Přihlašování bez hesla (Password-less sign-in)

Jen si zde odložím screenshoty k aktivaci a používání nedávno oznámeného přihlašování bez hesla od Microsoftu.

Podstatné je mít na mysli:

  • Tento způsob přihlašování je výchozí, a přebíjí tedy např. přihlašování přes ADFS (!)
  • Uživatelé musí mít možnost registrovat zařízení a musí používat MFA
  • Autenticator může být registrová pouze do jednoho tenantu 🙁
  • Funkce je prozatím v preview, nefunguje vždy úplně spolehlivě

1/ Aktivace na úrovni tenantu: 

New-AzureADPolicy -Type AuthenticatorAppSignInPolicy -Definition ‚{„AuthenticatorAppSignInPolicy“:{„Enabled“:true}}‘ -isOrganizationDefault $true -DisplayName AuthenticatorAppSignIn

 

2/ Stažení a registrace aplikace Microsoft Authenticator 

3/ Přídání účtu (pokud čistě náhodou už nemáme…).

4/ Pro účet povolíme přihlašování telefonem. U účtu se objeví nový indikátor

4/ Hotovo, a testujeme přihlášení, např. na https://portal.office.com

Klasika, zadáme email.

5/ Místo požadavku na zadání hesla vyskočí číslo, které si chvíli musíme pamatovat 🙂

Dobrá zpráva je, že pro případ nouze můžeme stále zadat heslo (třeba když máme telefon v ložnici nebo jiném nedosažitelném místě).

6/ Kdo používá Apple Watch, tak zjistí, že má smůlu. Snad Microsoft vyrobí samostatnou aplikaci pro hodinky.

7/ V telefonu už to vypadá lépe, potvrdíme číslo z přihlašovacího dialogu:

8/ Následuje potvrzení biometrikou

9/ A jsme přihlášeni!

 

Prozatím odpozorováno:

  • Prozatím proces ověřování ne vždy spadne do režimu bez hesla, občas se prostě objeví standardní dialog
  • Občas v přihlašovacím dialogu chybí číslo a nelze se přihlásit jinak než heslem, případně učinit druhý pokus
  • Občas dorazí oznámení bez čísla, takže ho stačí jen potvrdit. Jen člověk neví, co potvrzuje
  • Přihlášení heslem a MFA je vlastně trochu rychlejší a pohodlnější, obzvláště se správcem hesel (ale nám jde o bezpečnost)
  • Standardní MFA (kódy) může mít člověk na dvou telefonech, jedné aplikaci a hodinkách. Password-less potřebuje jedno jediné zařízení.

Pro další testování mám připraven Yubi a další tři U2F hračky. Těším se na dostupnost ověřování s U2F, dám vědět jak to ne/chodí!

Linky:

První informace:

https://techcommunity.microsoft.com/t5/Azure-Active-Directory-Identity/Announcing-password-less-login-identity-governance-and-more-for/ba-p/262472

Postup aktivace a známé problémy:

https://docs.microsoft.com/en-us/azure/active-directory/authentication/howto-authentication-phone-sign-in