Zastanawiałeś/aś się, dlaczego niektóre logowania zawierają informację o lokalizacji, a inne nie? Dlaczego czasami musisz podać kod widoczny w przeglądarce, a innym razem wystarczy jedynie zatwierdzić powiadomienie bez przepisywania czegokolwiek? Tyle pytań bez odpowiedzi! Żartuję. Oczywiście, wszystko zależy od konfiguracji usługi MFA w danej firmie.
Dzisiaj pokażę Ci, jak dostosować takie powiadomienia do swoich potrzeb i dodać do nich informację o przybliżonej lokalizacji logowania. Zaczynamy!
Po co mi lokalizacja w powiadomieniach?
Dlaczego chcielibyśmy mieć lokalizację w powiadomieniach Microsoft Authenticator? Dla pełnego kontekstu sytuacji! Wyobraź sobie, że dawniej Microsoft nie wymagał od nas przepisywania kodu z przeglądarki (opcja number matching), aby potwierdzić logowanie. Bez dodatkowych szczegółów w ciemno akceptowaliśmy nowe prośby!
Niestety jest to wada wszystkich metod MFA, które nie wymagają od nas przepisywania kodów - wygoda nie zawsze idzie w parze z bezpieczeństwem, o czym musimy stale pamiętać.
Ale to już przeszłość! Microsoft zauważył ten problem i zaczął wymagać od użytkowników, aby do powiadomień (push notifications) obowiązkowo przepisywali kod wyświetlany w przeglądarce (number matching).
Beginning May 8, 2023, number matching is enabled for all Authenticator push notifications. As relevant services deploy, users worldwide who are enabled for Authenticator push notifications will begin to see number matching in their approval requests. Users can be enabled for Authenticator push notifications either in the Authentication methods policy or the legacy multifactor authentication policy if Notifications through mobile app is enabled.
Czy zatem nadal potrzebujemy informacji o lokalizacji, skoro Microsoft naprawił największą wadę push notifications? Moim zdaniem tak.
Mimo że technicznie nie jesteśmy w stanie zaakceptować próśb MFA bez znajomości kodu z przeglądarki drugiej strony, sama lokalizacja typu Beijing China wyświetlona w aplikacji Microsoft Authenticator, powinna zaciekawić pracownika i skłonić go do zgłoszenia podejrzanej aktywności.
Nic nas też to nie kosztuje, więc dlaczego nie? 🙂
PS: Jest to też rekomendacja CIS Microsoft 365 Foundations.
Konfiguracja
Jak włączyć mapkę w powiadomieniach?
Przechodzimy do: Entra admin center -> Protection -> Authentication methods -> Policies i wybieramy Microsoft Authenticator.
Aby edytować domyślną konfigurację MFA, należy uruchomić usługę - włączamy ustawienie i przechodzimy do zakładki Configure.
Teraz czas na nasze ustawienia! Mamy do wyboru:
- Allow use of Microsoft Authenticator OTP - czy chcemy umożliwić logowanie za pomocą 6-cyfrowych kodów jednorazowych (domyślnie włączone).
- Require number matching for push notifications - ustawienie, o którym wspominałem wcześniej (włączone i nie można tego zmienić).
- Show application name in push and passwordless notifications - czy chcemy wyświetlać nazwę aplikacji, do której się logujemy (domyślnie wyłączone).
- Show geographic location in push and passwordless notifications - to nasze ustawienie do wyświetlania lokalizacji logowania (domyślnie wyłączone - WŁĄCZAMY).
- Microsoft Authenticator on companion applications - niektóre aplikacje mogą pełnić funkcję naszej aplikacji MFA. Po włączeniu ustawienia nowe logowania potwierdzimy np. w Outlooku. Po zrzuty ekranu i szczegóły ustawienia odsyłam do dokumentacji.
Konfiguracja typu Microsoft managed oznacza oddanie kontroli nad danym ustawieniem firmie Microsoft - realna wartość/status może różnić się w zależności od konkretnego ustawienia.
Zazwyczaj, gdy dana funkcja znajduje się w fazie preview, to ustawienie jest wyłaczone. Po wejściu w General Availability (GA), po pewnym czasie Microsoft włącza ustawienie dla wszystkich. Zalecam samodzielne ustawienie wartości, aby uniknąć ewentualnych niespodzianek w przyszłości.
Klikamy przycisk Save i zaczynamy testy!
Testy
Nie ma, co tu za dużo testować, po prostu zaloguj się do dowolnej aplikacji Microsoft 365 i poczekaj na nowe powiadomienie w Microsoft Authenticator.
Domyślny widok powiadomienia MFA w Microsoft Authenticator bez dodatkowej konfiguracji w Entra admin center.
Widok powiadomienia MFA w Microsoft Authenticator po włączeniu opcji Show geographic location in push and passwordless notifications.
Pełen sukces - mapa z lokalizacją jest teraz widoczna w powiadomieniach MFA!
PS: Nazwa aplikacji też jest widoczna, ale to zasługa ustawienia Show application name in push and passwordless notifications.
Coś niedokładna ta lokalizacja…
No tak, bo to tylko przybliżona lokalizacja na podstawie naszego adresu IP. Nie otrzymamy tutaj dokładności do 100 metrów. Z drugiej strony, to chyba dobrze, że przeglądarki nie przekazują takiej dokładnej lokalizacji Microsoft-owi.
Eksperyment
Sprawdź na dowolnej stronie oferującej geolokalizację (poprzez podanie publicznego adresu IP), czy lokalizacja z powiadomienia, zgadza się z Twoją aktualną lokalizacją.
U mnie działa, choć nazwa miasta może się różnić w zależności od serwisu, w którym sprawdzamy nasze IP.
Pamiętaj
Jeśli logujesz się z telefonu komórkowego lub maszyny wirtualnej w Azure np. w ramach Azure Virtual Desktop (AVD) to lokalizacja w powiadomieniu będzie inna niż ta z Twojego domowego komputera. Nie zdziw się, jeśli zobaczysz inną miejscowość lub kraj np. Niemcy, bo logowanie pochodzi z innego adresu IP.
Bonus
Czy wiedziałeś/aś, że Twoi pracownicy mogą przejrzeć swoją historię logowań i sprawdzić, skąd oraz kiedy logowali się do usług Microsoft 365? Takie informacje są dostępne w portalu My Sign-Ins.
U siebie nie widzę nic podejrzanego.
Podsumowanie
Nie wszystkie usprawnienia bezpieczeństwa, które możesz wdrożyć, są skomplikowane i wymagają długiej i żmudnej konfiguracji. Czasami są to takie drobne ustawienia, jak dzisiejsza mapka w powiadomieniach MFA - wydają się niepozorne, ale przynoszą ogromną wartość dla Twojej firmy.
Teraz czas na Twoją kolei konfiguracji ustawień 🙂
Do następnego razu.