September 18, 2020
  • 11:10 pm Microsoft 365 – Salasanan resetointi itsepalveluna (SSPR)
  • 9:12 pm Exchange Online – Roskapostin estäminen top-level domainin (TLD) perusteella
  • 11:26 pm Windows 10 – Fiddler Web Debugger Proxyn asennus ja käyttöönotto
  • 3:00 am Microsoft 365 -käyttäjätilin kaappaamiseen reagointi – Tilanteen normalisointi
  • 12:40 am Microsoft 365 -käyttäjätilin kaappaamiseen reagointi – Tilin turvaaminen

Salasanojen resetointi itsepalveluna:

Microsoft 365 -tenantit eivät oletuksena hyödynnä käyttäjien salasanojen resetointia itsepalveluna (SSPR). Toiminnollisuus voidaan kuitenkin ottaa käyttöön Azure AD:sta navigoimalla: https://portal.azure.com/#blade/Microsoft_AAD_IAM/ActiveDirectoryMenuBlade/PasswordReset > Properties.

Oletuksena SSPR ei ole käytössä kenelläkään, paitsi tenantin järjestelmänvalvojilla. Toiminto voidaan ottaa päälle kaikille organisaation käyttäjille, tai vain halutulle ryhmälle. Luonnollisesti muutosta tehdessä kannattaa harkita oman organisaation tietoturvapolitiikkaa ja -käytäntöjä. SSPR ei sovi kaikkiin organisaatioihin ja voi heikentää tietoturvaa. Itse olen luonut omaan tenanttiin Self_Password_Reset -turvallisuusryhmän (security group).

Olen määrittänyt salasanan resetoinnin itsepalveluna toimimaan vain kyseisen ryhmän käyttäjillä:


Tunnistautumistavat:

Kun toiminto on otettu käyttöön halutulle joukolle käyttäjiä, kannattaa määrittää tunnistautumistavat, joilla käyttäjät voivat todistaa identiteettinsä salasanan resetoinnin yhteydessä. Tunnistatumistavat voidaan määrittää Azure AD:sta navigoimalla: https://portal.azure.com/#blade/Microsoft_AAD_IAM/ActiveDirectoryMenuBlade/PasswordReset > Authentication methods.

Itse edellytän kahta tunnistautumistapaa identiteetin todentamiseksi. Rekisteröitäviä tapoja olen sallinut neljä: Microsoft Authenticator -sovellukseen saapuvan ilmoituksen hyväksyminen, Microsoft Authenticator -sovellukseen saapuva kertakäyttökoodi, toissijainen sähköpostiosoite ja puhelinnumero.


Rekisteröityminen:

Jos tunnistautumistapoja ei ole määritetty, ei salasanaa voida palauttaa itsepalveluna. Siksi on suositeltavaa, että edellytetään automaattisesti käyttäjältä tunnistautumistietojen määritystä seuraavan sisäänkirjautumisen yhteydessä. Automaattinen rekisteröityminen salasanaresetointiin voidaan määrittää Azure AD:sta navigoimalla: https://portal.azure.com/#blade/Microsoft_AAD_IAM/ActiveDirectoryMenuBlade/PasswordReset > Registration.

Samassa yhteydessä voidaan määrittää, kuinka usein käyttäjien tulee vahvistaa tunnistautumistapojen ajantasaisuus. Itse olen asettanut sen 180 päivän välein.

Rekisteröintivaiheessa käyttäjä ohjataan oletuksena MFA:sta tuttuun portaaliin http://aka.ms/mfasetup tietojen määrittämiseksi. Azure AD:sta voidaan myös määrittää käyttäjille uusi portaali käyttöön, jolloin heidät ohjataan sivulle: https://mysignins.microsoft.com/security-info. Tuo uudempi portaali saadaan päälle Azure AD:sta navigoimalla: https://portal.azure.com/#blade/Microsoft_AAD_IAM/ActiveDirectoryMenuBlade/ > User settings > Manage user feature preview settings > Users can use the combined security information registration experience: All tai Selected.


Salasanan resetointi:

Rekisteröinnin jälkeen käyttäjät voivat itse vaihtaa salasanansa linkin https://passwordreset.microsoftonline.com/ tai lyhytlinkin https://aka.ms/sspr kautta.


TÄTÄ DOKUMENTTIA SAA KOPIOIDA JA MUOKATA GNU GENERAL PUBLIC LICENSE (VERSIO 3 TAI UUDEMPI) MUKAISESTI. HTTP://WWW.GNU.ORG/LICENSES/GPL.HTML
MARKUS PYHÄRANTA
Markus Pyhäranta

RELATED ARTICLES
LEAVE A COMMENT