Digikuun blogissa tänään:

Vieraille toinen kuppi kahvia ja vähemmän valtaa 

Kirjoittaja:

Aiemmin tänä vuonna kirjoittelin siitä, miten Microsoft 365 -ympäristössä vierailevilta käyttäjiltä voi vaatia vähän enemmänkin kuin vain sujuvaa yhteistyötä. Käytännössä tämä tarkoittaa esimerkiksi MFA:n vaatimista vierailijatunnuksilta. Jos idea kuulostaa houkuttelevalta, kannattaa käydä lukaisemassa tuo blogautus täältä.

Vaan annas olla, kun vieraat saattavat joskus olla perin uteliaita. Vaikka heidät on kohteliaasti laskettu sisään olohuoneeseen, makuuhuoneen uumenissa lymyilevät salaisuudet kiinnostavat kovasti. Ja eihän heitä sinne sovi päästää!  

Keskitytäänpä hetki siihen, että miksi ja miten voisimme rajoittaa vieraiden, siis Guest-tunnusten oikeuksia Microsoft 365 -ympäristössä, eli käytännössä Azure Active Directory -hakemistossa. 

Hey, Mi casa su casa 

“Minähän heidät kutsuin, miksi siis rajoittaisin heidän oikeuksiaan?” 

Noh, jostain syystä se makuuhuoneenkin ovi laitetaan kiinni. Vieraskäyttäjän oikeudet Azure AD -hakemiston osalta ovat luonnollisesti jo hieman rajatut, ja hyvä niin. Mutta aika paljon jää vielä mahdollisuuksia jäljelle, jos niitä loppujakaan oikeuksia ei rajoiteta riittävästi. 

Normaaliasetuksilla olevassa Azure AD -hakemistossa vierastunnuksella voi esimerkiksi: 

  • Tutkia Azure AD -tenantin asetuksia 
  • Listata ympäristön varsinaisia käyttäjiä 
  • Listata käyttäjien ryhmäjäsenyyksiä 
  • Listata admin tunnuksia (pienellä päättelykyvyllä) 
  • Listata tenantin domainit 
  • Ja kiinnostuksesta riippuen vielä vähän muutakin… 

Vierailijatunnuksella on siis mahdollista saada varsin tarkka käsitys isäntäorganisaation käyttäjistä, ryhmistä ja myös heidän rooleistaan. Ehkä siis myös löytää esimerkiksi pääkäyttäjäoikeuksilla varustettu Break The Glass -tunnus, tai tenanttiin lojumaan jääneet migraatio- tai palvelutunnukset, joiden salasanaa voisi vähän koneellisesti yrittää arvailla. Tai jos pääkäyttäjäoikeuksia on jäänyt ihan tavallisille käyttäjätunnuksille, heihin voisi kohdentaa sopivan kalastelukampanjan. Mahdollisuuksia löytyy kyllä. 

Muchos gracias! 

Mitenkäs nämä vieraat sitten laitetaan ojennukseen? Ja sattuuko se? 

Toiminnot vierastunnusten oikeuksien määrittelyyn löytyvät Azure AD -hallintaportaalista valitsemalla External Identities ja sen jälkeen External collaboration settings (tässä suora linkki asetuksiin

Säätämällä Guest user access -asetusta asentoon Guest user access is restricted to properties and memberships of their own directory objects (most restrictive), voidaan määrittää vierastunnusten oikeudet vain ko. tunnusten omiin hakemistokohteisiin. 

Vaan mitä tästä seuraa, ja sattuuko se? 

Vieraskäyttäjän oikeudet karsitaan minimiin, eikä vierastunnuksella voi enää ratsastaa läpi hakemiston mm. tiiraillen käyttäjiä ja ryhmiä. Omia asetuksiaan vieraileva käyttäjä toki pystyy edelleen muokkaamaan. Tarkempi dokumentaatio eri oikeustasoista löytyy Microsoftin dokumentaatiosta: https://docs.microsoft.com/en-us/azure/active-directory/fundamentals/users-default-permissions#compare-member-and-guest-default-permissions 

Palveluiden käyttöön tämä asetus ei juurikaan vaikuta, mutta Plannerin tai Yammerin osalta sillä voi olla pieniä vaikutuksia esim. mobiilikäytön osalta. Jos em. palvelut ovat kovassa käytössä vierailijoiden kanssa, kannattaa tätä asiaa harkita hivenen pidempään. 

— 

Tämän jutun ideasta ja sisällöstäkin täytyy nostaa Suuresti hattua Nestori Syynimaalle, joka on jo pidemmän aikaa tutkinut ja valaissut Azure AD:n ja M365-ympäristön synkimpiä nurkkia, sekä kehittänyt soveltuvia työkaluja halukkaiden käyttöön. Jos haluat syventyä hieman tarkemmin mm. tähän vierailijatunnuksen teknisiin kyvykkyyksiin – ja etenkin siihen miten temppu tehdään, kannattaa hypätä tästä Nestorin aihetta käsittelevään blogiin: https://o365blog.com/post/quest_for_guest/ 

Pilvikuiskaaja Riku Mustila