Tärkeimmät huomioitavat asiat ehdollisen pääsynhallinnan hyödyntämiseksi

Pilvi-infrastruktuuri

Avainsanat:

Ehdollisen pääsynhallinnan käytännöt (Conditional access policies, CA policies, myöhemmin blogissa CA-käytännöt) mahdollistavat organisaatioille niiden pääsykäytäntöjen luomisen, joilla hallitaan käyttäjien todennusvaatimuksia erilaisiin organisaation pilviresursseihin pääsemiseksi. Mutta mitä sinun tulisi miettiä, kun suunnittelet CA-käytäntöjen käyttöönottoa?

Olen lukuisten asiakasprojektien kautta oppinut muutamia keskeisiä asioita, joita kannattaa tehdä tai välttää. Tässä blogissa käsittelemme asioita, jotka ovat välttämättömiä, jotta CA-käytäntösi toimisivat: CA-käytäntöjen rakentamisen periaatteet, nimeämiskäytännöt ja mitä CA-käytäntöjä kaikkien tulisi toteuttaa. Lisäksi tarkastelemme edistyneitä CA-käytäntöjä.

Mitä ovat Conditional Access -käytännöt?

Microsoft määrittelee CA-käytännöt seuraavasti:

”Moderni turvallisuus ulottuu organisaation verkon rajojen ulkopuolelle ja kattaa käyttäjän ja laitteen identiteetin. Organisaatiot käyttävät nyt identiteettipohjaisia signaaleja osana pääsynhallintapäätöksiään. Microsoft Entra Conditional Access yhdistää signaalit, tekee päätöksiä ja panee täytäntöön organisaation käytännöt. Ehdollinen pääsynhallinta on Microsoftin Zero Trust -moottori, joka ottaa huomioon signaalit eri lähteistä päätöksiä tehdessään.

CA-käytännöt ovat yksinkertaisimmillaan jos-niin-lauseita; jos käyttäjä haluaa käyttää resurssia, niin hänen on suoritettava toimenpide. Esimerkiksi: Jos käyttäjä haluaa käyttää sovellusta tai palvelua, kuten Microsoft 365, hänen on suoritettava monivaiheinen todennus saadakseen pääsyn.”

Kuusi oleellista asiaa CA-käytäntöjen rakentamisen periaatteista

  1. Ajattele CA-käytäntöjä kuin palomuurisääntöjä. Jokainen kirjautuminen tai toimenpide on arvioitava CA-käytännön mukaan. Sisällytä kaikki, pois sulje mahdollisimman vähän.

  2. Break-glass- ja palvelutilit: Nämä tilit pois suljetaan lähes kaikista CA-käytännöistä. Tämä poikkeus on usein välttämätön. Tileillä on tyypillisesti määritetty CA-käytännöt, jotka estävät pääsyn epäluotettavista sijainneista.

  3. Luo Entra ID security group -ryhmiä erityisesti CA-käytäntöjä varten: Käytä etuliitettä, kuten esimerkiksi ”CA-”, joka on varattu näille käytännöille.

  4. Luo Entra ID security group -ryhmä käytettäväksi ohitusryhmänä. Lisää ryhmä ohittamaan CA-käytännöstä helpomman hallinnan ja poikkeusten näkyvyyden vuoksi.

  5. Luo Entra ID security group -ryhmiä M365-lisenssityyppien perusteella: Nämä ryhmät on varattu edistyneille CA-käytännöille, jotka vaativat lisälisenssin.

  6. Vältä report-only -tilan käyttöä mobiililaitteissa: Tämä tila luo lisäponnahdusikkunoita Android- ja iOS-laitteissa.

Nimeämiskäytäntö

Yksi kriittisimmistä asioista on nimeämiskäytäntö. On tärkeää suunnitella asianmukainen nimeäminen ennen päivitettyjen CA-käytäntöjen käyttöönottoa. Usein vanhat CA-käytännöt ovat sekava sotku, ja ”päivitys” on yksinkertaisempaa kuin olemassa olevien CA-käytäntöjen selvittäminen.

Näkemyksiä ja suosituksia CA- käytäntöjen päivittämiseen ja nimeämiseen:

  1. Aloita puhtaalta pöydältä: Vanhoja CA-käytäntöjä, erityisesti yli viisi vuotta vanhoja, voidaan pitää vanhentuneina. Ne eivät välttämättä hyödynnä uusia ominaisuuksia tai täytä nykyisiä organisaation turvallisuustarpeita. Päivittäminen voi tuoda ne ajan tasalle uusimpien turvallisuusstandardien kanssa.
  2. Hyödynnä Zero Trust -periaatteita: Monet organisaatiot pyrkivät toteuttamaan Zero Trust -periaatteita. Varmista, että päivitetyt CA-käytännöt vastaavat näitä periaatteita turvallisuuden parantamiseksi.
  3. Vuosittainen tarkistus: On tärkeää tarkistaa CA-käytännöt vuosittain. Tämä auttaa varmistamaan, että käytännöt pysyvät ajantasaisina ja tehokkaina muuttuvien turvallisuusuhkien ja organisaation muutosten käsittelemiseksi.

Noudattamalla näitä parhaita käytäntöjä, voit olla varma että käytössäsi ovat vahvat ja ajantasaiset CA-käytännöt, jotka tukevat organisaatiosi turvallisuustavoitteita.

CA-käytäntöjen rakentamiseen on erilaisia tapoja. Microsoftilla on myös suosituksia, mutta nämä suositukset räätälöidään usein organisaation omiin tarpeisiin. Ota yhteyttä, niin neuvomme, mikä on parasta organisaatiollesi. Tärkeintä on, että sinulla on selkeä käsitys siitä, mikä olisi toivottu lopputulos.

CA-käytännöt edellyttävät Entra ID security group käyttöä. Suosittelen käyttämään etuliitettä kaikille CA-käytöntöihin liittyville security group helpomman hallinnan ja näkyvyyden vuoksi. Yleiset security groupit liittyvät käyttäjien ohittamiseksi väliaikaisesti CA-käytännöstä tai erityisen CA-käytännön kohdistamiseksi käyttäjäryhmälle.

Conditional Access -käytännöt, joita kaikkien tulisi toteuttaa

  1. Yleiset CA-käytännöt, jotka estävät
    Yleiset CA-käytännöt, jotka estävät sisältävät vanhentuneiden todennusten estämisen, tuntemattomien tai ei-tuettujen alustojen estämisen, palvelu- ja break-glass-tilien estämisen epäluotettavista sijainneista ja niin edelleen.

  2. Ylläpitäjän / ylläpitäjän portaalin CA-käytännöt
    Ylläpitäjän oikeuksien osalta monivaiheinen tunnistautuminen (MFA) vaaditaan Entra-ylläpitäjäroolien käyttämiseen. Ylläpitäjän portaaleille kuten Azure Admin -portaalille, on syytä tiedostaa että ne eivät hyödynnä Entra-ylläpitäjärooleja lainkaan ja siksi niitä on hallittava CA-käytännöllä, joka vaativat vähintään MFA:n. Lisäturvallisuuden vuoksi jotkin roolit tai portaalit voivat vaatia vahvempaa, kalastelulle resilienttiä MFA:ta, kuten Windows Hello, Passkeys tai sertifikaattipohjainen todennus.

  3. Break-glass- pääsynhallinnan CA-käytännöt
    ”Riko lasi, kun kohtaat ongelmia”. Break-glass-tilejä käytetään, kun muut ylläpitäjätilit eivät syystä tai toisesta pääse kirjautumaan hallintaportaaleihin. Break-glass-käytön rajoittaminen vain luotettuihin verkkoihin ja MFA:n vaatiminen on yksi tärkeimmistä CA-käytännöistä.

  4. Turvallisuustietojen rekisteröintikäytännöt
    Kun käyttäjät alkavat käyttää MFA:ta, heidän on rekisteröitävä MFA-menetelmät. Tämä CA-käytäntö rajoittaa, mitä laitetta tai sijaintia loppukäyttäjän on käytettävä MFA:n rekisteröimiseksi. Useimmiten vaaditaan luotettu verkko tai yhteensopiva laite.

  5. Laitteiden rekisteröintikäytännöt
    Laitteiden rekisteröimiseksi Entraan vaaditaan MFA, millä tahansa alustalla.

  6. Käyttäjän pääsynhallinnan CA-käytännöt
    Nämä CA-käytännöt määrittelevät, mitkä ovat vaatimukset normaalille loppukäyttäjälle kaikkien pilviresurssien käyttöön. Vähimmäisvaatimus on MFA:n vaatiminen, ja sitä voidaan säätää vaatimaan enemmän yhteensopimattomilta laitteilta tai valituilta pilviresursseilta. Mitä sitten vaaditaankaan enemmän, vaatimukset sisältävät vahvemman MFA:n ja/tai kirjautumistiheyden rajoitukset.

  7. Ulkoisten/vieraiden pääsynhallinnan CA-käytännöt
    Vieras-tilien osalta vähimmäisvaatimus on MFA kirjautumistiheyden kanssa pääsyn saamiseksi. Tämä käytäntö riippuu Entra External Identities määrityksistä, kuten MFA:n tai laitteen yhteensopivuuden luottamisesta muista Entra tenanteista.

  8. Kumppantilien CA-käytännöt
    Kumppanitilit ovat normaaleja jäsentilejä Entrassa, mutta niitä käyttävät kumppanit tai muut käyttäjät, joiden kanssa tehdään yhteistyötä. Nämä käyttäjät ovat M365-lisensoituja ja käyttävät joko omaa laitetta tai yrityksen tarjoamaa laitetta. Vähimmäisvaatimus on MFA kirjautumistiheyden kanssa.

Edistyneet käytännöt

Edistyneet CA-käytännöt (Advanced Conditional Access policies) ovat riskipohjaisia, laitepohjaisia, sovelluspohjaisia ja enemmän ylläpitäjiin liittyviä CA-käytäntöjä. Edistyneet CA-käytännöt liittyvät turvallisuuden lisäämiseen, pääasiassa laitteen yhteensopivuusvaatimuksen avulla.

Loppukäyttäjät tarvitsevat lisälisenssejä joihinkin näistä CA-käytännöistä, kuten Entra ID P2, joka sisältyy M365 E5:een tai E5-turvallisuuslisäosaan. Tyypillisesti edistyneiden CA-käytäntöjen avulla organisaation tavoite on myös vaatia yhteensopivia laitteita kaikille pilviresursseille pääsyssä osana Zero Trust -polkua. Laitepohjaisessa pääsyssä on tietysti joitain huomioon otettavia asioita.

Riskipohjaiset CA-käytännöt

Riskipohjaiset CA-käytännöt tarjoavat enemmän hallintaa, automatisoivat riskien lieventämisen ja mahdollistavat erilaisten riskitasojen määrittämisen eri käyttäjäryhmille. Verkkosijaintien määrittäminen on myös ratkaisevan tärkeää, koska nämä sijainnit vaikuttavat riskitason havaitsemiseen ja vähentävät väärien positiivisten tulosten määrää.

Riskipohjaiset CA-käytännöt vaativat lisälisenssejä loppukäyttäjille. Entra ID P2 -lisenssi on välttämätön Entra ID Protectionin kaikkien ominaisuuksien hyödyntämiseksi ja eri vaihtoehtojen aktivointia CA-käytännöissä. Microsoft Entra Admin Center käyttää erillistä Identity Protection -hallintasivua seurantatarkoituksiin. Se viittaa Entra ID Protection -käytäntöihin nimellä ’User Risk Policy’ ja ’Sign-in Risk Policy’. Lisätietoja eri riskeistä saat osoitteesta What are risks in Microsoft Entra ID Protection – Microsoft Entra ID Protection | Microsoft Learn

Device-based conditional access policies

Laitepohjaisilla käytännöillä on lisävaatimuksia, koska laitteen yhteensopivuutta voidaan arvioida vain hallituilla laitteilla jotka on liitetty Intuneen. Microsoft Intune -yhteensopivuuskäytännöt ovat sääntöjä ja ehtoja, joita käytät hallittujen laitteidesi kokoonpanon arvioimiseen. Nämä käytännöt voivat auttaa suojaamaan organisaation tietoja ja resursseja laitteilta, jotka eivät täytä näitä kokoonpanovaatimuksia. Hallittujen laitteiden on täytettävä käytännöissä määritetyt ehdot, jotta Intune pitää niitä yhteensopivina.

Intune voi myös hyödyntää kolmannen osapuolen MDM-palveluntarjoajia yhteensopivuuden määrittämiseksi. Niillä on omat yhteensopivuuskäytäntönsä ja ne raportoivat laitteen yhteensopivuuden Intuneen ja sieltä Entraan. Suunnittele laiteyhteensopivuuskäytännöt organisaatiosi käytäntöjen perusteella. Kun nämä käytännöt on otettu käyttöön, ne arvioivat hallittujen laitteidesi kokoonpanon. Arvioinnin tulokset lähetetään sitten Entraan käytettäväksi CA-käytännöissä.

Laite voi olla joko:

  • Yhteensopiva (compliant): Intune on todennut, että laite täyttää kaikki yhteensopivuuskäytäntöjen vaatimukset arvioinnin jälkeen.
  • Yhteensopimaton (non-compliant): Intune on todennut, että laite ei täytä yhteensopivuuskäytäntöjen vaatimuksia.
  • Tuntematon (unknown): Laite ei ole hallittu, joten sen yhteensopivuustilaa ei voida määrittää ja sitä pidetään yhteensopimattomana.


Suositukseni laitepohjaisille ehdollisen pääsynhallinnan käytännöille jakautuvat kahteen kategoriaan: selainpohjainen pääsy ja moderni asiakaspohjainen pääsy. Käytännöt räätälöidään jokaiselle alustalle. Laitteen yhteensopivuuden vaatiminen selainkäytössä sisältää lisävaatimuksia ja enemmän huomioon otettavia yksityiskohtia.

Device Code flow

Jotkut laitteet, kuten IoT-laitteet, vaativat vaihtoehtoisia todennusmenetelmiä. Device Code flow on OAuth 2.0 -valtuutusmenetelmä, joka on suunniteltu helpottamaan turvallisia kirjautumisia näillä laitteilla hyödyntämällä toista laitetta, kuten älypuhelinta tai tietokonetta, todennusprosessissa.

Tämäntyyppisellä todennusmenetelmällä voi olla turvallisuusriskejä, erityisesti hallitsemattomilla laitteilla, joilta puuttuvat täysin turvallisuusvalvontatoimet. Device Code flow CA-käytäntö on kriittinen turvallisuusominaisuus, joka mahdollistaa organisaatioiden hallita ja lieventää näitä riskejä tehokkaasti.

Sovelluspohjaiset CA-käytännöt

Sovelluspohjainen hallinta riippuu Intune MAM -kyvykkyyksistä, sovelluksen määritys- ja -suojauskäytännöistä. Intune MAM:lla on kaksi erilaista käyttöönottomallia, MAM ja MAM-Without Enrollment.

  • Intune MAM:ia käytetään tyypillisesti Intune-hallituilla laitteilla sovelluspohjaisen turvallisuuden ja pääsyn parantamiseksi. Nämä laitteet voivat olla joko henkilökohtaisia (BYOD, Bring your own device) tai yrityksen omistamia.
  • MAM-Without Enrollment on tarkoitettu hallitsemattomille tai kolmannen osapuolen MDM-hallinnoiduille laitteille. Näitä laitteita ei hallita Intune MDM:llä ja ne otetaan myös huomioon BYOD-käyttötapauksissa.

Sovelluksen suojauskäytäntö tukee Androidia ja iOS/iPadOS:ia. Windowsia tuetaan tällä hetkellä vain Edge-selaimessa. Microsoftilla on erittäin hyvä dokumentaatio “Data protection framework using App Protection Policies” , joka on suunniteltu hyväksi lähtökohdaksi sovelluksen suojauskäytäntöjen käyttöönotolle.

Sovelluksen suojauskäytännön pakottaminen tapahtuu aina CA-käytöntöjen avulla, mikä edellyttää erilaisia käytäntöjä ja lisäasetuksia.

Ylläpitäjän pääsynhallinnan CA-käytännöt

CA-käytännöt ylläpitäjille tulisi olla käytössä jokaisessa organisaatiossa. Erilaisten lisävaatimusten ja vieläkin turvallisemman ylläpitäjän pääsyn vaatimiseksi on saatavilla enemmän CA-käytäntöjä. Mikä sopii parhaiten organisaatiollesi, riippuu suuresti organisaation käytännöistä. Sulje pois tai sisällytä roolit, jotka sopivat sinulle parhaiten.

Lopuksi

Kuten olet todennäköisesti huomannut, se mikä sopii parhaiten organisaatiollesi vaihtelee paljon. Ota yhteyttä meihin saadaksesi neuvoja ja käytäntöjen toteuttamista ympäristösi ja organisaatiosi tarpeiden turvaamiseksi!

Tämä blogi julkaistiin alun perin Valtterin Wallo-blogissa blogisarjana, vieraile blogissa täällä: Wallo Blog – Your Trusted Source for Intune, Windows 365, and AVD Expertise

Kuinka voimme auttaa?

Kun haluat tarjota IT-ympäristön laajat mahdollisuudet optimaalisesti organisaatiosi liiketoiminnalle ja työntekijälle hallitusti, turvallisesti ja kustannustehokkaasti, me olemme kumppanisi.

Tutustu palveluihimme IT-infraan ja tietoturvaan

Kirjoittaja

Valtteri Aho

Consulting & Training

Valtteri keskittyy Moderniin laitehallintaan, Microsoft 365 :n sekä tietoturvaan. Valtteri on toiminut aiemmin yli 10 vuoden ajan asiantuntija-, konsultointi- ja koulutustehtävissä. Hänellä on kokemusta niin on-premises -ratkaisuista pilveen ja pilvisiirtymisiin asti. Hän pystyy hahmottamaan laajoja kokonaisuuksia ja viestimään asiat eteenpäin ymmärrettävässä muodossa. Sydäntä lähellä on tietoturva kaikissa olomuodoissa.