Optimierung der Azure AD Sign-In User Experience

Ein heikles Thema – insbesondere in Cloud Umgebungen – ist die User Experience contra Sicherheit. Hier gilt es abzuwägen, welche Sicherheitsmechanismen erforderlich sind und wie diese so gestaltet werden können, dass die Benutzerakzeptanz nicht zu sehr leidet.

Daher beschäftige ich mich in diesem Beitrag mit dem Thema Anmeldung, Multi-Faktor-Authentifizierung und wie oft ich das als User durchführen muss. Wie kann ich meinen Tenant so konfigurieren, dass die User-Anmeldung möglichst sicher ist, der User sich aber nicht bei jedem Klick erneut anmelden muss?

Hinweis vorab:
Die verwendeten Angaben bzgl. Anmeldedauer und Re-Authentifizierung sind nur Beispiele und sollten je nach Anforderungen an die IT-Sicherheit in der eigenen Umgebung natürlich abweichend gewählt werden!

Azure AD Basic: „Stay signed in?“ Option

Der Administrator hat die Möglichkeit, dem Benutzer die Option anzubieten, dass er angemeldet bleibt, auch wenn der Browser geschlossen wird. Aktiviert wird diese Funktion unter https://portal.azure.com im Azure AD Menü unter Company Branding. Hier ist die Option Show option to remain signed in im jeweiligen Branding (Default und/oder Locale) auf Yes zu setzen.

Company Branding -> Show option to remain signed in
Company Branding -> Show option to remain signed in

Ist die Option aktiviert, erhält der User beim nächsten Login die Option, angemeldet zu bleiben:

Stay signed in?
Azure AD Basic: Speichern der MFA

Analog zur eigentlichen Anmeldung lässt sich auch die Re-Authentifizierung per MFA steuern, bzw. dem User anbieten, die aktuelle Authentifizierung für x Tage zu speichern, um nicht bei jeder Neuanmeldung die MFA durchzuführen.

Die dazugehörige Option remember multi-factor authentication on trusted device findet sich unter https://account.activedirectory.windowsazure.com/usermanagement/mfasettings.aspx. Die dazugehörige Checkbox muss aktiviert werden und es muss eine Anzahl von Tagen vorgegeben werden, für die keine MFA mehr benötigt wird.

Azure AD -> MFA Settings
Azure AD -> MFA Settings

Bei der nächsten Anmeldung mit MFA erhält der User nun die Option, auf dem aktuellen Gerät für die vorkonfigurierte Anzahl von Tagen keine MFA mehr zu benötigen.

Approve sign in request
Azure AD Premium: Steuerung der Authentication Sessions mit Hilfe von Conditional Access

Mit Azure AD Premium stehen die Conditional Access Policies zur Verfügung. Best Practice ist es, diese für möglichst viele Einstellungen des bedingten Zugriffs zu verwenden. Darunter fällt auch die Steuerung der Anmeldesitzungen. Mit Conditional Access wird dem User allerdings nichts angeboten, sondern die Einstellungen werden administrativ festgelegt.

In den beiden folgenden Policies verwende ich keine Condition. Natürlich kann man aber z.B. eine Device Filter Condition einbauen. Hier wäre ein Anwendungsfall, Geräte nach Trust Type zu filtern. So kann man beispielsweise Geräte, die nicht Hybrid Azure AD joined sind (also quasi Privatgeräte) von der „verbesserten User Experience“ ausschließen.

Policy 1: Anmeldehäufigkeit / Sign-in frequency (Beispiel)

AssignmentsIncludeExclude
Users and groupsAll users | Specific users includedoptional: Specific users excluded
Cloud apps or actionsAll cloud apps | Selected appsoptional: Selected Apps | None
Conditions0 conditions selectedn/a
Access controlsControl OptionControl Setting
Grant0 controls selected n/a
SessionSign-in frequency60 Days

Policy 2: Persistente Browsersitzung / Persistent browser session (Beispiel)

AssignmentsIncludeExclude
Users and groupsAll users | Specific users included optional: Specific users excluded
Cloud apps or actionsAll cloud appsNone
Conditions0 conditions selectedn/a
Access controlsControl OptionControl Setting
Grant0 controls selectedn/a
SessionPersistent browser sessionAlways persistent

Die beiden o.g. CA-Policies bewirken, dass der User immer angemeldet bleibt, jedoch nach 60 Tagen die Anmeldesitzung abläuft. Der User erhält dann folgende Aufforderung, sich wieder zu authentifizieren:

Re-Authentifizierung

Hinweis:
Wird eine Persistent browser session CA-Policy verwendet, überschreibt dies die „Stay signed in?“ Einstellung im Company Branding Bereich für den Benutzer, falls für ihn beide Optionen konfiguriert sind.


Quellen:
https://docs.microsoft.com/en-us/azure/active-directory/authentication/concepts-azure-multi-factor-authentication-prompts-session-lifetime
https://docs.microsoft.com/en-us/azure/active-directory/conditional-access/concept-conditional-access-session

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.