Jen si zde odložím screenshoty k aktivaci a používání nedávno oznámeného přihlašování bez hesla od Microsoftu.
Podstatné je mít na mysli:
- Tento způsob přihlašování je výchozí, a přebíjí tedy např. přihlašování přes ADFS (!)
- Uživatelé musí mít možnost registrovat zařízení a musí používat MFA
- Autenticator může být registrová pouze do jednoho tenantu 🙁
- Funkce je prozatím v preview, nefunguje vždy úplně spolehlivě
1/ Aktivace na úrovni tenantu:
New-AzureADPolicy -Type AuthenticatorAppSignInPolicy -Definition ‚{„AuthenticatorAppSignInPolicy“:{„Enabled“:true}}‘ -isOrganizationDefault $true -DisplayName AuthenticatorAppSignIn
2/ Stažení a registrace aplikace Microsoft Authenticator
3/ Přídání účtu (pokud čistě náhodou už nemáme…).
4/ Pro účet povolíme přihlašování telefonem. U účtu se objeví nový indikátor
4/ Hotovo, a testujeme přihlášení, např. na https://portal.office.com
Klasika, zadáme email.
5/ Místo požadavku na zadání hesla vyskočí číslo, které si chvíli musíme pamatovat 🙂
Dobrá zpráva je, že pro případ nouze můžeme stále zadat heslo (třeba když máme telefon v ložnici nebo jiném nedosažitelném místě).
6/ Kdo používá Apple Watch, tak zjistí, že má smůlu. Snad Microsoft vyrobí samostatnou aplikaci pro hodinky.
7/ V telefonu už to vypadá lépe, potvrdíme číslo z přihlašovacího dialogu:
8/ Následuje potvrzení biometrikou
9/ A jsme přihlášeni!
Prozatím odpozorováno:
- Prozatím proces ověřování ne vždy spadne do režimu bez hesla, občas se prostě objeví standardní dialog
- Občas v přihlašovacím dialogu chybí číslo a nelze se přihlásit jinak než heslem, případně učinit druhý pokus
- Občas dorazí oznámení bez čísla, takže ho stačí jen potvrdit. Jen člověk neví, co potvrzuje
- Přihlášení heslem a MFA je vlastně trochu rychlejší a pohodlnější, obzvláště se správcem hesel (ale nám jde o bezpečnost)
- Standardní MFA (kódy) může mít člověk na dvou telefonech, jedné aplikaci a hodinkách. Password-less potřebuje jedno jediné zařízení.
Pro další testování mám připraven Yubi a další tři U2F hračky. Těším se na dostupnost ověřování s U2F, dám vědět jak to ne/chodí!
Linky:
První informace:
Postup aktivace a známé problémy:
You must be logged in to post a comment.