Optimierung der Azure AD Sign-In User Experience
Ein heikles Thema – insbesondere in Cloud Umgebungen – ist die User Experience contra Sicherheit. Hier gilt es abzuwägen, welche Sicherheitsmechanismen erforderlich sind und wie diese so gestaltet werden können, dass die Benutzerakzeptanz nicht zu sehr leidet.
Daher beschäftige ich mich in diesem Beitrag mit dem Thema Anmeldung, Multi-Faktor-Authentifizierung und wie oft ich das als User durchführen muss. Wie kann ich meinen Tenant so konfigurieren, dass die User-Anmeldung möglichst sicher ist, der User sich aber nicht bei jedem Klick erneut anmelden muss?
Hinweis vorab:
Die verwendeten Angaben bzgl. Anmeldedauer und Re-Authentifizierung sind nur Beispiele und sollten je nach Anforderungen an die IT-Sicherheit in der eigenen Umgebung natürlich abweichend gewählt werden!
Azure AD Basic: „Stay signed in?“ Option
Der Administrator hat die Möglichkeit, dem Benutzer die Option anzubieten, dass er angemeldet bleibt, auch wenn der Browser geschlossen wird. Aktiviert wird diese Funktion unter https://portal.azure.com im Azure AD Menü unter Company Branding. Hier ist die Option Show option to remain signed in im jeweiligen Branding (Default und/oder Locale) auf Yes zu setzen.
Ist die Option aktiviert, erhält der User beim nächsten Login die Option, angemeldet zu bleiben:
Azure AD Basic: Speichern der MFA
Analog zur eigentlichen Anmeldung lässt sich auch die Re-Authentifizierung per MFA steuern, bzw. dem User anbieten, die aktuelle Authentifizierung für x Tage zu speichern, um nicht bei jeder Neuanmeldung die MFA durchzuführen.
Die dazugehörige Option remember multi-factor authentication on trusted device findet sich unter https://account.activedirectory.windowsazure.com/usermanagement/mfasettings.aspx. Die dazugehörige Checkbox muss aktiviert werden und es muss eine Anzahl von Tagen vorgegeben werden, für die keine MFA mehr benötigt wird.
Bei der nächsten Anmeldung mit MFA erhält der User nun die Option, auf dem aktuellen Gerät für die vorkonfigurierte Anzahl von Tagen keine MFA mehr zu benötigen.
Azure AD Premium: Steuerung der Authentication Sessions mit Hilfe von Conditional Access
Mit Azure AD Premium stehen die Conditional Access Policies zur Verfügung. Best Practice ist es, diese für möglichst viele Einstellungen des bedingten Zugriffs zu verwenden. Darunter fällt auch die Steuerung der Anmeldesitzungen. Mit Conditional Access wird dem User allerdings nichts angeboten, sondern die Einstellungen werden administrativ festgelegt.
In den beiden folgenden Policies verwende ich keine Condition. Natürlich kann man aber z.B. eine Device Filter Condition einbauen. Hier wäre ein Anwendungsfall, Geräte nach Trust Type zu filtern. So kann man beispielsweise Geräte, die nicht Hybrid Azure AD joined sind (also quasi Privatgeräte) von der „verbesserten User Experience“ ausschließen.
Policy 1: Anmeldehäufigkeit / Sign-in frequency (Beispiel)
| Assignments | Include | Exclude |
|---|---|---|
| Users and groups | All users | Specific users included | optional: Specific users excluded |
| Cloud apps or actions | All cloud apps | Selected apps | optional: Selected Apps | None |
| Conditions | 0 conditions selected | n/a |
| Access controls | Control Option | Control Setting |
|---|---|---|
| Grant | 0 controls selected | n/a |
| Session | Sign-in frequency | 60 Days |
Policy 2: Persistente Browsersitzung / Persistent browser session (Beispiel)
| Assignments | Include | Exclude |
|---|---|---|
| Users and groups | All users | Specific users included | optional: Specific users excluded |
| Cloud apps or actions | All cloud apps | None |
| Conditions | 0 conditions selected | n/a |
| Access controls | Control Option | Control Setting |
|---|---|---|
| Grant | 0 controls selected | n/a |
| Session | Persistent browser session | Always persistent |
Die beiden o.g. CA-Policies bewirken, dass der User immer angemeldet bleibt, jedoch nach 60 Tagen die Anmeldesitzung abläuft. Der User erhält dann folgende Aufforderung, sich wieder zu authentifizieren:
Hinweis:
Wird eine Persistent browser session CA-Policy verwendet, überschreibt dies die „Stay signed in?“ Einstellung im Company Branding Bereich für den Benutzer, falls für ihn beide Optionen konfiguriert sind.
Quellen:
https://docs.microsoft.com/en-us/azure/active-directory/authentication/concepts-azure-multi-factor-authentication-prompts-session-lifetime
https://docs.microsoft.com/en-us/azure/active-directory/conditional-access/concept-conditional-access-session
