[PL] Azure AD – Yubico i YubiKey

by | Dec 1, 2019 | Security | 0 comments

Bezpieczeństwo ponad wszystko, czyli rozpoczynamy pracę z Yubikey oraz Azure AD.

Dłuższy czas temu dotarł do mnie zestaw startowy z Yubico, w którym były dostępne dwa klucze Yubikey5C oraz 5 NFC. Zamówiłem je głównie dlatego, żeby polepszyć bezpieczeństwo mojej testowej organizacji, a także zobaczyć, w jaki sposób dowolna organizacja może wdrożyć Yubikey, aby uwolnić użytkowników od haseł.

Dziś chciałbym wam pokazać, w jaki sposób skonfigurować Azure AD oraz Intune, aby wdrożyć opcję logowania w naszej organizacji oraz to, co końcowy użytkownik musi zrobić, aby móc używać tej metody logowania.

Rozpoczynamy od przejścia do Microsoft Endpoint Manager, który znajdziemy pod adresem https://devicemanagement.portal.azure.com/, potem do zakładki Devices > Windows > Windows enrollment, wybieramy Windows Hello for Business, gdzie zaznaczymy opcję: Use security keys for sign-in z Enabled

"[PL] Azure AD - Yubico i Yubikey"

Kolejnym krokiem jest włączenie tzw. preview features w Users Settings, dokonujemy tego w tym samym panelu, przechodząc do zakładki Users > User settings > z dołu wybierając Manage user feature preview settings > oraz odpowiednio zaznaczając opcję: Users can use preview features for registering and managing security info – enhanced

"[PL] Azure AD - Yubico i Yubikey"

Trzecim krokiem jest włączenie FIDO2 jako standardu autentyfikacji w naszej organizacji. Przechodzimy do portalu Azure > Azure AD > Security > Authentication methods, wybieramy FIDO2 Security Key, ustawiamy Enabled na Yes, zaznaczamy, którzy użytkownicy mogą używać tej metody oraz pozwalamy na Self-Service. Ja również pozwolę na używanie wszystkich kluczy zgodnych z FIDO2.

"[PL] Azure AD - Yubico i Yubikey"

Ostatnim krokiem od strony administracyjnej jest stworzenie dwóch profili, które pozwolą nam na logowanie do stacji roboczej za pomocą klucza.

Drobna uwaga. Niektóre źródła mówią o potrzebie stworzenia tylko pierwszego profilu, niektóre o dwóch. Ja mogę potwierdzić, że u mnie zadziałała opcja z dwoma profilami.

Przechodzimy do portalu Microsoft Endopoint Manager > Devices > Configuration Profiles > Add new. Jako platformę wybieramy Windows 10 and later, a jako typ: Identify Protection. Włączamy ustawienie Use security keys for sign-in tak jak na screenie oraz przypisujemy do grupy urządzeń.

"[PL] Azure AD - Yubico i Yubikey"

Drugi profil, który dodamy będzie typu Custom, czyli manualnie podamy OMA-URI zgodnie z tym co na screenie:

"[PL] Azure AD - Yubico i Yubikey"
  • Pod name wpisujemy naszą nazwę
  • OMA-URI wygląda w sposób następujący: ./Device/Vendor/MSFT/PassportForWork/SecurityKey/UseSecurityKeyForSignin
  • Data type to Integer z value 1

Ten profil również musi zostać przypisany do odpowiedniej grupy.

Jak wygląda procedura z strony końcowego użytkownika?

Wpierw taki klucz musi zostać dodany, poprzez przejście na stronę https://myprofile.microsoft.com/, następnie Security Info > Add Method > Security Key i końcowy użytkownik musi postępować zgodnie z kreatorem, który jest bardzo intuicyjny.

Logowanie natomiast jest jeszcze łatwiejsze. Zamiast wpisywać hasło, użytkownik klika na Sign-in options, wybiera klucz, wpisuje pin do klucza, dotyka klucz co powoduje zatwierdzenie logowania.

Jak widzicie, takie rozwiązanie pozwala nam na uniknięcie podawania hasła do naszego konta.

Jakub Piesik

Jakub Piesik

Microsoft 365 Consultant

I’m writing not only about Intune and Windows 365. I’m writing about everything what I leared previously and want to share with you!

#security #microsoft365 #intune #windows365 #powershell #automation 🙂