Implementare Azure Multi-Factor Authentication può diventare un'esperienza gravosa. Questa sessione descrive i principali ostacoli che possono portare al fallimento di un progetto spiegando come sono stati risolti sul campo.
By Gabriele Tansini
5. DUE NUMERI DA RICORDARE
0.1% - Account con MFA compromessi
rispetto al totale
>10% - Account con MFA abilitata
6. IL GIORNO DELLA SVOLTA
23 Ottobre 2019
Azure Security Defaults
7. VERSIONI DI AZURE MFA
Free (Azure Security Defaults)
MFA x O365
MFA x Azure AD Admin
Azure MFA Full (Azure AD P1/P2 e piani superiori)
8. ABILITARE MFA
Azure Security Defaults
Conditional Access (MFA basato per App, location, device, etc...)
Cambio di Stato
Azure Identity Protection (Risky Sign-In, etc...)
9. MODALITA’ SUPPORTATE
Security defaults Azure AD P1/P2
Notifica tramite App X X
Codice di verifica tramite App o token di terze parti X
SMS X
Telefonata X
App Password X**
Chiave FIDO2 X
Microsoft Authenticator Passwordless Sign-In X
Windows Hello X
** Le App passwords sono attivabili dagli amministratori in scenari legacy. Sarebbe opportuno evitarne l’uso
10. AZURE MFA IN CLOUD
Office 365 (Exchange Online, SharePoint Online, etc...)
Azure Portal
Applicazioni Cloud di terze parti (Webex, LinkedIn, etc...)
11. AZURE MFA ON-PREM
Remote Desktop Services con NPS extension
Apparati di rete (VPN, Wireless, etc...) con NPS extension
Applicazioni On-Prem (i.e. gestionale)
Exchange Hybrid Modern Authentication
ADFS (Vale sia per applicazioni On-Prem e Cloud)
13. OSTACOLI E OBIEZIONI
Ostacoli Risposte
Mancanza di cellulare aziendale • Chiave FIDO
• Spiegare che MS Authenticator serve anche
per uso personale
E’ troppo difficile da usare per gli utenti • Basta un approva su MS Authenticator
• La configurazione del device è semplice
E’ troppo difficile da gestire per gli
amministratori
• L’interfaccia è intuitiva
MFA richiesta anche quando sono in ufficio • Trusted IP e Trusted Location
Applicazioni legacy (Outlook 2010, LoB App) • Aggiornate
A me non serve • Gli Hacker ringraziano