Azure Security

Azure AD – Warunki zasad dostępu warunkowego

Mnogość dostępnych opcji podczas konfiguracji zasad dostępu warunkowego w Azure Active Directory może przysporzyć o ból głowy. Dzisiaj postanowiłem zebrać w jednym miejscu kryteria, które możemy skonfigurować dla usługi Azure AD Conditional Access. 

Konfiguracja zasad dostępu warunkowego Microsoft Azure Active Directory
Konfiguracja zasad dostępu warunkowego Microsoft Azure Active Directory

Ten wpis jest elementem serii 12 kroków, aby poprawić bezpieczeństwo MS365. Wszystkie wpisy z tej kategorii można zobaczyć w zbiorze Bezpieczeństwo MS365.

Ryzyko związane z użytkownikiem

Ryzyko dotyczące ochrony konta użytkownika, kalkulowane przez Microsoft i bazujące na danych Microsoft i firm trzecich. Jest ocenianie poprzez następujące analizy. 

Wyciek poświadczeń

Microsoft sprawdza w bazach danych, czy hasło użytkownika nie zostało upublicznione w trakcie któregoś z wycieków, albo nie jest popularne i wykorzystywane przez dużą ilość użytkowników. 

Analiza zagrożeń usługi Azure AD

Sprawdzanie ryzyka zagrożeń poprzez analizę zachowań użytkowników i porównywanie ich ze znanymi metodami ataków bazującymi na analizach zagrożeń prowadzonych przez Microsoft i firmy trzecie.

Ryzyko związane z logowaniem

Ta polityka sprawdza prawdopodobieństwo, że żądanie uwierzytelnienia nie zostało potwierdzone przez właściwego użytkownika. Do analizy ryzyka logowania wykorzystywane są następujące analizy.

Anonimowy adres IP

Platforma sprawdza czy użytkownik nie loguje się z węzła TOR, publicznego serwera VPN bądź innej usługi ukrywającej informacje o metadanych użytkownika. 

Nietypowa podróż

Uczenie maszynowe usługi Azure analizuje, miejsca, w których logował się użytkownik i inni użytkownicy organizacji. Na tej podstawie oceniane jest, czy dane logowanie pochodzi z typowego miejsca pracy. Sprawdzany jest również czas podróży pomiędzy potencjalnymi miejscami logowania celem sprawdzenia, czy użytkownik mógł się fizycznie przemieścić. Ta ostatnia funkcjonalność bazuje na całej organizacji, celem uniknięcia problemów z logowaniem przez organizacyjne sieci VPN. 

Niemożliwa podróż

Ten test identyfikuje aktywności użytkownika (jedną lub wiele sesji) pochodzące z odległych geograficznie lokalizacji w okresie krótszym niż czas, jaki zajęłoby użytkownikowi przejście z pierwszej lokalizacji do drugiej, co może wskazywać, że kilku użytkowników używa tych samych poświadczeń.

Podejrzany adres IP / Adres IP rozsyłający malware

w trakcie tego testu sprawdzane jest, czy adres IP wykorzystywany do logowania nie był wcześniej wykorzystywany do masowych logowań do usług Microsoft, nie był częścią sieci botnet lub wykorzystywany do rozsyłania wiadomości typu spam.

Nieznane właściwości logowania

ten test sprawdza poprzednie logowania użytkownika do systemów chronionych przez Azure IAM, określając takie parametry jak adres IP, przeglądarka, geolokalizacja użytkownika czy wersja systemu operacyjnego, celem ustalenia, czy użytkownik loguje się ze znanych wcześniej urządzeń.

Oznaczenie konta jako skompromitowane

Administrator usługi Microsoft 365 ma możliwość oznaczenia konta użytkownika jako skompromitowane w przypadku potwierdzenia wycieku poświadczeń. Dzięki temu logowanie do usług Microsoft będzie poprzedzone zmianą hasła użytkownika oraz potwierdzeniu tożsamości przez Azure MFA.

Podejrzane reguły w skrzynce odbiorczej  

Dzięki temu testowi, MCAS sprawdza reguły w skrzynce email użytkownika. Sprawdzane jest czy niektóre wiadomości nie są automatycznie usuwane lub przenoszone dla danych typów wiadomości. Pozwala to sprawdzić, czy konto użytkownika nie zostało skompromitowane i wykorzystywane do dystrybucji SPAMu, a wiadomości nie są kasowane dla zacierania śladów.

Platformy urządzeń korzystających z Azure AD

Ta grupa warunków zasad dostępu warunkowego pozwala na skonfigurowanie zaufanych systemów operacyjnych, które będą brane pod uwagę podczas logowania do platformy. Można dzięki temu zezwolić np. na korzystanie z Exchange Online na telefonach bez dodatkowego uwierzytelniania, wymagając jednocześnie konieczność potwierdzenia tożsamości na komputerach. Obsługiwane systemy:

  • Windows
  • Windows Phone
  • macOS
  • iOS
  • Android

Lokalizacje

Grupa warunków oparta na lokalizacji użytkownika logującego się do usług korzystających z Azure AD. W tym miejscu możemy wybrać skonfigurowane wcześniej lokalizacje. Pozwala nam to na ograniczenie konieczności potwierdzania tożsamości przy użyciu Azure MFA, kiedy użytkownik znajduje się na przykład w obrębie sieci firmowej, bądź jest połączony z organizacyjną siecią VPN.

Aplikacje klienckie

Grupa warunków pozwalająca określić, czy logowanie następuje z przeglądarki internetowej bądź aplikacji. Dodatkowo mamy możliwość umożliwienia logowania się do starszych aplikacji, nie potrafiących korzystać z nowoczesnych metod uwierzytelniania.

Stan urządzenia (aktualnie w wersji zapoznawczej) 

Kontrola dostępu użytkowników, sprawdzająca czy urządzenie jest oznaczone jako zgodne bądź przyłączone hybrydowo do usługi Azure AD.

 

Posted in Bezpieczeństwo MS365, Microsoft 365 and tagged , , .