Skip to main content
Yleinen

Pääsyn jatkuva arviointi ja nopeampi pääsynhallinnan reagointi Microsoft pilvipalveluissa

Kirjoittanut 30.9.202028 huhtikuun, 2022Ei kommentteja3 min lukuaika

Modernit työtavat ja etätyö, sekä näistä seuraavat modernit uhkakuvat ovat jo hetken lisänneet tarvetta nopeammalle ja tehokkaammalle pääsynhallinnalle. Siis niihin tilanteisiin, kun tuntikin on liian pitkä aika odottaa jonkin mekanismin potkaisevan; käyttäjää tai käyttäjän sovellusta. 

Microsoft kehittää jatkuvasti pääsynhallintaan liittyviä mekanismeja ja tästä yhtenä esimerkkinä on jatkuva pääsyn arviointi (Continuous Access Evaluation, CAE). Tässä hieman avattuna mitä tämä toiminto tarkoittaa käytännössä, ja miten se toimii. 

Mihin tätä tarvitaan? 

Tähän asti sovellusten pääsyä Azure AD:ta vasten nojaaviin palveluihin, esim. Exchange Online sähköpostiin, on valvottu varsinaisen kirjautumisen jälkeen tunnin kerrallaan voimassa olevalla lipulla. Ammattitermein siis Refresh Token – Access Token parivaljakolla. Käyttäjän laite esittää pääsyä valvovalle Azure AD:lle Refresh Tokenin ja jos Azure AD:n mielestä kaikki on kunnossa, se palauttaa tunnin voimassa olevan Access Tokenin, jolla käyttäjän laite ja sovellus pääsee palveluihin käsiksi. Työelämä hymyilee taas tunnin. 

Vaan annas olla, kun tulee ryppy rakkauteen. Työelämässä syntyy tilanteita, jolloin olosuhteiden pakosta käyttäjän pääsy palveluihin täytyisi estää – ja heti. Tuo tunti voi tuntua pitkältä näissä tapauksissa. Aikaisemmin tämä on toiminut niin, että Azure AD:ssa laitetaan ko. käyttäjän tunnus kiinni tai vaihdetaan salasana, eikä lippuluukulta myönnetä enää uutta Access Tokenia. Käyttäjä voi silti päästä laitteellaan palveluihin vielä tunninkin, sen mukaan mitä lipussa – eli Access Tokenissa – on vielä aikaa jäljellä. Tähän jatkuva pääsyn arviointi (CAE) tuo helpotusta ja reaaliaikaista toimintaa. 

Miten tämä toimii? 

Käytännössä tämä parannus on toteutettu siten, että käyttäjän käyttämä palvelu on alkanut juttelemaan lippuluukun, eli Azure AD:n kanssa reaaliajassa. Palvelu saa tiedon Azure AD:lta, jos tapahtuu jokin kriittinen muutos käyttäjän tunnuksen osalta: 

  • Käyttäjätunnus poistetaan tai laitetaan pois käytöstä 
  • Käyttäjän salasana muutetaan 
  • Käyttäjän tunnukselle kytketään päälle monivaiheinen tunnistautuminen (MFA) 
  • Pääkäyttäjä merkitsee kaikki käyttäjän lipukkeet, eli Refresh Tokenit, vanhentuneiksi (Revoke Refresh Tokens/Sessions) 
  • Azure AD Identity Protection havaitsee käyttäjään liittyvän riskin 

Alla olevassa kuvassa tämä parannus näkyy kohdassa 3. Eli käytettävä palvelu (Resource provider, Relying party) saa tiedon kriittisestä tapahtumasta lippuluukulta (Identity Provider eli tässä tapauksessa Azure AD) ja hylkää lipun (Access Token). Ja näin pääsy palveluun estyy viimeistään 15 minuutissa, eikä tunnissa kuten aiemmin.  

Jatkuvaa pääsyn arviointia voidaan käyttää myös ehdollisen pääsynhallinnan (Conditional Access) sijaintiperusteisten ehtojen* kanssa. Jos käyttäjä siirtyy esimerkiksi ei-sallittuun verkkoon ja koittaa päästä palveluihin tuntemattomasta IP-osoitteesta, pääsy palveluihin voidaan evätä tämän perusteella.  

*Tämä on tuettuna vain IPv4/IPv6-pohjaisissa sijaintimäärittelyissä, maahan perustuva määrittely ei ole tuettu. 

Pilvipalvelut, joissa CAE on tällä hetkellä tuettu: 

  • Exchange Online 
  • Teams 
  • Sharepoint Online (ja siten myös OneDrive for Business) 

Toimiakseen tämä vaatii tietysti tukea myös sovelluksilta (Claim Challenge -kyvykkyys). Tällä hetkellä viimeisimmät versiot seuraavista sovelluksista tukevat tätä toimintoa: 

  • Outlook Windows 
  • Outlook iOS 
  • Outlook Android 
  • Outlook Mac 
  • Outlook Web App 
  • Teams for Windows (Only for Teams resource) 
  • Teams iOS (Only for Teams resource) 
  • Teams Android (Only for Teams resource) 
  • Teams Mac (Only for Teams resource) 
  • Word/Excel/PowerPoint for Windows 
  • Word/Excel/PowerPoint for iOS 
  • Word/Excel/PowerPoint for Android 
  • Word/Excel/PowerPoint for Mac 

Miten tämän saa käyttöön? 

Kyseessä on Preview-ominaisuus, joka täytyy erikseen kytkeä päälle Azure AD -hallinnasta Security-toimintojen alta. Tämän lisäksi voidaan määritellä käyttäjät, joihin uusi ominaisuus kohdentuu.  

Lähteenä on käytetty Microsoftin dokumentaatiota. Kannattaa käydä tarkistamassa sieltä mahdolliset päivitykset ja muutokset: https://docs.microsoft.com/en-us/azure/active-directory/conditional-access/concept-continuous-access-evaluation 

Pilvikuiskaaja Riku Mustila