none
O365 a dvoufaktorová autentifikace RRS feed

  • Dotaz

  • Používám již nějakou dobu dvoufaktorovou autentifikaci v rámci O365 a nejsem s jejím fungováním spokojen. Rád bych věděl, jaké s tím máte zkušenosti a případně mě opravili, pokud to používám špatné.

    Pracuji na firemním PC, které je v doméně a přihlašuji se stejným účtem jak do PC tak do O365.

    Běžný den začínám tím, že zapnu PC, spustím Outlook a jsem dotázán na schválení přihlášení. Potvrdím. Dále si všimnu, že vlastně Teams není přilhášený (nedá o sobě nijak vědět dokud ho neotevřuú takže přilhásit, často ještě zadat heslo a opět schválit. Dále se podívám na SharePoint, opět schválení. Pak někdo zavolá, že potřebuje pomoc skrze rychlého pomocníka, opět to žádá schválení přihlášení.

    Moje představa je taková, že po schválení přihlášení na jednom PC se to propíše skrze všechny MS aplikace a nebudu muset každou aplikaci schvalovat zvlášť. Dokážu pochopit, že se to nepropíše do webového prohlížeče, ale všechny ostatní aplikace bych čekal že využijí jedno schválení.

    Má někdo zkušenosti s dvoufaktorem s O365 s podobnými patáliemi? Mám něco špatně nastavené, že to po mě žádá každá aplikace zvlášť?

    Děkuji za zpětnou vazbu

    pondělí 1. června 2020 6:17

Všechny reakce

  • Ahoj.

    V rámci aplikace funguje jedno přihlášení (například v rámci webového prohlížeče když otevřeš více oken), ale mezi aplikacemi ne. Je to technicky dané tím, jak funguje ověřování pomocí tokenů, technicky to popsat je na půldenní přednášku, takže nebudu zabíhat do detailů, ale prostě to tak je. Pokud máš zájem, můžeš si k tomu nastudovat víc, hledej pojmy jako access token, refresh token, JWT, PRT.

    Divné je, že to po tobě chce při každém spuštění, protože to by nemělo a vypadá to na nějakou nestandardní konfiguraci. Standardně totiž životnost refresh tokenu je 90 dnů, takže pokud se v rámci aplikace alespoň jednou za 90 dnů ověříš, token nikdy nevyprší a nikdy by se to tedy nemělo ptát na další ověření. Nemanipulovali jste nějak s životností tokenů? Nebo s session control v rámci politik podmíněného přístupu? Nebo s možností zapamatování MFA?

    Pokud chceš plnohodnotný SSO (single sign-on), pak potřebuješ toto nastavit v Azure AD Connect, který ti synchronizuje identity, a udělat Azure AD Hybrid Join pro všechny PC. Díky SSO a díky PRT (primary refresh token) se pak prakticky nikdy nepotkáš s žádným přihlašovacím oknem na firemních počítačích. A pokud nasadíš i Windows Hello for Business a politiky podmíněného přístupu v Azure AD, nepotkáš se ani s požadavkem na MFA z firemního počítače.

    Shrnuto, rozhodně popisované chování není normální, ale je tam něco hodně nestandardně nastaveno. Chce to udělat správnou konfiguraci. Pokud s tím nemáš zkušenosti, svěř to odborníkům, nejlépe nějakému zkušenému partnerovi MS, který to s vámi projde a udělá optimální konfiguraci dle vašich požadavků.


    • Upravený Lukas Beran úterý 2. června 2020 6:17
    • Navržen jako odpověď Petr Hois čtvrtek 2. července 2020 12:21
    úterý 2. června 2020 6:16
  • Souhlasím s kolegou níže. Pokud máte povolené zapamatování MFA pověření, nemáte zapnuté mazání cookies při ukončení relace prohlížeče, výchozí nastavení zón internetu, MFA by mělo fungovat mnohem lépe. Jednotlivé aplikace jako třeba Office 365 ProPlus (Apps for Enterprise) umí aktualizované na Windows 10 s TPM sdílet pověření s přihlášením mezi aplikacemi.

    středa 1. července 2020 18:44
    Vlastník