Journey To Passwordless: Initiale Konfiguration

Fabian Bader enthalten in Azure AD Entra ID Conditional Access FIDO2 Identity and Access Passwordless

2021-05-10 745 wörter 4 minuten

Inhalt

Artikelübersicht

Initiale Konfiguration

Bevor es losgehen kann und der erste Admin ohne Passwort unterwegs ist, müssen ein paar Funktionen im Entra ID (Azure AD) aktiviert werden. Optional werden Anmeldungen im Browser durch eine Conditional Access Policy zusätzlich abgesichert.

Lizenzen

Alle verwendeten Features für Passwordless erfordern keine zusätzlichen Lizenzen.

Damit die Sache aber rund wird nutze ich Conditional Access Policies und diese erfordern die Entra ID (Azure AD) Premium P1 Lizenzen. Diese ist in vielen Lizenzpaketen der Microsoft 365 Suite enthalten, können aber auch einzeln gekauft werden.

Conditional Access Policy

Notiz

Diese Konfiguration ist optional und nicht zwingend erforderlich um eine passwortlose Anmeldung nutzen zu können.

Für Benutzer die Mitglied in einer hochprivilegierten Rolle sind, soll die Anmeldung im Browser nie persistent gespeichert werden. Dies soll verhindern, dass die Anmeldedaten eines administrativen Accounts im Browser gespeichert werden und somit eventuell in falsche Hände geraten.
Die passwordless Anmeldung ermöglicht weiterhin eine bequeme Anmeldung wodurch die Hürde für den Administrator sehr niedrig ist.

Als hochprivilegierte Rollen definiere ich in meinem Beispiel folgende Entra ID (Azure AD) Rollen

Global administrator
Privileged role administrator
Exchange administrator
SharePoint administrator

Funktionsweise

Im Standard kann der Benutzer bei der Anmeldung z.B. am Azure Portal auswählen ob seine Anmeldedaten, in Form eines Browser Cookies, gespeichert werden sollen. Dazu wird folgende Abfrage angezeigt.

Die neu erstellte CA Policy nimmt dem Benutzer die Entscheidung ab und verhindert die Speicherung des Cookies nach Ende der Browsersitzung.

Alle Benutzer die nicht in einer der gewählten administrativen Rollen Mitglied sind, sind nicht von dieser Richtlinie betroffen.

Im folgenden Beispiel wird Bob weiterhin eine “dauerhafte” Anmeldung durchführen können, wohingegen Alice sich mit Ihrem Account jedes Mal erneut anmelden muss.

Tip

Mit einer zweiten Richtlinie könnte z.B. für normale Benutzer auf einem managed Device die Einstellung auf “Always persistent” gestellt werden. So wird dem Benutzer die Abfrage nicht angezeigt und er kommt automatisch in den Komfort.

Legacy MFA Portal

Die folgende Einstellung in der legacy MFA Konfiguration muss unbedingt deaktiviert werden, um die Conditional Access Methode verwenden zu können.

Admin policy: Never persist browser sessions

Im Azure Portal unter Security “Conditional Access” auswählen und mit “New policy” eine neue Richtlinie erstellen.

Im Entra ID (Azure AD) Portal unter Security -> Conditional Access eine neu Richtlinie mit dem Namen “Admin policy: Never persist browser sessions” anlegen
Unter Assignments -> “Select users and groups” auswählen
1. Include: “Directory roles” -> Alle hochprivilegierte Rollen auswählen
2. Exclude: Break Glass Account
Unter Assignments -> “Cloud apps or actions” “All cloud apps” markieren
Die Bereiche “Conditions” und “Access controls” bleiben unverändert
Unter Session -> “Persistent browser session” auf “Never persistent” stellen
Die Policy auf “On” stellen und erstellen.

Kombinierten Registrierung von Sicherheitsinformationen aktivieren

Für die Nutzung der neuen Authentication Methoden ist eine Einstellung unabdingbar. Das Aktivieren der kombinierten Registrierung von Sicherheitsinformationen. Warum die Aktivierung generell eine sehr gute Idee ist und auch wirklich deinen Anwendern hilft habe ich in diesem Blogpost beschrieben.

Wer die Vorzüge schon kennt oder die Einstellung einfach vornehmen möchte geht wie folgt vor:

Im Entra ID (Azure AD) Portal die User settings aufrufen
Manage user feature preview settings auswählen
“Users can use the combined security information registration experience” für alle Benutzer aktivieren und die Änderung speichern.

Authentication Methoden aktivieren

Damit eine passwortlose Anmeldung überhaupt möglich ist müssen folgende Authentifizierungsmethoden aktiviert werden.

FIDO2 Security Key
Microsoft Authenticator
Temporary Access Pass (preview)

Die Methode “Text message (preview)” beleuchte ich in dieser Blogserie nicht, da ich der Meinung bin das für administrative Accounts die Anmeldung mittels SMS nicht geeignet ist.

Um diese Methoden zu aktivieren muss du im Entra ID (Azure AD) Portal zum Bereich Security wechseln.

Dort Authentication methods auswählen und jede der genannten Methoden aktivieren.

Wenn gewünscht kann die Nutzung auf einzelne Benutzergruppen eingeschränkt werden.

Notiz

Bei der Methode “FIDO2 Security Key” muss “Allow self-service set up” zwingend aktiviert sein. Eine initiale Einrichtung im Rahmen der Benutzeranlage ist aktuell noch nicht möglich.

Notiz

Bei der Methode “Temporary Access Pass (preview)” die Option “Require one-time use” unbedingt deaktivieren. Mehr dazu in einem späteren Blog der Serie.

Am Ende sollte die Übersicht wie folgt aussehen:

Nächste Schritte

Jetzt sind alle Vorraussetzungen im Tenant geschaffen um eine passwortlose Anmeldung durchzuführen. Im nächsten Blog werden wir einen Blick auf die Erstanmeldung ohne Kennwort werfen.

Wann geht's weiter?

Der nächste Blogeintrag erscheint vorraussichtlich am 17.05.2021.