יכולות MFA בשירות Office 365 (מאמר 1)

רכיב MFA מסייע למשתמש לבצע כניסה למערכת ע”י גורם אוטנטיקציה נוסף, MFA קיים בשירות Office 365 וכן בשירות Azure אך ישנם מספר הבדלים בין שירותי הענן.
MFA קיים במספר חבילות בשירות Office 365 ומאפשר הגדרת משתמשים רגילים וכן משתמשי בעלי הרשאות.

מהו MFA

רכיב אבטחה בעל שכבה נוספת שמצריך אוטנטיקציה של שני גורמים או יותר במטרה להקשיח את הכניסה של המשתמש אל המערכת, המטרה של MFA היא למנוע גישה לא מורשית אל המשאבים הארגוניים.

כאשר אנו עובדים עם MFA אנו תמיד עונים על שלושה פרמטרים:

  • נתון שיש למשתמש עצמו

  • אמצעי שיש למשתמש

  • נתון שהוא המשתמש יודע עליו בלבד

בעולם האמיתי משתמש עם סיסמא ארגונית שנמצא עם מכשיר נייד ומבצע לוגין בפרמטר זמני נוסף שנשלח אל המכשיר בזמן לוגין מתוך המערכת.
שילוב של מספר גורמי אוטנטיקציה מקשה על האקרים ומציב אתגר כי אין יותר התבססות על מזהה בודד וידוע מראש ולכן משתמשים בעלי MFA יותר בטוחים מאשר משתמשים בעלי סיסמא בלבד.

כאשר עושים שימוש עם MFA משתמשים מחויבים לעשות שימוש באחד מתוך האפשרויות הבאות:

  • אפליקציה (App Passwords) – שימוש באפליקציה שמותקנת בתחנת הקצה או ברמת מכשיר חכם ומאפשרת לבצע אוטנטיקציה ברמת האפליקציה לאפלקיציות, כגון: Outlook/Lync
  • סיסמא זמנית (One Time Password) – סיסמא זמנית שנשלחת כהודעת טקסט ופג התוקף שלה הוא לאחר דקה אחת בלבד ומאפשרת למשתמש לקבל סיסמא אל המכשיר הנייד שהוגדר ועמו לבצע לוגין
  • שיחת טלפון – ניתן לקבל שיחת טלפון אוטומטית עם המכשיר שהוגדר ולאחר לחיצה על # מאפשר להמשיך ולבצע לוגין אל המערכת

ישנה אפשרות לשלב גם כרטיס חכמים (פיסי/וירטואלי) או מזהים ביומטרים מול MFA

כאשר אנו מתכננים להפעיל MFA אנו יכולים להפעיל MFA לפי האופן הבא:

  • סביבת ענן בלבד – שימוש ביכולות מייל, טלפון ואפליקציה

  • סביבת היברידית – שימוש ביכולות מייל, טלפון, אפליקציה, כרטיסים חכמים, שירות Azure MFA או שילוב מול ADFS

או לחלופין בהתאם לשירות ענן הקיים בארגון

  • MFA לשירות Office 365 – מאפשר לבצע MFA למשתמשי אדמין ומשתמשים רגילים

  • MFA למשתמשי אדמין בסביבת Azure – מאפשר לבצע MFA למשאבי מערכת מול משתמשי אדמין בסביבת Azure

  • Azure MFA מלא – מאפשר לבצע MFA על משאבי מערכת, אפליקציות, מערכות היברידיות (מסוימות) שמוגדרות מול VPN בסביבת Azure

אנו יכולים MFA בהתאם לצורך שיש בארגון, ניתן לומר שברוב הארגונים מופעל MFA למשתמשי אדמין.

תהליך בצד המשתמש

כאשר אנו מבצעים לוגין עם משתמש אשר מוגדר עם MFA, תהליך הלוגין מתבצע באופן הבא:

  • משתמש מבצע לוגין עם שם משתמש וסיסמא של הארגון אל Outlook Web App

  • לאחר מכן נעשה זיהוי בלוגין שהמשתמש חייב לבצע לוגין עם אמצעי נוסף, כגון: הודעת טקסט

  • נשלחת הודעת טקסט אל המכשיר של אותו משתמש עם סיסמא זמנית

  • משתמש מקליד סיסמא זמנית במסך הלוגין

  • משתמש נכנס אל המערכת

רכיב MFA שקיים בשירות Office 365 הוא בסיסי ביחס לשירות Azure וישנם הבדלים רבים בינהם:

image

חווית המשתמש

כמו בכל שירות חווית המשתמש חשובה מאד ולכן ניתן לבצע MFA עם כמה אפשרויות:

אפליקציה (App Passwords) – שימוש באפליקציה שמותקנת בתחנת הקצה או ברמת מכשיר חכם ומאפשרת לבצע אוטנטיקציה ברמת האפליקציה לאפלקיציות, כגון: Outlook/Lync
סיסמא זמנית (One Time Password) – סיסמא זמנית שנשלחת כהודעת טקסט ופג התוקף שלה הוא לאחר דקה אחת בלבד ומאפשרת למשתמש לקבל סיסמא אל המכשיר הנייד שהוגדר ועמו לבצע לוגין
שיחת טלפון – ניתן לקבל שיחת טלפון אוטומטית עם המכשיר שהוגדר ולאחר לחיצה על # מאפשר להמשיך ולבצע לוגין אל המערכת

איך מפעילים MFA

ניתן להפעיל MFA למשתמשים רגילים או משתמשים בעלי הרשאות ולכן הגדרת MFA מחולקת לכמה שלבים:

  • הגדרה ברמת אדמין

  • הגדרה (Setup) ראשוני ברמת המשתמש

  • לוגין של המשתמש ורישום ראשוני

הערה: המדריך הבא מתאר הפעלת MFA מול Browser בלבד.

הגדרת אדמין

בכדי להפעיל MFA למשתמש או מספר משתמשים בשירות הענן Office 365 יש לבצע את הפעולות הבאות:

1.  לוגין אל פורטל הניהול (MOP) בכתובת: https://portal.microsoftonline.com
2. מתוך הדף הראשי ניגש אל “Users and Groups”
3. ולאחר מכן באפשרות “Set Multi-factor authentication requirements” נבחר “Set Up”

image

4. בדף “Multi-factor authentication”  נבחר בתיבת הסימון את המשתמש שברצוננו לאפשר ונלחץ על Enable

image

לאחר מכן יופיע חלון אישור נוסף להפעלת MFA על אותו משתמש, גם כאן נבחר באפשרות “enable multi-factor auth”

image

לאחר כמה שניות נקבל הודעה שהמשתמש הופעל בהצלחה

image

לאחר מכן נוכל לבצע לוגין לעשות רישום ראשוני של MFA בצד המשתמש

להשאיר תגובה

הזינו את פרטיכם בטופס, או לחצו על אחד מהאייקונים כדי להשתמש בחשבון קיים:

הלוגו של WordPress.com

אתה מגיב באמצעות חשבון WordPress.com שלך. לצאת מהמערכת / לשנות )

תמונת Twitter

אתה מגיב באמצעות חשבון Twitter שלך. לצאת מהמערכת / לשנות )

תמונת Facebook

אתה מגיב באמצעות חשבון Facebook שלך. לצאת מהמערכת / לשנות )

תמונת גוגל פלוס

אתה מגיב באמצעות חשבון Google+ שלך. לצאת מהמערכת / לשנות )

מתחבר ל-%s