SSPR vs contact info

ciekawy case dotyczący uruchamiania Self-Service Password Reset (SSPR) i zarazem lekcja – workaround to nie solution q:

zgłosił się do mnie zapłakany klient, że uruchamiają SSPR i muszą jakoś dostarczyć dane użytkowników do portalu. do niedawna nie było to możliwe (uservoice z 2o18), ale od jakiegoś czasu Microsoft w swojej wielkości dostarczył… no właśnie, co dostarczył? obejście problemu opisane tutaj. 'czemu obejście?’ zapyta ktoś, kto uważnie przestudiuje, sprawdzi i stwierdzi że działa…

…ano problem polega na tym, że informacje do SSPR brane są z atrybuty 'StrongAuthenticationUserDetails’. ten atrybut ma kilka cech odróżniających go od zwykłego atrybutu np. 'telephoneNumber’ a jednym z nich jest fakt… że nie wypełnia wizytówki użytkownika. jest niewidzialny.

i teraz taki myk…

tak wygląda użytkownik, który wszedł na portal i wypełnił sobie dane do MFA/SSPR:

PS> get-msoluser -UserPrincipalName testuser01@w-files.pl|select -ExpandProperty strongauthenticationuserdetails


ExtensionData : System.Runtime.Serialization.ExtensionDataObject
AlternativePhoneNumber :
Email : moj@email.com
OldPin :
PhoneNumber : +48 2323232323
Pin :

i wyświetlmy sobie właściwości w AAD:

PS > Get-AzureADUser -SearchString testuser01@w-files.pl|select othermails,mobile,telephonenumber

OtherMails Mobile TelephoneNumber
---------- ------ ---------------
{}

a teraz, za artykułem, prepopuluję (dziś super po polsq) atrybuty:

Set-AzureADUser -ObjectId testuser02@w-files.pl -OtherMails @('innymail@wtf.com') -Mobile '+48 666232323' -TelephoneNumber '+48 999999999'

no i output takiej operacji:

PS > Get-AzureADUser -SearchString testuser02@w-files.pl|select othermails,mobile,telephonenumber

OtherMails Mobile TelephoneNumber
---------- ------ ---------------
{innymail@wtf.com} +48 666232323 +48 999999999

get-msoluser -UserPrincipalName testuser02@w-files.pl|select -ExpandProperty strongauthenticationuserdetails
<empty>

co się dzieje dalej? hasło dla testuser02 resetuję i działa. kiedy próbuję dostać się do portalu o365, dostaję standardowe pytanie o uzupełnienie obligatoryjnych pól do zabezpieczenia konta (czyli te do MFA, które zapisują się w StrongAuthenticationUserDetails).

a więc to …’rozwiązanie’ nie działa dla MFA, jest obejściem dla SSPR, i dane 'zabezpieczające’ stają się *publicznie* dostępne dla wszystkich w organizacji ROTFLMAO.

eN.

ITechDay 2o19

już wkrótce, 7.o3.19, wyczekiwany ITechDay. organizator zgodził się na zwiększenie liczby uczestników do 8oo osób, w związq z czym dostępna jest dodatkowa pula wejściówek (:

polecam do zapoznania się z agendą i szybką decyzje, bo wejściówki zazwyczaj rozchodzą się w mgnieniu oka – niemal z dosłownością tego powiedzenia. zasługa oczywiście i doborowych prelegentów, organizacji, atmosfery i oczywiście faktu, że jest to impreza bezpłatna.

serdecznie zapraszam!

eN.

społecznie – WGUiSW i o365 User Group

już w najbliższy wtorek, 19.o2, 1o7 WGUiSW – na nim kontynuacja serii Marka dot. office 365, sesja Kamila o Microsoft Graph oraz Mariusza o tym, jak przenieść małą firmę do Azure. jak widać tematyka przenosi się do chmury…

a w następny wtorek, 26.o2, pierwsze (SIC! #1spotkanie grupy O365 User Group. grupę prowadzi wspomniany Kamil oraz Michał – znani ze świetnych konferencji ShareCon365. tematy ciekawe – Teams i PowerApps. trzymam kciuki (:

eN.