Mistä selvitän todellisen M365/MFA -tilanteeni?
Microsoftin monivaiheisen tunnistautumisen (MFA) -avainluvut herättivät Kalastajatonttu-kokeilun osallistujissa paikoin ihmetystä. "Mitä ovat nämä käyttäjät, joilla MFA ei ole käytössä? Ei meillä pitäisi olla tällaisia."
Videossa on kappalemerkinnät. Näet ne YouTube-soittimen aikajanlta.
Dokumentaatiosta ei tällä kertaa löytynyt vastausta osallistujien kysymyksiin, joten Jani järjesti talkoot. Aluksi hän loi erilaisia käyttäjiä ja pakotti MFA:n käyttöön muutamalla eri tavalla. Tämän jälkeen hän tutki yhdessä muutaman osallistujan kanssa tilannetta heidän ympäristöissään. Jani tiivistää tässä videossa, mistä kaikkialta MFA-tilanteeseen liittyvää tietoa löytyy - ja miten sitä tietoa sitten tulkitaan, kun sitä löytyy.
Linkit videolla nähtäviin näkymiin:
Näyttääkö ylläpitokäyttäjien lukumäärä väärältä? Katso lista admin-käyttäjistä (Kohta 00:46)
Katso kenellä ainakin on MFA käytössä käyttäjien MFA-status -sivulta. (Huom: disabled ei välttämättä tarkoita että MFA:ta ei olisi pakotettu.) (Kohta 1m15s)
Testaa What if - simulaattorilla, pureeko conditional access -säännöt tiettyyn käyttäjään (Kohta 1m55s)
MFA disabled tai "not capable"? Katso käyttäjän kirjautumistiedoista, onko hän koskaan kirjautunut palveluun (Kohta 2m40s).
Kiinnostaako tarkemmat yksityiskohdat? Katso diat.
Katsojien vinkit
Onko sinulla vinkkejä siihen, miten todellista MFA-tilannetta voisi selvittää? Jätä vinkkisi joko oheisella palautelomakkeella vapaan palautteen osioon, tai lähettämällä sähköpostia osoitteeseen [email protected]. Kerro samalla haluatko esiintyä nimettömänä.
Käyttäjän kirjautumistiedot -sivulta löytyy myös "Sign-ins". Linkki avaa taulukon, josta näkee onko kirjautumisissa ollut vaatimuksena "Multi factor" vai "Single factor" - [email protected]
Muistakaa tukkia myös legacy authentication -vaihtoehto. Valtaosa salasanahyökkäyksistä hyödyntää niitä. Lisätietoa Microsoftin ohjeessa: "How to: Block legacy authentication to Azure AD with Conditional Access" [email protected]
Harkitse voisitko sallia "notification through mobile app" -toiminnon sallimisen Multi Factor Authentication -sivun service settings -välilehdeltä. Mukavempi käyttökokemus, kun ei tarvitse muistaa koodeja. -anonyymi
Palaute
Antaisitko palautetta, jotta tiedämme kannattaako meidän julkaista lisää tällaista sisältöä. Oliko sisältö mielenkiintoista ja formaati hyvä?