Inhalt

Journey To Passwordless: Initiale Konfiguration

Artikelübersicht

  1. Passwordless - Aber warum?
  2. Initiale Konfiguration
  3. Temporary Access Pass
  4. FIDO2 Security keys
  5. Windows 10 Device Onboarding und Windows Hello for Business
  6. Administrieren mit PowerShell und ohne Passwort
  7. Microsoft Authenticator app
  8. FIDO2 Schlüssel einschränken & Fazit

Initiale Konfiguration

Bevor es losgehen kann und der erste Admin ohne Passwort unterwegs ist, müssen ein paar Funktionen im Entra ID (Azure AD) aktiviert werden. Optional werden Anmeldungen im Browser durch eine Conditional Access Policy zusätzlich abgesichert.

Lizenzen

Alle verwendeten Features für Passwordless erfordern keine zusätzlichen Lizenzen.

Damit die Sache aber rund wird nutze ich Conditional Access Policies und diese erfordern die Entra ID (Azure AD) Premium P1 Lizenzen. Diese ist in vielen Lizenzpaketen der Microsoft 365 Suite enthalten, können aber auch einzeln gekauft werden.

Conditional Access Policy

Notiz
Diese Konfiguration ist optional und nicht zwingend erforderlich um eine passwortlose Anmeldung nutzen zu können.

Für Benutzer die Mitglied in einer hochprivilegierten Rolle sind, soll die Anmeldung im Browser nie persistent gespeichert werden. Dies soll verhindern, dass die Anmeldedaten eines administrativen Accounts im Browser gespeichert werden und somit eventuell in falsche Hände geraten.
Die passwordless Anmeldung ermöglicht weiterhin eine bequeme Anmeldung wodurch die Hürde für den Administrator sehr niedrig ist.

Als hochprivilegierte Rollen definiere ich in meinem Beispiel folgende Entra ID (Azure AD) Rollen

  • Global administrator
  • Privileged role administrator
  • Exchange administrator
  • SharePoint administrator

Funktionsweise

Im Standard kann der Benutzer bei der Anmeldung z.B. am Azure Portal auswählen ob seine Anmeldedaten, in Form eines Browser Cookies, gespeichert werden sollen. Dazu wird folgende Abfrage angezeigt.

/journey-passwordless-initiale-konfiguration/images/StaySignedIn.png

Die neu erstellte CA Policy nimmt dem Benutzer die Entscheidung ab und verhindert die Speicherung des Cookies nach Ende der Browsersitzung.

Alle Benutzer die nicht in einer der gewählten administrativen Rollen Mitglied sind, sind nicht von dieser Richtlinie betroffen.

Im folgenden Beispiel wird Bob weiterhin eine “dauerhafte” Anmeldung durchführen können, wohingegen Alice sich mit Ihrem Account jedes Mal erneut anmelden muss.

/journey-passwordless-initiale-konfiguration/images/J2P-CAPolicy.png

Tip
Mit einer zweiten Richtlinie könnte z.B. für normale Benutzer auf einem managed Device die Einstellung auf “Always persistent” gestellt werden. So wird dem Benutzer die Abfrage nicht angezeigt und er kommt automatisch in den Komfort.

Legacy MFA Portal

Die folgende Einstellung in der legacy MFA Konfiguration muss unbedingt deaktiviert werden, um die Conditional Access Methode verwenden zu können.

/journey-passwordless-initiale-konfiguration/images/LegacyMFASetting.png

Admin policy: Never persist browser sessions

Im Azure Portal unter Security “Conditional Access” auswählen und mit “New policy” eine neue Richtlinie erstellen.

  1. Im Entra ID (Azure AD) Portal unter Security -> Conditional Access eine neu Richtlinie mit dem Namen “Admin policy: Never persist browser sessions” anlegen
  2. Unter Assignments -> “Select users and groups” auswählen
    1. Include: “Directory roles” -> Alle hochprivilegierte Rollen auswählen
      /journey-passwordless-initiale-konfiguration/images/AzurePortalCAPolicyIncludeRoles.png
    2. Exclude: Break Glass Account
      /journey-passwordless-initiale-konfiguration/images/AzurePortalCAPolicyExcludeBreakGlass.png
  3. Unter Assignments -> “Cloud apps or actions” “All cloud apps” markieren
    /journey-passwordless-initiale-konfiguration/images/AzurePortalCAPolicyAllCloudApps.png
  4. Die Bereiche “Conditions” und “Access controls” bleiben unverändert
  5. Unter Session -> “Persistent browser session” auf “Never persistent” stellen
    /journey-passwordless-initiale-konfiguration/images/AzurePortalCAPolicySessionNeverPersist.png
  6. Die Policy auf “On” stellen und erstellen.
    /journey-passwordless-initiale-konfiguration/images/AzurePortalCAPolicyOn.png

Kombinierten Registrierung von Sicherheitsinformationen aktivieren

Für die Nutzung der neuen Authentication Methoden ist eine Einstellung unabdingbar. Das Aktivieren der kombinierten Registrierung von Sicherheitsinformationen. Warum die Aktivierung generell eine sehr gute Idee ist und auch wirklich deinen Anwendern hilft habe ich in diesem Blogpost beschrieben.

Wer die Vorzüge schon kennt oder die Einstellung einfach vornehmen möchte geht wie folgt vor:

  1. Im Entra ID (Azure AD) Portal die User settings aufrufen
  2. Manage user feature preview settings auswählen
    /journey-passwordless-initiale-konfiguration/images/userFeaturePreviews.png
  3. “Users can use the combined security information registration experience” für alle Benutzer aktivieren und die Änderung speichern.
    /journey-passwordless-initiale-konfiguration/images/CombinedSecurityInformation.png

Authentication Methoden aktivieren

Damit eine passwortlose Anmeldung überhaupt möglich ist müssen folgende Authentifizierungsmethoden aktiviert werden.

  • FIDO2 Security Key
  • Microsoft Authenticator
  • Temporary Access Pass (preview)

Die Methode “Text message (preview)” beleuchte ich in dieser Blogserie nicht, da ich der Meinung bin das für administrative Accounts die Anmeldung mittels SMS nicht geeignet ist.

Um diese Methoden zu aktivieren muss du im Entra ID (Azure AD) Portal zum Bereich Security wechseln.

Dort Authentication methods auswählen und jede der genannten Methoden aktivieren.

/journey-passwordless-initiale-konfiguration/images/EnableMethode.png

Wenn gewünscht kann die Nutzung auf einzelne Benutzergruppen eingeschränkt werden.

/journey-passwordless-initiale-konfiguration/images/TargetUsers.png

Notiz
Bei der Methode “FIDO2 Security Key” muss “Allow self-service set up” zwingend aktiviert sein. Eine initiale Einrichtung im Rahmen der Benutzeranlage ist aktuell noch nicht möglich.
Notiz
Bei der Methode “Temporary Access Pass (preview)” die Option “Require one-time use” unbedingt deaktivieren. Mehr dazu in einem späteren Blog der Serie.

Am Ende sollte die Übersicht wie folgt aussehen:

/journey-passwordless-initiale-konfiguration/images/AuthenticationMethods.png

Nächste Schritte

Jetzt sind alle Vorraussetzungen im Tenant geschaffen um eine passwortlose Anmeldung durchzuführen. Im nächsten Blog werden wir einen Blick auf die Erstanmeldung ohne Kennwort werfen.

Wann geht's weiter?
Der nächste Blogeintrag erscheint vorraussichtlich am 17.05.2021.