Přihlašování bez hesla (Password-less sign-in)

Jen si zde odložím screenshoty k aktivaci a používání nedávno oznámeného přihlašování bez hesla od Microsoftu.

Podstatné je mít na mysli:

  • Tento způsob přihlašování je výchozí, a přebíjí tedy např. přihlašování přes ADFS (!)
  • Uživatelé musí mít možnost registrovat zařízení a musí používat MFA
  • Autenticator může být registrová pouze do jednoho tenantu 🙁
  • Funkce je prozatím v preview, nefunguje vždy úplně spolehlivě

1/ Aktivace na úrovni tenantu: 

New-AzureADPolicy -Type AuthenticatorAppSignInPolicy -Definition ‚{„AuthenticatorAppSignInPolicy“:{„Enabled“:true}}‘ -isOrganizationDefault $true -DisplayName AuthenticatorAppSignIn

 

2/ Stažení a registrace aplikace Microsoft Authenticator 

3/ Přídání účtu (pokud čistě náhodou už nemáme…).

4/ Pro účet povolíme přihlašování telefonem. U účtu se objeví nový indikátor

4/ Hotovo, a testujeme přihlášení, např. na https://portal.office.com

Klasika, zadáme email.

5/ Místo požadavku na zadání hesla vyskočí číslo, které si chvíli musíme pamatovat 🙂

Dobrá zpráva je, že pro případ nouze můžeme stále zadat heslo (třeba když máme telefon v ložnici nebo jiném nedosažitelném místě).

6/ Kdo používá Apple Watch, tak zjistí, že má smůlu. Snad Microsoft vyrobí samostatnou aplikaci pro hodinky.

7/ V telefonu už to vypadá lépe, potvrdíme číslo z přihlašovacího dialogu:

8/ Následuje potvrzení biometrikou

9/ A jsme přihlášeni!

 

Prozatím odpozorováno:

  • Prozatím proces ověřování ne vždy spadne do režimu bez hesla, občas se prostě objeví standardní dialog
  • Občas v přihlašovacím dialogu chybí číslo a nelze se přihlásit jinak než heslem, případně učinit druhý pokus
  • Občas dorazí oznámení bez čísla, takže ho stačí jen potvrdit. Jen člověk neví, co potvrzuje
  • Přihlášení heslem a MFA je vlastně trochu rychlejší a pohodlnější, obzvláště se správcem hesel (ale nám jde o bezpečnost)
  • Standardní MFA (kódy) může mít člověk na dvou telefonech, jedné aplikaci a hodinkách. Password-less potřebuje jedno jediné zařízení.

Pro další testování mám připraven Yubi a další tři U2F hračky. Těším se na dostupnost ověřování s U2F, dám vědět jak to ne/chodí!

Linky:

První informace:

https://techcommunity.microsoft.com/t5/Azure-Active-Directory-Identity/Announcing-password-less-login-identity-governance-and-more-for/ba-p/262472

Postup aktivace a známé problémy:

https://docs.microsoft.com/en-us/azure/active-directory/authentication/howto-authentication-phone-sign-in

How to migrate AAD Connect database to a new SQL server

 

1/ Stop + disable „Microsoft Azure AD Sync“ (ADSync)

2/ Migrate database to new SQL server (CI collation etc, see https://docs.microsoft.com/en-us/azure/active-directory/connect/active-directory-aadconnect-prerequisites)

3/ Restore db owner + permissions for a service account on new SQL server

4/ Backup registry:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ADSync\Parameters
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSOLCoExistence\CurrentVersion

5/ Update registry with new SQL server/instance name

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ADSync\Parameters\SQLInstance
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ADSync\Parameters\Server
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSOLCoExistence\CurrentVersion\SqlInstanceName
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSOLCoExistence\CurrentVersion\SqlServerName

6/ Start „Microsoft Azure AD Sync“ (ADSync)

7/ Check logs + sync manager console

8/ 🙂

Atribut “adminDescription” v AADConnectu

Tohle jsem netušil, a přitom je to prima:

Populating the “adminDescription” attribute with the value “User_NoO365Sync” or “Group_NoO365Sync” (depending on the object type) will allow you to easily filter these objects.

Office 365 – The (Previously) Undocumented AAD Connect Filter

Obsah není dostupný.
Vyjádřete prosím Váš souhlas s ukládáním tzv. "cookies" klepnutím na tlačítko Souhlasím. [cookie-control]

https://azure.microsoft.com/en-us/documentation/articles/active-directory-aadconnectsync-understanding-default-configuration/

Aktualizace O365/Azure PS modulů

PowerShell 5 umí instalovat moduly přímo z https://www.powershellgallery.com, což se hodí.

PS C:\> Connect-MsolService
WARNING: There is a newer version of the Microsoft Online Services Module.  Your current version
will still work as expected, however the latest version can be downloaded at
https://portal.microsoftonline.com.
PS C:\>  Get-Module

ModuleType Version    Name                                ExportedCommands
---------- -------    ----                                ----------------
Manifest   3.1.0.0    Microsoft.PowerShell.Management     {Add-Computer, Add-Content, Checkpoint...
Manifest   3.1.0.0    Microsoft.PowerShell.Utility        {Add-Member, Add-Type, Clear-Variable,...
Manifest   1.0        MSOnline                            {Add-MsolForeignGroupToRole, Add-MsolG...
Binary     1.0.0.1    PackageManagement                   {Find-Package, Find-PackageProvider, G...
Script     1.0.0.1    PowerShellGet                       {Find-DscResource, Find-Module, Find-S...
Script     1.1        PSReadline                          {Get-PSReadlineKeyHandler, Get-PSReadl...

PS C:\> Install-Module msonline -Force
PS C:\> Get-Module

ModuleType Version    Name                                ExportedCommands
---------- -------    ----                                ----------------
Manifest   3.1.0.0    Microsoft.PowerShell.Management     {Add-Computer, Add-Content, Checkpoint...
Manifest   3.1.0.0    Microsoft.PowerShell.Utility        {Add-Member, Add-Type, Clear-Variable,...
Manifest   1.0        MSOnline                            {Add-MsolForeignGroupToRole, Add-MsolG...
Binary     1.0.0.1    PackageManagement                   {Find-Package, Find-PackageProvider, G...
Script     1.0.0.1    PowerShellGet                       {Find-DscResource, Find-Module, Find-S...
Script     1.1        PSReadline                          {Get-PSReadlineKeyHandler, Get-PSReadl...

Update 1: Tak je to špatně. Když se totiž pomocí

(get-item C:\Windows\System32\WindowsPowerShell\v1.0\Modules\MSOnline\Microsoft.Online.Administration.Automation.PSModule.dll).VersionInfo.FileVersion

podíváme na verzi, tak ten update tam prostě tu nejnovější nedá. Upozornění se sice již nezobrazuje, ale podle http://social.technet.microsoft.com/wiki/contents/articles/28552.microsoft-azure-active-directory-powershell-module-version-release-history.aspx jsou k dispozici dokonce dvě novější verze. Bez té se nedá zapnout například DuplicateUPNResiliency nebo DuplicateProxyAddressResiliency (viz. https://azure.microsoft.com/en-us/documentation/articles/active-directory-aadconnectsyncservice-duplicate-attribute-resiliency/).

AAD Connect DB autogrow

2016-05-25_17-06-33

Kromě toho že AAD Connect stále na SQL serveru vytváří databázi se jménem „ADSync“, průvodce pro jistotu nastaví zvětšování databáze po 1 MB.

 
Protože SQL instalujeme v očekávání databáze 10 GB+, je to jistě rozumné. Přesto je asi rozumnější ihned nastavit 100, 256, 1024 nebo cokoliv – ale hlavně  více 😉

Používáme cookies. Další informace

The cookie settings on this website are set to "allow cookies" to give you the best browsing experience possible. If you continue to use this website without changing your cookie settings or you click "Accept" below then you are consenting to this.

Close