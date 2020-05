Azure AD är den katalogtjänst som innehåller de konton som används med Office 365. Microsoft ansvarar för att katalogtjänsten är tillgänglig och säker i sig, men det är du själv som ansvarar för identitetssäkerheten på personnivå. För att slippa problem med intrång, till exempel på grund av lyckade phishingattacker, är det mycket viktigt att du vidtar ett flertal åtgärder för att minska risken att någon lyckas kapa ett konto.

En av de viktigaste åtgärderna är att du ser till att utnyttja de inbyggda säkerhetsfunktioner som finns i katalogtjänsten. Detta är tyvärr en sorts ”rörligt mål” eftersom befintliga funktioner förändras och utvecklas och nya funktioner ständigt tillkommer. Säkerhetsarbete är därför en ständig process snarare än en engångsåtgärd.

Man kan ofta grovt placera ett företag i en av fyra säkerhetsnivåer i Azure AD beroende på vilka åtgärder man har vidtagit avseende säkerhet kring identiteter. Vi tänkte arbeta oss igenom dessa nivåer och givetvis också förklara vad vinsten är med att ta sig upp till en högre nivå.

Nivå 1: ”Ingen” säkerhet

Enligt Microsofts statistik så ligger oroväckande många i den här kategorin. Det vill säga en miljö där inget fokus lagts på att konfigurera säkerhet, och det allra mesta är bara standardinställningar. Ingen använder flerfaktorsautentiserig (MFA), man får komma åt alla data varifrån som helst och med vilka gamla protokoll som helst.

Du har kanske inte licenser som ger möjlighet till mer avancerade säkerhetsfunktioner, du bör i så fall införskaffa det så att du kan ta dig till högre nivåer. Du har i det här läget ändå ett visst skydd i och med att vissa funktioner är inbyggda i Azure AD från början, bland annat blockeras anslutningar från ip-adresser som är kända att tillhöra hackare eller andra kriminella element. Men allt sådant får anses vara en ren bonus, i det här läget är du mycket känslig för attacker och identitetsstöld.

Ett simpelt phishingbrev kan räcka för att du ska råka illa ut och efter detta kan gamla protokoll som SMTP eller IMAP användas för att missbruka tjänsten och/eller ta sig vidare och attackera fler konton. Detta är inget bra läge att befinna sig i och du bör omgående vidta åtgärder för att ta dig till ett säkrare läge. Om du tar en titt på den inbyggda funktionen Identity Secure Score i Azure AD så kommer du troligen att ha en väldigt låg summa där.

Nivå 2: Security Defaults aktiverat

Sedan några månader finns funktionen ”Security Defaults” tillgängligt för alla oavsett licensnivå, och i nyskapade Office 365-miljöer är det också påslaget från start. Detta är ett ganska trubbigt verktyg utan några mer detaljerade konfigurationsmöjligheter eller undantag, men kan vara helt okej för mindre avancerade företag som inte använder SMTP relay. Inställningen medför följande:

Alla användare måste registrera sig för MFA inom 14 dagar från deras senaste inloggning efter att sec-defaults har aktiverats.

Alla konton med administrativa behörigheter måste använda MFA för varje inloggning.

Enbart Microsoft Authenticator med push-notis kan användas som MFA-metod. Sms eller uppringning kan inte användas.

”Vanliga” användare måste autentisera sig med MFA när Microsoft bedömer att det är nödvändigt, baserat på information om deras normala beteendemönster.

Gamla protokoll, såsom IMAP, POP3 och SMTP Submission slås av för alla.

ActiveSync slås av, så alla måste gå över till Outlook Mobile på telefonen för att komma åt mejl där.

Nivå 3: Avancerad säkerhet med licens för AAD P1

Slå av ActiveSync och standardisera på Outlook Mobile (OM) på telefoner.

Slå av krav på byten av lösenord. Periodiskt krav på lösenbyte har visat sig sänka säkerheten och ett komplext lösenord i kombination med MFA är den säkraste lösningen.

Kräv MFA för inbjudna gäster.

Aktivera möjligheten för användare att återställa sitt eget lösenord. Detta medför att det blir svårare att lura din helpdesk att lämna ut lösenord till hackers.

Om dina klientdatorer är hybridmedlemmar i Azure AD och/eller om de är registrerade i Intune så kan du ta vara på detta och utforma ännu mer avancerade krav på att man enbart får komma åt företagsdata från enheter som uppfyller de krav som ställts upp.

Utnyttja möjligheten att kräva godkännande av villkor i form av en PDF så att du vet att alla användare har klart för sig hur de får använda tjänsterna i Office 365.

Nivå 4: Avancerad säkerhet med licens för AAD P2

Blockera helt inloggning eller kräv byte av lösenord vid medium eller högre risk på användarnivå.

Blockera eller kräv extra MFA-verifiering vid medium eller högre risk på inloggning.

Eftersom SMTP Submission slås av så kan du inte heller ha en skannerfunktion i en kopiator som skickar mejl, eftersom SMTP inte stödjer MFA. Du kan inte kombinera nivå 2 med nivå 3. Ska du ta dig vidare till nivå 3 så måste du först slå av security defaults.Detta är en grundläggande säkerhetsnivå som är mycket bättre än inget, men passar troligen bara mindre företag med blygsamma krav på flexibilitet. Om du känner att du kan använda inställningen så gör det, men det är högst troligt att du vill ta dig vidare till nivå 3 för att kunna anpassa säkerhetsnivån och göra undantag som passar just ditt företag.För lite större och mer avancerade företag är detta troligen den nivå du vill ta dig till. Du behöver ha en licens för Azure AD P1 för att få tillgång till alla funktioner, denna kan kåpas à la carte eller via en bundling som till exempel Microsoft 365 eller EMS.Här har du full frihet att utforma säkerheten som du vill, du kan göra undantag och du kan också göra införanden gradvis. Nyckeln till denna flexibilitet kallas för Conditional Access Policy (CAP) som här blir tillgängliga att använda sig av. CAP ger dig möjlighet att mycket flexibelt ställa krav på vem som får komma åt vilken information under vilka villkor. Det du bör sikta på att åstadkomma här är följande:Aktivera krav på MFA för både användare och administratörer. Använd en grupp där du placerar undantag, såsom konton som används av scanners, script eller andra specialfall.Aktivera den nya upplevelsen för MFA-registrering och ställ krav på varifrån MFA initialt får konfigureras, till exempel från Sverige eller från ett visst ip-spann som ägs av ditt företag.Spärra gamla protokoll, som IMAP, POP och SMTP Submission, men gör undantag för det lilla antal konton som använder dessa, som tex ärendehanteringssystem som hämtar e-post eller skannrar som skickar brev med SMTP.Detta är den säkerhetsnivå som de flesta företag bör försöka ta sig till. Om du inför dessa säkerhetsregler kommer du att vara motståndskraftig mot attacker och phishingförsök och revisioner på säkerhetsområdet kommer troligen att godkännas om du tagit dig till den här nivån.Även om nivå 3 medför en acceptabel säkerhetsnivå så finns det mer att göra för den som vill ha riktigt bra säkerhet kring identiteter. Om du har licens för AAD P2 så får du förutom det som du kan och bör göra i P1 (det vill säga nivå 3 ovan) tillgång till funktionen Identity Protection (IP).Varje inloggning tilldelas automatiskt ett visst ”poängvärde” avseende hur riskfylld den ”känns”. Microsoft väger in många parametrar här, som om du kommer från en okänd enhet, ett annat ip-nät än du brukar eller använder en anonymiseringstjänst. En användare tilldelas också en poängsumma som helhet som ständigt ändras beroende på hur personen uppträder. IP gör att du kan ange vad som ska inträffa när en viss riskpoäng har uppnåtts på dessa två områden. Har du tillgång till IP bör du göra nedanstående:

Du väljer själv vilken nivå av säkerhet du vill sikta på beroende på dina behov. Nivå 4 är givetvis trevligt men vår rekommendation är att du minst tar dig till nivå 3 för att få fullgod säkerhet och flexibilitet.

