Um eine gute Governance und damit ein gutes Regelwerk in seiner IT Landschaft zu haben sind Frameworks und Prozesse wichtig. Diese ermöglichen eine Nutzung im sichereren Rahmen. Nun gibt Microsoft gleich drei neue Baselines in die Preview:
Die neuen Baseline Policies
Wie ihr feststellen könnt sind folgende Baseline Policies dazugekommen:
- Baseline policy: End user protection (Preview)
- Baseline policy: Block legacy authentication (Preview)
- Baseline policy: Require MFA for Service Management (Preview)
Dokumentation: https://docs.microsoft.com/en-us/azure/active-directory/conditional-access/baseline-protection
Baseline policy: Require MFA for admins
Diese Policy war zunächst die ersten und einzige Policy in der Azure AD. Die Preview Phase ist nun einige Tage her und auch ich habe diese Policy für meine Tenants im Einsatz. In dieser Policy wurden einige Administratorrollen ergänzt und diese auch damit erweitert.
Wichtig hierbei ist es, dass diese Administratoren immer MFA benutzen müssen, sich also über ihr Dienstsmartphone zusätzlich mit einem zweiten Faktor (z.B. SMS) verifizieren. Dies schützt diese Accounts zusätzlich. Interessant ist diese Policy, dass die Administratoren sich selber diese Regel nicht nehmen können, außer die schieben sich in die Ausnahmen dieser Policy in der Azure AD. Dafür benötigten sie jedoch die Rechte und es wird getrackt. Auf dieses Event könntet ihr auch eine Notification setzen.
Baseline policy: End user protection (Preview)
Diese neue Policy schützt Benutzer, indem sie eine Multi-Faktor-Authentifizierung (MFA) bei riskanten Anmeldeversuchen für alle Anwendungen erfordert. Benutzer mit “verlorenen” oder “geleakten” Anmeldeinformationen werden von der Anmeldung bis zum Zurücksetzen des Passworts blockiert.
Sobald die Richtlinie aktiviert ist, müssen sich die Benutzer innerhalb von 14 Tagen nach ihrem ersten Anmeldeversuch für MFA registrieren. Die Standardmethode für die MFA-Registrierung ist die Microsoft Authenticator App.
Hierbei handelt es sich um End user, also um den klassischen Benutzer.
(der “Learn more” Link ist defekt!)
Ihr könnt auch hier Nutzer (intern) und Gäste auswählen, die diese Policy NICHT erhalten sollen. Leider können aktuell keine Gruppen ausgewählt werden. Ihr müsstet die Nutzer einzeln hinzufügen.
Baseline policy: Block legacy authentication (Preview)
Diese Richtlinie blockiert alle Anmeldungen mit Legacy-Authentifizierungsprotokollen, die keine Multi-Faktor-Authentifizierung unterstützen (wie IMAP, POP, SMTP). Die Richtlinie blockiert Exchange ActiveSync nicht.
Beispiele:
- Office 2013 (ohne Registrierungsschlüssel)
- Office 2010
- Thunderbird Client
- Legacy Skype for Business
- Nativer Android-Mail-Client
Auch hier könnt ihr wieder einzelne Nutzer ausschließen.
Baseline policy: Require MFA for Service Management (Preview)
Diese Richtlinie erfordert, dass sich Benutzer bei Diensten anmelden, die auf die Azure Resource Manager API angewiesen sind, um eine Multi-Faktor-Authentifizierung (MFA) durchzuführen.
Zu den Dienstleistungen, die MFA erfordern, gehören:
- Azure-Portal
- Azure Befehlszeilenschnittstelle (CLI)
- Azure PowerShell Modul
Auch hier könnt ihr wieder einzelne Nutzer ausschließen.