Cómo-facilitar-el-acceso-manteniendo-la-seguridad-con-Azure-Conditional-Access-Itequia

Com podem facilitar l’accés mantenint la seguretat amb Azure Conditional Access?

Actualment, el perímetre de seguretat modern s’estén més enllà de la xarxa d’una organització. Inclou tant la identitat de l’usuari com la del dispositiu. L’accés a l’organització es pot produir des de molts llocs diferents i de diferents maneres. .

Per això, avui parlarem d’Azure Conditional Access, l’eina que permet gestionar els accessos segons les directives de l’organització.

Què és l’accés condicional?

Podríem definir l’accés condicional com l’eina que reuneix els senyals necessaris per prendre decisions i aplicar les directives establertes per l’organització. Aquest accés condicional d’Azure AD es troba al centre del nou pla de control basat en identitats.

Explicat de la manera més simple, les directives d’accés condicional són instruccions if-then. Això vol dir que, si un usuari vol tenir accés a un recurs, han de completar una acció.

cumplimiento-decisión-señal-acceso-condicional-Itequia

Per exemple, si un responsable de nòmines vol accedir a l’aplicació de nòmines de la nostra organització, cal que utilitzeu l’autenticació multifactor per accedir-hi. Un altre exemple: Un dels nostres treballadors desitja accedir al sistema des d’una IP de confiança, com la IP de les oficines de l’empresa. En aquest cas, l’accés condicional pot permetre no fer servir l’autenticació multifactor, ja que el dispositiu/usuari s’està connectant des d’una IP registrada i de confiança.

A l’hora de configurar Conditional Access, els administradors s’enfronten a dos objectius principals:

  • Capacitar els usuaris per ser productius on sigui i quan sigui
  • Protegir els recursos de l’organització

És a dir, els administradors de la nostra organització mitjançant Conditional Access poden facilitar l’accés en certes condicions o limitar-lo en altres, adaptant-nos a la seguretat necessària de cada situació, perquè els nostres treballadors i usuaris tinguin l’accés requerit amb un balanç entre comoditat i seguretat .

A continuació, podem veure l’esquema de funcionament de Conditional Access:

cómo-funciona-acceso-condicional-Azure-AD-Itequia

Quines són les condicions d’accés més habituals?

Si parlem de les condicions més habituals que es poden tenir en compte en prendre una decisió sobre un accés d’un usuari o dispositiu a la nostra organització, podríem incloure les següents:

Pertinença a un usuari o grup

Les directives poden adreçar-se a usuaris i grups concrets, proporcionant als administradors de la nostra organització un control més gran sobre l’accés a aplicacions, dades i seguretat.

Informació de la ubicació de la IP

Els administradors de les organitzacions poden crear intervals d’adreces IP de confiança que es poden fer servir en prendre decisions sobre directives.

També poden especificar que es bloquegi o es permeti el trànsit d’intervals d’adreces IP de països o regions complets.

Dispositius 

Els usuaris de la nostra organització amb dispositius de plataformes concretes o marcats amb un estat concret, els poden fer servir en aplicar directives d’accés condicional.

Es poden fer servir filtres per als diferents dispositius, amb la finalitat de destinar directives a dispositius específics, com ara dispositius d’accés amb privilegis.

Aplicacions 

Aquells usuaris que intentin accedir a aplicacions específiques poden desencadenar diferents directives d’accés condicional.

Detecció de risc calculat i en temps real

La integració de senyals amb l’Azure AD Identity Protection permet que les directives d’accés condicional identifiquin un comportament d’inici de sessió perillós.

Davant d’un problema d’aquest tipus, les directives establertes poden obligar els usuaris a canviar la contrasenya per seguretat, utilitzar l’autenticació multifactor per reduir el nivell de risc o bloquejar l’accés fins que algun administrador dugui a terme una acció manual, assegurant-se que no n’hi ha cap risc per a l’organització.

Microsoft Defender for Cloud Apps

Microsoft Defender permet als nostres administradors mantenir el control i la supervisió en temps real de les sessions i l’accés a les aplicacions d’usuari. Aquest fet augmenta la visibilitat i el control sobre l’accés i les activitats realitzades dins de l’entorn Cloud de la nostra organització.

Condiciones-acceso-más-habituales-Itequia

Quines són les decisions comunes de Conditional Access?

Bloquejar accés

La decisió més restrictiva, bloqueja l’accés de l’usuari o dispositiu a les aplicacions o dades de la nostra organització.

Concedir accés 

La decisió menys restrictiva que cal aplicar, però aquesta decisió pot requerir una o diverses de les opcions següents:

  • Requerir autenticació multifactor (MFA)
  • Requerir que el dispositiu estigui marcat com a compatible
  • Requerir un dispositiu unit a Azure AD híbrid
  • Requerir aplicació client aprovada
  • Requerir una directiva de protecció d’aplicacions (actualment en versió preliminar)

Com funciona una directiva d’accés condicional?

Vegem ara com funciona una directiva d’accés condicional a Azure AD. 

Totes les directives d’accés condicional s’apliquen en dues fases:

Fase 1: Recull de detalls de la sessió

Durant la primera fase de la directiva es recopilaran els detalls de la sessió. Com ara la ubicació de xarxa i la identitat del dispositiu, que seran necessaris per a l’avaluació de la directiva.

Aquesta fase 1 de l’avaluació de la directiva es produeix per a totes les directives habilitades, així com per a les directives que només siguin informatives.

Fase 2: Compliment

Durant aquesta fase 2, es fan servir els detalls de la sessió recopilats a la fase 1 per identificar els requisits que no s’han complert.

Si hi ha una directiva que està configurada per bloquejar l’accés, l’aplicació s’aturarà aquí i es bloquejarà l’usuari per seguretat.

Si no hi ha directiva de bloqueig, però encara no s’han complert tots els requisits per a l’accés, es demanarà a l’usuari que completi més requisits de control en l’ordre següent, fins que se satisfaça la directiva:

  • Autenticació multifactor
  • Dispositiu marcat com a compatible
  • Dispositiu unit a Azure AD híbrid
  • Aplicacions client aprovades
  • Directiva de protecció d’aplicacions
  • Canvi de contrasenya
  • Condicions d’ús
  • Controls personalitzats

Un cop l’usuari o el dispositiu hagi passat tots els controls, s’apliquen controls de sessió (els exigits per l’aplicació, exigits per Microsoft Defender for Cloud Apps i el control de la durada del token).

Igual que la fase 1, aquesta fase 2 de l’avaluació de directives es fa per a totes les directives habilitades.

Alguns exemples de directives que s’apliquen habitualment

Moltes de les organitzacions d’avui dia tenen problemes d’accés comuns que es podrien resoldre fàcilment amb la utilització de Conditional Access.  

A continuació, posarem alguns exemples en què l’ús de l’accés condicional serà útil per a la nostra organització:

  • Requerir l’autenticació multifactor als usuaris amb rols administratius
  • Requerir l’autenticació multifactor per a les tasques d’administració d’Azure
  • Bloquejar els inicis de sessió als usuaris que intentin utilitzar protocols d’autenticació antiquats.
  • Requerir ubicacions de confiança per al registre d’Azure AD Multi-Factor Authentication
  • Bloquejar o concedir l’accés des d’ubicacions concretes
  • Bloquejar comportaments d’inici de sessió perillosos
  • Requerir dispositius administrats per l’organització per a aplicacions concretes

Si voleu conèixer més sobre la creació de directives d’accés condicional i les seves possibilitats, podeu seguir llegint sobre el procés pas a pas aquí.

Daniel Morales Fitó – Cloud Engineer at Itequia