Přihlašování bez hesla (Password-less sign-in)

Jen si zde odložím screenshoty k aktivaci a používání nedávno oznámeného přihlašování bez hesla od Microsoftu.

Podstatné je mít na mysli:

  • Tento způsob přihlašování je výchozí, a přebíjí tedy např. přihlašování přes ADFS (!)
  • Uživatelé musí mít možnost registrovat zařízení a musí používat MFA
  • Autenticator může být registrová pouze do jednoho tenantu 🙁
  • Funkce je prozatím v preview, nefunguje vždy úplně spolehlivě

1/ Aktivace na úrovni tenantu: 

New-AzureADPolicy -Type AuthenticatorAppSignInPolicy -Definition ‚{„AuthenticatorAppSignInPolicy“:{„Enabled“:true}}‘ -isOrganizationDefault $true -DisplayName AuthenticatorAppSignIn

 

2/ Stažení a registrace aplikace Microsoft Authenticator 

3/ Přídání účtu (pokud čistě náhodou už nemáme…).

4/ Pro účet povolíme přihlašování telefonem. U účtu se objeví nový indikátor

4/ Hotovo, a testujeme přihlášení, např. na https://portal.office.com

Klasika, zadáme email.

5/ Místo požadavku na zadání hesla vyskočí číslo, které si chvíli musíme pamatovat 🙂

Dobrá zpráva je, že pro případ nouze můžeme stále zadat heslo (třeba když máme telefon v ložnici nebo jiném nedosažitelném místě).

6/ Kdo používá Apple Watch, tak zjistí, že má smůlu. Snad Microsoft vyrobí samostatnou aplikaci pro hodinky.

7/ V telefonu už to vypadá lépe, potvrdíme číslo z přihlašovacího dialogu:

8/ Následuje potvrzení biometrikou

9/ A jsme přihlášeni!

 

Prozatím odpozorováno:

  • Prozatím proces ověřování ne vždy spadne do režimu bez hesla, občas se prostě objeví standardní dialog
  • Občas v přihlašovacím dialogu chybí číslo a nelze se přihlásit jinak než heslem, případně učinit druhý pokus
  • Občas dorazí oznámení bez čísla, takže ho stačí jen potvrdit. Jen člověk neví, co potvrzuje
  • Přihlášení heslem a MFA je vlastně trochu rychlejší a pohodlnější, obzvláště se správcem hesel (ale nám jde o bezpečnost)
  • Standardní MFA (kódy) může mít člověk na dvou telefonech, jedné aplikaci a hodinkách. Password-less potřebuje jedno jediné zařízení.

Pro další testování mám připraven Yubi a další tři U2F hračky. Těším se na dostupnost ověřování s U2F, dám vědět jak to ne/chodí!

Linky:

První informace:

https://techcommunity.microsoft.com/t5/Azure-Active-Directory-Identity/Announcing-password-less-login-identity-governance-and-more-for/ba-p/262472

Postup aktivace a známé problémy:

https://docs.microsoft.com/en-us/azure/active-directory/authentication/howto-authentication-phone-sign-in

How to migrate AAD Connect database to a new SQL server

 

1/ Stop + disable „Microsoft Azure AD Sync“ (ADSync)

2/ Migrate database to new SQL server (CI collation etc, see https://docs.microsoft.com/en-us/azure/active-directory/connect/active-directory-aadconnect-prerequisites)

3/ Restore db owner + permissions for a service account on new SQL server

4/ Backup registry:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ADSync\Parameters
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSOLCoExistence\CurrentVersion

5/ Update registry with new SQL server/instance name

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ADSync\Parameters\SQLInstance
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ADSync\Parameters\Server
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSOLCoExistence\CurrentVersion\SqlInstanceName
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSOLCoExistence\CurrentVersion\SqlServerName

6/ Start „Microsoft Azure AD Sync“ (ADSync)

7/ Check logs + sync manager console

8/ 🙂

Atribut “adminDescription” v AADConnectu

Tohle jsem netušil, a přitom je to prima:

Populating the “adminDescription” attribute with the value “User_NoO365Sync” or “Group_NoO365Sync” (depending on the object type) will allow you to easily filter these objects.

Office 365 – The (Previously) Undocumented AAD Connect Filter


https://azure.microsoft.com/en-us/documentation/articles/active-directory-aadconnectsync-understanding-default-configuration/

Aktualizace O365/Azure PS modulů

PowerShell 5 umí instalovat moduly přímo z https://www.powershellgallery.com, což se hodí.

PS C:\> Connect-MsolService
WARNING: There is a newer version of the Microsoft Online Services Module.  Your current version
will still work as expected, however the latest version can be downloaded at
https://portal.microsoftonline.com.
PS C:\>  Get-Module

ModuleType Version    Name                                ExportedCommands
---------- -------    ----                                ----------------
Manifest   3.1.0.0    Microsoft.PowerShell.Management     {Add-Computer, Add-Content, Checkpoint...
Manifest   3.1.0.0    Microsoft.PowerShell.Utility        {Add-Member, Add-Type, Clear-Variable,...
Manifest   1.0        MSOnline                            {Add-MsolForeignGroupToRole, Add-MsolG...
Binary     1.0.0.1    PackageManagement                   {Find-Package, Find-PackageProvider, G...
Script     1.0.0.1    PowerShellGet                       {Find-DscResource, Find-Module, Find-S...
Script     1.1        PSReadline                          {Get-PSReadlineKeyHandler, Get-PSReadl...

PS C:\> Install-Module msonline -Force
PS C:\> Get-Module

ModuleType Version    Name                                ExportedCommands
---------- -------    ----                                ----------------
Manifest   3.1.0.0    Microsoft.PowerShell.Management     {Add-Computer, Add-Content, Checkpoint...
Manifest   3.1.0.0    Microsoft.PowerShell.Utility        {Add-Member, Add-Type, Clear-Variable,...
Manifest   1.0        MSOnline                            {Add-MsolForeignGroupToRole, Add-MsolG...
Binary     1.0.0.1    PackageManagement                   {Find-Package, Find-PackageProvider, G...
Script     1.0.0.1    PowerShellGet                       {Find-DscResource, Find-Module, Find-S...
Script     1.1        PSReadline                          {Get-PSReadlineKeyHandler, Get-PSReadl...

Update 1: Tak je to špatně. Když se totiž pomocí

(get-item C:\Windows\System32\WindowsPowerShell\v1.0\Modules\MSOnline\Microsoft.Online.Administration.Automation.PSModule.dll).VersionInfo.FileVersion

podíváme na verzi, tak ten update tam prostě tu nejnovější nedá. Upozornění se sice již nezobrazuje, ale podle http://social.technet.microsoft.com/wiki/contents/articles/28552.microsoft-azure-active-directory-powershell-module-version-release-history.aspx jsou k dispozici dokonce dvě novější verze. Bez té se nedá zapnout například DuplicateUPNResiliency nebo DuplicateProxyAddressResiliency (viz. https://azure.microsoft.com/en-us/documentation/articles/active-directory-aadconnectsyncservice-duplicate-attribute-resiliency/).

AAD Connect DB autogrow

2016-05-25_17-06-33

Kromě toho že AAD Connect stále na SQL serveru vytváří databázi se jménem „ADSync“, průvodce pro jistotu nastaví zvětšování databáze po 1 MB.

 
Protože SQL instalujeme v očekávání databáze 10 GB+, je to jistě rozumné. Přesto je asi rozumnější ihned nastavit 100, 256, 1024 nebo cokoliv – ale hlavně  více 😉