Hvordan aktivere Azure MFA for Online PowerShell moduler som ikke støtter Multi-Faktor Autentisering?

I dette blogginnlegget vil jeg se nærmere på hvordan du kan oppnå Azure Multi-Faktor Autentisering for administratorer selv om Online PowerShell-modulen ikke støtter det. Nøkkelen til å gjøre dette er å implementere og bruke Azure AD Privileged Identity Management, som er en Azure AD Premium P2 / EMS E5 funksjonalitet.

Problemet

Administrasjon av Online tjenester med PowerShell kan gjøres med forskjellige PowerShell moduler eller for noen scenarier, sette opp en Remote Session til online tjenesten. Men ikke alle scenarier støtter Azure MFA.

En rask oversikt over de viktigste moduler som støtter Azure MFA i dag:

  • Azure Powershell. Støtter Azure MFA med Add-AzureAccount.
  • Azure Resource Manager Powershell. Støtter Azure MFA med Login-AzureRMAccount.
  • Azure Active Directory Powershell MSOnline Module. Støtter Azure MFA med Connect-MSOLService.
  • Public Preview av Azure AD v2 Powershell ( https://azure.microsoft.com/en-us/updates/azure-ad-new-powershell-cmdlets-preview/ ). Støtter Azure MFA med Connect-AzureAD.
  • Azure Rights Management Service Powershell. Støtter Azure MFA med Connect-AadrmService.
  • Sharepoint Online Powershell. Støtter Azure MFA med Connect-SPOService.

Alle disse ovennevnte støtter Azure MFA så lenge du sender inn brukernavn og password i et Credential objekt.  Det finnes også mer avanserte scenarier for noen av disse modulene via programmatisk tilgang med Access Token og sertifikater som jeg ikke vil dekke her. Det viktigste er at når du oppretter et legitimasjons objekt med Get-Credential, og sender som en parameter til ovennevnte moduler, så vil ikke Azure MFA fungere hvis admin brukeren har blitt konfigurert til å bruke det. Vi får se noen eksempler på dette senere i bloggen. Legg også merke til at hvis du har en eldre versjon av MSOnline eller Aadrm som krevde Online Sign-in Assistant, vil ikke disse fungere med Azure MFA, og du må oppgradere til siste versjon.

Så hvilke er modulene og scenariene som ikke støtter Azure MFA?

Disse er i hovedsak Office 365 og Remote PowerShell:

  • Exchange Online Remote PowerShell
  • Skype for Business Online Remote PowerShell
  • Office 365 Sikkerhet og Compliance Center Remote PowerShell

I disse scenariene må du opprette et Credential objekt, og sende som parameter når du kobler til online tjenesten og dette blokkerer for bruk av Azure MFA.

En beste praksis sikkerhet for administratorer

I dag mener jeg det er uakseptabelt å ikke benytte Multi-Factor Autentisering eller annen beskyttelse for admin kontorer ved bruk av Online tjenester som Azure og Office 365, og bare basere seg på beskyttelse med brukernavn og passord!

Som en organisasjon må du ha kontroll over dine identiteter, ansatte og administratorer som kommer og går. Jeg har sett gjentatte tilfeller av at organisasjoner har Admin kontoer for brukere som har forlatt selskapet for lenge siden.

De fleste organisasjoner har katalogsynkronisering fra lokal Active Directory til Azure AD, noe som gjør det mulig å synkronisere lokale admin kontoer. Du får deretter et valg: Skal jeg bruke synkronisert admin kontoer for Admin Roller i Azure / Office 365? Eller skal jeg bare lage Cloud baserte admin kontoer for dette formålet?

Min sikkerhet beste praksis er å bruke en kombinasjon av begge, slik at:

  • Synkroniserte on-premise admin kontoer for de viktigste, faste og sensitive Admin kontoer, som Globale administratorer, Sikkerhets administratorer, Azure Subscription administratorer og mer. Disse kontoene vil bli satt opp til å kreve Azure MFA, da disse kontoene muligens kan koble on-premise ressurser og det har større konsekvens av at brukernavn og passord kommer på avveie.
  • Cloud-administratorer som brukes for rollebasert administrasjon, flere midlertidige Global administratorer eller i andre scenarier for periodisk Azure og Office 365 administrasjon. Disse kontoene vil ikke bli satt opp for Azure MFA, men bruker Azure AD Privileged Identity Management for å kreve Azure MFA når du aktiverer rollen. Noen av disse kontoene omfatter også tjenestekontoer for katalogsynkronisering, Intune Connector etc., disse må være permanente admin kontoer.

Løsningen

Etter min erfaring er den beste måten å beskytte begge type admin kontoer er å bruke Azure AD Privileged Identity Management og Azure MFA i kombinasjon slik at:

  • Generelt alle de permanente admin kontoer med noen få unntak, er pålagt å bruke Azure MFA. Disse Admin kontoer kan bruke alle Powershell moduler som støtter Multi-Faktor Autentisering ved tilkobling.
  • Rollebasert admins (for eksempel Exchange Online administratorer, Skype for Business administratorer) er satt opp til å bli midlertidige / potensielle Admins i Azure AD Privileged Identity Management, som krever Azure MFA ved aktivering. Etter admin rollen er aktivert, kan han eller hun bruke PowerShell moduler / eksterne sesjoner som ikke har innebygget støtte for Azure MFA. 

Ulempen med denne løsningen er at Azure AD Privileged Identity Management krever en Azure AD Premium P2 lisens eller Enterprise Mobility E5 lisens. Azure MFA er gratis å bruke for Admin kontoer for Online tjenester.

Hvordan sette det opp?

I de følgende trinnene vil jeg vise hvordan du setter dette opp og hvordan det vil fungere.

I denne demoen vil jeg jobbe i et demo miljø med tenant navn elven.onmicrosoft.com . Jeg har også konfigurert katalogsynkronisering fra min lokale Active Directory , disse brukerne har UPN suffiks med elven.no.

I mitt miljø har jeg en fiktiv admin bruker som heter Ola Nordmann. Ola er en Exchange Admin i vår Hybrid Exchange-miljø, og trenger tillatelser til å administrere Exchange Online i Office 365 både via admin portalen og via Exchange Online PowerShell .

Ola har disse to kontoene i Azure AD:

Som beskrevet i anbefalt løsning over, vil jeg konfigurere og kreve Azure MFA for den lokale administratorkontoen , og for Cloud administratorkontoen vil jeg bruke Privileged Identity Management og MFA for aktivering av rollen.

Konfigurere Multi-Faktor Autentisering

Den enkleste måten å tilgjengligjøre MFA for en bruker, er via Office 365 Admin portalen https://portal.office.com. I brukerlisten finner jeg og velger admin brukeren jeg ønsker å aktivere MFA for:

"Manage multi-factor authentication" vil ta meg til Azure AD multi-faktor autentisering administrasjonssiden, hvor jeg finner og velger admin brukeren:

På høyre siden velger jeg å aktivere brukeren(e).

Etter det, bekrefter jeg at jeg ønsker å bruke MFA for brukeren(e):

Motta bekreftelse:

Nå ser jeg at statusen er aktivert, og dette betyr at brukeren trenger å logge på og konfigurere autentiseringsmetode for MFA først:

Konfigurere Admin Roller

Deretter vil jeg gi Ola Nordmann Exchange administratorrollen, slik at han kan administrere Exchange Online.

Tilbake i Office Admin portalen ser jeg at admin brukeren nå har ingen roller:

Jeg velger Rediger, og  Tilpasset administrator og Exchange-administrator rolle, og legger til e-postadressen til brukeren:

Deretter legges den samme Exchange-administrator rollen til Ola Nordmann (Cloud Admin) bruker:

Nå er begge admin brukere Exchange-administratorer, men bare ola.admin@elven.no on-premise administratorkontoen er konfigurert for multi-faktor autentisering.

Logg på og aktivere multi-faktor autentiseringsmetode for admin-bruker

Nå vil jeg logge på med ola.admin@elven.no kontoen på https://portal.office.com. Siden denne admin kontoen har blitt konfigurert for MFA får jeg beskjed om å sette opp denne nå: 

Jeg må velge en autentiseringsmetode. I denne demoen vil jeg bruke Microsoft Authenticator App.

Jeg velger å sette opp og konfigurere mobile app som instruert:

Jeg åpner opp Microsoft Autentisering-appen på telefonen og følger instruksjonene som beskrevet over. Etter det mottar jeg bekreftelse på at mobile app er konfigurert.

Nå må jeg velge "Kontakt meg" for å teste godkjenning.

På telefonen min får jeg varselet i App'en og velger å bekrefte, og får beskjed om at dette er vellykket. Siden jeg bare har satt opp mobile app, må jeg også legge til bekreftelse av telefonnummer i tilfelle jeg mister tilgangen til programmet. Jeg skriver mitt mobilnummer og trykker neste.

Og i det siste trinnet får jeg en app passord for å bruke på noen apps, dette vil det ikke være behov for dette nå for denne demoen, og klikker på Ferdig:

Tilbake i portalen og påloggingen, så vil jeg nå bli bedt om å godkjenne med min app:

Etter vellykket autentisering logger jeg på portalen:

Og siden denne brukeren har en Exchange-administrator rolle , så har jeg tilpasset Admin tilgang i Office 365-administrator portal og kan starte koblingen til Exchange admin portal:

Prøv å få tilgang til Exchange Online Powershell med MFA aktivert admin

Først et raskt tilbakeblikk på multi-faktor autentisering administrasjonssiden, der admin brukeren nå har blitt oppdatert til håndhevet/enforced. Dette skjer etter at brukeren har blitt aktivert for MFA, og ​​etter at brukeren har konfigurert sine godkjenningsmetoder. "Enforced" betyr at de vil nå bli pålagt å gjøre MFA ved autentisering mot elektroniske tjenester:

La oss prøve å få tilgang til Exchange Online Powershell med admin bruker. Instruksjoner for tilkobling med Powershell for Office 365-tjenester er beskrevet her:

Etter det prøver jeg å opprette en remote sesjon med denne Credential objekt variabelen:

Som forventet vil dette mislykkes, da multi-faktor autentisering er nødvendig for ola.admin@elven.no kontoen. 

I neste del skal vi se på den andre Cloud admin brukeren og konfigurere løsningen å bruke Azure AD Privileged Identity Management.

Konfigurer Azure AD Privileged Identity Management for Exchange-administratorer

På dette neste skritt logger jeg på som en global administrator , og hvis jeg ikke allerede har lagt Privileged Identity Management-løsning , kan jeg legge den fra Azure Marketplace:

Den første globale administratoren som setter opp Privilegert Identity Management vil legges til Security Administrator og Privileged Role Administrator roller. Etter det kan vi håndtere de ulike privilegerte rollene. Hvis du tidligere har lagt til løsningen, må du aktivere Privileged Role administrator først.

Når jeg velger Exchange Administrator rollen, kan jeg se begge admin kontoer for min Ola admin bruker. Disse rollene er tildelt på permanent basis:

Azure AD Privileged Identity Management vil la meg tildele og endre administratorroller fra fast til kvalifisert (eligible) for midlertidig aktivering. Jeg vil gjøre dette for ola.admin@elven.onmicrosoft.com cloud admin kontoen: 

Etter at jeg har klikket på "Make eligible" , blir administratorkontoen fjernet fra permanent rolle og er nå oppført som Eligible:

Hvis jeg klikker på innstillinger knappen for Exchange Administrator rolle, kan jeg sette aktiveringsvarighet, e-post varsler, ticketing og for noen roller kan jeg velge om det skal kreves multi-faktor autentisering for aktivering:

Disse innstillingene kan også settes som standard for alle roller:

På dette punktet har min cloud admin ola.admin@elven.onmicrosoft.com blitt fjernet som en permanent Exchange-administrator , og vil kreve aktivering før han blir midlertidig aktivert som en Exchange-administrator for en times varighet.

Logg på som administratorbruker uten aktivering

Når jeg logger på Office 365-portalen med ola.admin@elven.onmicrosoft.com, vil jeg se at denne brukeren er bare en vanlig bruker uten admin linker. Dette er som forventet da brukeren ikke har aktivert Exchange Administrator rolle.

Aktiver Exchange Administrator Rolle

Etter det går jeg til Azure portalen https://portal.azure.com fortsatt logget på som ola.admin@elven.onmicrosoft.com . Først må jeg legge til Privileged Identity Management-løsning:

Etter det kan jeg be om aktivering av rollen jeg ønsker som i dette tilfelle er exchange administratoren:

Når du ber om aktivering må jeg bekrefte min identitet først:

Hvis min konto ikke allerede er satt opp for multi-faktor autentisering, vil det bli guidet til å gjøre det nå:

Etter konfigurering og verifisering av multi-faktor autentisering, kan jeg nå aktivere min Exchange-administrator rolle og gi en grunn:

Etter vellykket aktivering kan jeg bekrefte varigheten jeg vil bli aktivert for:

Logg deg på Office 365-portalen og Exchange Administrasjonssenter etter aktivering

Etter aktivering , skal jeg logge av og på igjen med min aktivert admin rolle konto , og denne gangen vil jeg se Exchange Admin portalen:

Logg deg på Exchange Online Powershell etter aktivering

Og til slutt , kan jeg starte en Exchange Online Powershell Session med min aktiverte kontoen . Først henter jeg Credential:

Og deretter oppretter eksterne Exchange Online sesjon og importerer den til Powershell:

Og til slutt teste noen Exchange Online administrasjons kommandoer for å sjekke at det er vellykket:

Oppsummering

På slutten av dette lange blogginnlegget, kan vi oppsummere at vi har oppnådd løsningen med å legge Azure Multi-Faktor autentisering for scenarier der Powershell-modulen eller Remoting Session ikke har innebygd støtte for det. Dette er gjort mulig ved hjelp av Azure AD Privileged Identity Management, og ved å gjøre noen rolle administratorer kvalifisert og kreve MFA ved aktivering. På denne måten de har bekreftet sin identitet før de kobles opp med Credential objektet.

Dette er bare ett scenario der både Azure AD MFA og Privileged Identity Management kan brukes sammen for økt sikkerhet og redusere angrepsflaten for å ha sårbare permanente administratorkontoer og roller.

Jeg håper dette blogginnlegget har vært lærerikt og nyttig, og ta gjerne kontakt eller legg igjen en kommentar ved eventuelle spørsmål.

 

Denne blogg posten ble opprinnelig publisert på http://systemcenterpoint.wordpress.com/2016/09/09/how-to-enable-azure-mfa-for-online-powershell-modules-that-dont-support-mfa/.

Du kan også se en video blogg på Channel 9 som viser dette i praksis: https://channel9.msdn.com/Blogs/MVP-Enterprise-Mobility/How-to-enable-Azure-MFA-for-Online-PowerShell-Modules-that-dont-supportMFA-using-Azure-AD-Privileged

 

 

 

 

 

 

 

 

Legg igjen en kommentar