Skip to main content

Vahvan tunnistautumisen numeromurskain

 

Hyvää – ja etenkin edellistä parempaa – alkanutta vuotta kaikille, jotka jaksoivat lukea otsikosta eteenpäinkin. Vuoden vaihde toi toivottavasti toivoa ja tarmoakin puolustaa taas omaa linnakettaan pilvimaailman melskeessä. Sitä todella tarvitaan, tilanne kun ei näytä ainakaan helpottuvan silläkään puolella. 

Tähän pilvilinnakkeen perusmuurin tarjoiltiin viime vuonna pari senttiä lisää paksuutta, kun vahvan tunnistautumisen (MFA) Push notification -toimintoon tuotiin tarjolle ns. numerovarmistus, eli Number matching, kuten tehtaalla tätä kutsuvat. Joillekin tämä on jo ehkä tuttua juttua, ja hyvä niin. Pieni kierrepallo tästä ominaisuudesta voi tulla niille, jotka eivät ole vielä millään muotoa toimintoa jalkauttaneet organisaatioonsa. Tämä pallo nääs heitetään helmikuun loppupuolella ihan jokaisen M365-käyttäjän lapaan niin, että tärähtää. Jos siis MFA vain suinkin on käytössä. Ja onhan se. Onhan – edes se, kaikilla?

Tästä on siis kyse. Kun käyttäjältä pyydetään MFA-vahvistusta, hänen pitää syöttää kirjautumisruudulla näkyvä numero Microsoft Authenticaton -sovelluksen vahvistuspyyntöön:

Joka tapauksessa ihan kaikkien tietoturvaa parantavien ominaisuuksien käyttöönottoa kannattaa harkita, sillä mörököllit vaanivat kaikkialla missä niille vain vähänkin annetaan sijaa, tunnetusti jo myös tässä MFA-toiminnossa. Lisää mörökölleistä voit käydä lukaisemassa ruttotohtori Kaitsun lyhytnovellista Azure Aktiivihakemistosi ja top-3 ulkomaailman mörököllit, sekä tavat suojautua pahaa maailmaa vastaan – Digikuu

 

”No mitäs tästä nyt sitten? Tehdas hoitaa, ei mun tartte.” 

Tehdas hoitaa kyllä, mutta tämä voi tulla hieman yllättäen ja pyytämättä käyttäjille, jos asiasta ei millään muotoa viestitä etukäteen. Siispä tähän liittyen kannattaa ainakin isommassa organisaatiossa olla aktiivinen, viestiä tästä ominaisuudesta ja jalkauttaa se sopivissa erissä koko organisaatioon – vielä kun voitte.

Tämä kannattaa ottaa käyttöön, vaikka käyttäjille olisi lähtökohtaisesti määritetty SMS-menetelmä tai MS Authenticatorin 6-numeroista OTP-menetelmää. Käyttäjä on voinut ottaa ihan itsekin käyttöön Push notification -toiminnon, johon tämä parannus liittyy.

Jalkautus tehdään Azure AD asetuksista Authentication methods -säännöistä, Microsoft Authenticator -asetuksista:

Microsoft Authenticator -asetus täytyy olla kohdennettu käyttäjille, joille numerovarmistys halutaan käyttöön: 

Tämän voi kääntää kaikille päälle, tai kohdentaa ryhmien kautta halutessaan.

 

Ja sitten se numeromurskain! 

Sinne voi löytää tiensä Configure välilehdeltä:

Asetus kannattaa vääntää Enabled asentoon, ja hallittua jalkautusta voi tehdä valitsemalla Select group ja Azure AD-ryhmän, jolle toiminto kohdennetaan. Mutta vain yhden. Myös Exclude on käytettävissä jos haluaa jonkin tietyn ryhmän jättää tämän ulkopuolelle alkuvalsseista. Nämä kun saat mieleiseesi asentoon, niin sitten vaan alakerrasta Save ja olosi on heti paljon turvallisempi. 

 

Eikä tässä vielä kaikki! 

Kun on vauhtiin päästy, niin antaa mennä vaan! Kannattaa siis kokeilla rohkeasti myös kahta samalta sivulta löytyvää lisäominaisuutta:

Kuten otsikot antavat ymmärtää, numerovahvistuksen kylkeen on mahdollista liittää tieto sovelluksesta, johon ollaan kirjautumassa, sekä myös suurpiirteinen sijainti, mistä kirjautuminen näyttäisi tapahtuvan. Nämä ovat mukava lisä, mutta voivat tietysti hieman häiritäkin käyttäjiä, jos tämä MFA kuvio tuntuu muutenkin haastavalta. Nämä mausteet voi siis laittaa oman maun mukaan päälle. Oleellista lienee tehdä päätös, halutaanko nämä kaksi päälle vai pois. Jos vivut jättää Microsoft managed asentoon, nämä saattavat tupsahtaa käyttäjien näkyville yllättäen ja pyytämättä. Ja taas saa olla selittelemässä, että ”En minä, mutta se Microsoftin Veijo..”. 

 

Lisää tästä ominaisuudesta voi käydä lukaisemassa tehtaan manuaalista:

Use number matching in multifactor authentication (MFA) notifications – Azure Active Directory – Microsoft Entra | Microsoft Learn

– Pilvikuiskaaja Riku Mustila