w pełni korzystać ze wszystkich możliwości usługi Azure Active Directory, w tym Azure Multi-Factor Authentication, opartych na indywidualnych zasadach dostępu warunkowego (Conditional Access), najlepiej posiadać licencje Azure Active Directory w wersji Premium. Nie jest to jednak sztywny warunek. Dla mniej zaawansowanych wdrożeń z powodzeniem można wykorzystać darmową licencję Azure Active Directory (Azure AD Free) oraz stosować wyłącznie predefiniowane zasady dostępu warunkowego (Baseline policy). Na początek warto jednak przybliżyć możliwości usługi Azure MFA.

 

[...]

 

Autor ma wieloletnie doświadczenie w administracji oraz implementowaniu nowych technologii w infrastrukturze serwerowej. Pasjonat technologii Microsoft. Posiada tytuł MVP Cloud and Datacenter Management. Autor webcastów, książek oraz publikacji w czasopismach i serwisach branżowych.

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"