Cloudbrothers
Azure Attack Paths Posts Kategorien Über mich Talks Deutsch
Cloudbrothers

Inhalt

Legacy Authentication kontrolliert abschalten - Voraussetzungen schaffen

 enthalten in Microsoft 365 Security Azure AD Entra ID Identity and Access Conditional Access
   971 wörter   5 minuten 

Artikelübersicht

Dies ist Teil drei der sechsteiligen Serie zum Thema “Legacy Authentication kontrolliert abschalten”.

  1. Vorwort
  2. Modern Authentication aktivieren
  3. Voraussetzungen schaffen
  4. Einblicke gewinnen
  5. Die ersten 90%
  6. Die nächsten 9%
  7. Abschaltung

Wiederholung

Im ersten Teil der Reihe wurde Modern Authentication für alle Microsoft 365 Dienste aktiviert und kann nun genutzt werden.

In diesem Teil geht es darum, die Vorrausetzungen zu schaffen, einen detailierten Einblick in die Nutzung der verschiedenen Authentifizierungsmethoden zu gewinnen und es zu ermöglichen Legacy Authentication pro Benutzer deaktivieren zu können.

SignIn Logs zentral speichern

Info
Für diesen Schritt ist eine Azure Subscription notwendig.

Die Anmeldeinformationen des Entra ID (Azure AD) werden nur 7 Tage (Free) bzw. 30 Tage (Premium) gespeichert und können nur umständlich ausgewertet werden.

Für eine ausführlichere und flexible Analyse ist daher ein Log Analytics Workspace notwendig. Die Kosten liegen erfahrungsgemäß bei ca. 0,02 € / Benutzer / Monat wenn eine Speicherdauer von 60 Tagen angestrebt wird. Die ersten 5 GB an Logdaten sind gratis. Für die Aufbewahrung über den 31. Tag hinaus fallen weitere Kosten an.

Auch wenn man die Daten nur die ersten 31 Tage aufbewahrt lohnt sich der Log Analytics Workspace. Diese Art der Datenspeicherung erlaubt neben der Nutzung der Entra ID (Azure AD) Workbooks auch das ausführliche Analysieren der Daten mittels Kusto.

Notiz
Entra ID (Azure AD) Workbooks verwenden Kusto-Abfragen als Quelle für die visualisierten Daten.

Resource Group und Log Analytics Workspace anlegen

Im Azure Portal die entsprechende Subscription auswählen und dort eine neue Resource Group erstellen.

/legacy-authentication-kontrolliert-abschalten-voraussetzungen-schaffen/images/AzurePortalCreateResourceGroup.png

In der neu angelegten Resource Group eine neue Ressource vom Typ “Log Analytics Workspace” erstellen.

/legacy-authentication-kontrolliert-abschalten-voraussetzungen-schaffen/images/AzurePortalCreateNew.png

/legacy-authentication-kontrolliert-abschalten-voraussetzungen-schaffen/images/AzurePortalCreateLogAnalytics.png

Der Name des Workspace muss in der gewählten Region einzigartig sein und darf nur Buchstaben, Zahlen und - enthalten.
Als Pricing tier muss Pay-as-you-go (Per GB 2018) ausgewählt werden.

Azure AD Daten in Log Analytics Workspace weiterleiten

Info
Für die Weiterleitung der SignInLogs ist eine Entra ID (Azure AD) P1 Lizenz erforderlich.
Eine 30 Tage Testversion ist für 25 Benutzer erhältlich.

In den Diagnostic Settings des Entra ID (Azure AD) kann jetzt die Weiterleitung der Daten an den LA Workspace eingerichtet werden.

  • Add diagnostic setting
    /legacy-authentication-kontrolliert-abschalten-voraussetzungen-schaffen/images/AzurePortalAzureADAddDiagnosticSetting.png
  • Einen sprechenden Namen für diese Konfiguration wählen
  • Die gewünschten Log Kategorien für die Weiterleitung auswählen.
    Minimal müssen folgende Logdaten erfasst werden.
    • SignInLogs
    • NonInteractiveUserSignInLogs
    • ServicePrincipalSignInLogs
    • ManagedIdentitySignInLogs
  • Optional, aber empfohlen, sind die AuditLogs und ProvisioningLogs
  • Als Destination “Send to Log Anaytics workspace” und den eben erstellten Log Analytics Workspace auswählen

/legacy-authentication-kontrolliert-abschalten-voraussetzungen-schaffen/images/AzurePortalAzureADDiagnosticSettings.png

Wenn die Verbindung erfolgreich hergestellt wurde, ist der Log Analytics Workspace nun über die Option Logs im Entra ID (Azure AD) Portal erreichbar. Bis die ersten Daten ankommen kann es etwas dauern. Für jede gewählts Logs wird unter LogManagement eine entsprechende “Tabelle” angezeigt.

/legacy-authentication-kontrolliert-abschalten-voraussetzungen-schaffen/images/AzureADPortalLogQuery.png

AAD Gruppen anlegen

Für die Steuerung wer Legacy Authentication nutzen darf, müssen zwei Gruppen angelegt werden.

Gruppenname Beschreibung
CAPolicy-Include-Block-Legacy-Authentication Users in this group are directly affected by the CA Policy to Block legacy authentication
CAPolicy-Exclude-Block-Legacy-Authentication Users in this group are not affected by the CA Policy to Block legacy authentication

Die genaue Funktion und Nutzung der Gruppen wird im weiteren Verlauf erläutert.

Conditional Access Policies anlegen

Für die schrittweise Abschaltung werden zwei Conditional Access Policies benötigt.

Policy Name State
Common Policy: Block legacy authentication Report Only
Temporary Policy: Block legacy authentication Rollout On

Common Policy: Block legacy authentication

Diese Policy orientiert sich direkt an der Microsoft Empfehlung.

Sie wird im Report Only Modus betrieben und dient bis zur finalen Abschaltung von Legacy Authentication dem Auswerten der Nutzung.

  1. Im Entra ID (Azure AD) Portal unter Security -> Conditional Access eine neu Richtlinie mit dem Namen “Common Policy: Block legacy authentication” anlegen
  2. Unter Assignments -> “Users and groups” auswählen
    1. Include: “All users”
      /legacy-authentication-kontrolliert-abschalten-voraussetzungen-schaffen/images/AzurePortalCAPolicyIncludeAllUsers.png
    2. Exclude: Break Glass Account
      /legacy-authentication-kontrolliert-abschalten-voraussetzungen-schaffen/images/AzurePortalCAPolicyExcludeBreakGlass.png
  3. Unter Assignments -> “Cloud apps or actions” “All cloud apps” markieren
    /legacy-authentication-kontrolliert-abschalten-voraussetzungen-schaffen/images/AzurePortalCAPolicyAllCloudApps.png
  4. Bei “Conditions” -> “Client apps” ausschließlich die Legacy authentication Clients “Exchange ActiveSync Clients” und “Other Clients” auswählen
    /legacy-authentication-kontrolliert-abschalten-voraussetzungen-schaffen/images/AzurePortalCAPolicyLegacyClientApps.png
  5. Als “Access controls” -> “Grant” die Option “Block access” wählen
    /legacy-authentication-kontrolliert-abschalten-voraussetzungen-schaffen/images/AzurePortalCAPolicyBlockAccess.png
  6. Zuletzt noch die Policy auf “Report-Only” stellen und erstellen.
    Den aktuellen Benutzer nicht von der Richtlinie ausschließen. Dafür ist der Break Glass Account gedacht und die Richtlinie ist zusätzlich nur im Status Report Only.
    /legacy-authentication-kontrolliert-abschalten-voraussetzungen-schaffen/images/AzurePortalCAPolicyReportOnlyDontExclude.png

Temporary Policy: Block legacy authentication Rollout

Diese Policy dient in der ersten Phase des Rollouts dem expliziten Verbieten von Legacy Authentication für eine definierte Benutzergruppe.

In der zweiten Phase wird Sie dafür genutzt werden einzelnen Benutzern die Nutzung von Legacy Authentication zu erlauben.

  1. Im Entra ID (Azure AD) Portal unter Security -> Conditional Access eine neu Richtlinie mit dem Namen “Temporary Policy: Block legacy authentication Rollout” anlegen
  2. Unter Assignments -> “Users and groups” auswählen
    1. Include: “Select users and groups” -> “CAPolicy-Include-Block-Legacy-Authentication”
      /legacy-authentication-kontrolliert-abschalten-voraussetzungen-schaffen/images/AzurePortalCAPolicyIncludeIncludeGroup.png
    2. Exclude: Break Glass Account + CAPolicy-Exclude-Block-Legacy-Authentication
      /legacy-authentication-kontrolliert-abschalten-voraussetzungen-schaffen/images/AzurePortalCAPolicyExcludeBreakGlassAndGroup.png
  3. Unter Assignments -> “Cloud apps or actions” “All cloud apps” markieren
    /legacy-authentication-kontrolliert-abschalten-voraussetzungen-schaffen/images/AzurePortalCAPolicyAllCloudApps.png
  4. Bei “Conditions” -> “Client apps” ausschließlich die Legacy authentication Clients “Exchange ActiveSync Clients” und “Other Clients” auswählen
    /legacy-authentication-kontrolliert-abschalten-voraussetzungen-schaffen/images/AzurePortalCAPolicyLegacyClientApps.png
  5. Als “Access controls” -> “Grant” die Option “Block access” wählen
    /legacy-authentication-kontrolliert-abschalten-voraussetzungen-schaffen/images/AzurePortalCAPolicyBlockAccess.png
  6. Die Policy auf “On” stellen und erstellen.
    Den aktuellen Benutzer nicht von der Richtlinie ausschließen. Dafür ist der Break Glass Account gedacht.
    /legacy-authentication-kontrolliert-abschalten-voraussetzungen-schaffen/images/AzurePortalCAPolicyOn.png

Warum zwei Conditional Access Policies

Die Conditional Access Policy “Common Policy: Block legacy authentication” dient bis zur finalen Abschaltung ausschließlich dem Reporting von Zugriffen mittels Legacy Authentication.

Sie ist notwendig, da die Policy “Temporary Policy: Block legacy authentication Rollout” während des Rollouts nur für eine definierte Gruppe an Benutzern gilt (CAPolicy-Include-Block-Legacy-Authentication).

Ohne die Report Only Policy würde jede Abfrage auf Basis der temporären Policy nur ein Subset der Benutzer liefern und somit das Ergebnis verfälschen.

Auswirkungen auf den laufenden Betrieb

Die beiden Policies haben, in Ihrer aktuellen Konfiguration, keinerlei Auswirkungen auf die Benutzer, da sie entweder nur dem Reporting dienen oder noch kein Benutzer Teil der betroffenen Gruppe ist.

Nächster Schritt

Info
Zwischen diesem Schritt und dem Nächsten sollten mindestens 7 Tage vergehen um genügend Daten zu erfassen.

Im nächsten Artikel der Serie werden die gesammelten Daten genutzt, um die erste Benutzergruppe zu identifzieren, bei der Legacy Authentication ohne Auswirkungen deaktiviert werden kann.

Aktualisiert am 2021-02-13
Zurück | Startseite