MFA, SSPR – 'unified experience’?

scenariusz

typowy w-files czyli hejcik przy kawie. dziś o konfiguracji MFA oraz fakcie, że od czasów portalu Azure, który niewielu już pamięta, ten fragment cały czas jest w starej wersji. można się do niego dostać linkiem https://account.activedirectory.windowsazure.com/UserManagement/MultifactorVerification.aspx i wygląda tak:

…już pominę kwestię, że MFA jest jednym z częściej koniecznych obszarów do obsługi przez 2gą linię, a nie ma możliwości użycia RBAC i konieczny jest Global Admin, czy taki szczegół, że 'podpowiedzi’ pokazują prywatne pule adresowe (LoL).

żeby zaadresować te problemy i w końcu dać nowy interfejs, powstał ’combined security information registration (preview)’. na razie 'preview’ – chociaż nie wiem po co w tych czasach dodawać taki dopisek, skoro wszystko jest w metodyce CI/CD co oznacza 'neverending preview’. dodajmy teraz do tego SSPR – czyli Self-service Password Reset. konfiguracja wygląda tak:

 

efekt?

otóż ustawienia metod uwierzytelnienia dla MFA, skonfigurowane w SSPR mają pierwszeństwo nad ustawieniami z MFA server. czyli np. :

  • chcielibyśmy dać możliwość ludziom użycie dowolnej metody 2FA (call, text, app) i równocześnie wymusić, że podczas zmiany hasła musimy skorzystać z odpowiadania na pytania – nie da się. jeśli włączymy X metod uwierzytelnienia, te same będą dozwolone przy resecie hasła.
  • konfiguracja MFA z panelu użytkownika znika. na razie nie udało mi się znaleźć jak 'wyklikać się’ do ekranu zmiany opcji. użytkownik musi skorzystać z linka bezpośredniego – https://aka.ms/mfasetup .
  • nawet jeśli SSPR jest konfigurowany tylko dla ograniczonej ilości osób (np. przez grupę), to i tak te opcje działają na wszystkich
  • nie oznacza to wcale, że stary MFA server setup jest już zbędny! ponieważ to jest jedyna opcja, która działa z nowego miejsca – cała reszta, czyli opcja trusted IP czy ile czasu MFA jest cache’owane – to wszystko konfiguruje się ze starego panelu.

no. łatwiej teraz jest, nie?

eN.