Cloudbrothers
Azure Attack Paths Posts Kategorien Über mich Talks Deutsch
Cloudbrothers
/images/avatar.png

Work and live with IT

/journey-passwordless-fido2/images/Preview.png

Journey To Passwordless: FIDO2

Fabian Bader veröffentlicht auf  enthalten in Azure AD Entra ID Conditional Access FIDO2 Identity and Access Passwordless

Artikelübersicht

  1. Passwordless - Aber warum?
  2. Initiale Konfiguration
  3. Temporary Access Pass
  4. FIDO2 Security keys
  5. Windows 10 Device Onboarding und Windows Hello for Business
  6. Administrieren mit PowerShell und ohne Passwort
  7. Microsoft Authenticator app
  8. FIDO2 Schlüssel einschränken & Fazit

Wiederholung

In der letzten Woche habe ich die initiale Einrichtung eines Admin Accounts mittels Temporary Access Pass erläutert. Heute will ich mit FIDO2 eine Anmeldemethode vorstellen, die für regelmäßige Anmeldungen gedacht ist.

Full disclosure
Die hier verwendeten FEITIAN FIDO2 Security Keys wurden mir von FEITIAN Technologies kostenfrei zu Verfügung gestellt.

Was ist FIDO2?

FIDO steht für Fast Identity Online und FIDO2 ist ein Industriestandard der FIDO Alliance zur Authentifizierung im Web (WebAuthn). Dabei bietet dieser Standard eine nicht phishbare Möglichkeit sich an Webservices ohne Passwort anzumelden. Darin besteht auch der größte Unterschied zu ersten Version FIDO U2F, welches als zweiter Faktor bei der Anmeldung genutzt werden konnte.

Mehr lesen
/journey-passwordless-temporary-access-pass/images/Preview.png

Journey To Passwordless: Temporary Access Pass

Fabian Bader veröffentlicht auf  enthalten in Azure AD Entra ID Conditional Access FIDO2 Identity and Access Passwordless

Artikelübersicht

  1. Passwordless - Aber warum?
  2. Initiale Konfiguration
  3. Temporary Access Pass
  4. FIDO2 Security keys
  5. Windows 10 Device Onboarding und Windows Hello for Business
  6. Administrieren mit PowerShell und ohne Passwort
  7. Microsoft Authenticator app
  8. FIDO2 Schlüssel einschränken & Fazit

Wiederholung

In den ersten zwei Blogs der Serie habe ich das Konzept und die Vorzüge von Passwordless beleuchtet und die notwendigen Konfigurationsschritte im Entra ID (Azure AD) Tenant vorgenommen. Jetzt wenden wir uns dem ersten Puzzlestück zu einer echten passwortlosen Anmeldung zu.

Mehr lesen
/journey-passwordless-initiale-konfiguration/images/AuthenticationMethods.png

Journey To Passwordless: Initiale Konfiguration

Fabian Bader veröffentlicht auf  enthalten in Azure AD Entra ID Conditional Access FIDO2 Identity and Access Passwordless

Artikelübersicht

  1. Passwordless - Aber warum?
  2. Initiale Konfiguration
  3. Temporary Access Pass
  4. FIDO2 Security keys
  5. Windows 10 Device Onboarding und Windows Hello for Business
  6. Administrieren mit PowerShell und ohne Passwort
  7. Microsoft Authenticator app
  8. FIDO2 Schlüssel einschränken & Fazit

Initiale Konfiguration

Bevor es losgehen kann und der erste Admin ohne Passwort unterwegs ist, müssen ein paar Funktionen im Entra ID (Azure AD) aktiviert werden. Optional werden Anmeldungen im Browser durch eine Conditional Access Policy zusätzlich abgesichert.

Mehr lesen
/journey-passwordless-aber-warum/images/Preview.png

Journey To Passwordless: Aber warum?

Fabian Bader veröffentlicht auf  enthalten in Azure AD Entra ID Conditional Access FIDO2 Identity and Access Passwordless

Einleitung

Über das Thema passwordless Authentication wird im Microsoft Kosmos aktuell viel gesprochen und geschrieben.

Doch was bedeutet es im Alltag den eigenen Account ohne Passwort zu nutzen?
Welche Vorraussetzungen müssen erfüllt sein und welche Einschränkungen bringt dies mit sich?

In dieser Blogserie möchte ich euch einen Überblick über den aktuellen Stand der vorhandenen Technologien geben und diese Schritt für Schritt erschließen.

Artikelübersicht

  1. Passwordless - Aber warum?
  2. Initiale Konfiguration
  3. Temporary Access Pass
  4. FIDO2 Security keys
  5. Windows 10 Device Onboarding und Windows Hello for Business
  6. Administrieren mit PowerShell und ohne Passwort
  7. Microsoft Authenticator app
  8. FIDO2 Schlüssel einschränken & Fazit

Warum ohne Passwort?

Die erste Frage die sich aufdrängt: Warum sollte ich auf das Passwort verzichten?

Mehr lesen
/warum-die-neue-mfa-registrierung-deinen-benutzern-hilft/images/NewMFASetupProcess.png

Warum die neue MFA Registrierung deinen Benutzern hilft

Fabian Bader veröffentlicht auf  enthalten in Azure AD Entra ID Identity and Access MFA

Die neue Webseite für die kombinierten Registrierung von Sicherheitsinformationen, wie Microsoft sie offiziell bezeichnet, ermöglicht es den Benutzern MFA einzurichten und die notwendigen Informationen für den Selfservice Password Reset (SSPR).

Sie ist auch Voraussetzung für die Einrichtung von FIDO2 Security Schlüsseln, dem Einsatz von “User actions” in Conditional Access Policies und wird sicher auch für neue Zweifaktor-Methoden erforderlich sein.

Diese Änderungen sind aber auf den ersten Blick keine Vorteile für den einzelnen Anwender.

Mehr lesen
/til-operator-mvexpand-expanded-expression-expected-dynamic-type/images/Preview.png

Operator mvexpand: expanded expression expected to have dynamic type

Fabian Bader veröffentlicht auf  enthalten in Azure KQL Log Analytics TIL
TIL; Today I Learned

TIL ist eine Blogreihe in der ich (für mich) interessante Erkenntnisse dokumentiere.

Diese Erkenntnisse ist eventuell schon hundertfach im Internet dokumentiert. Aber damit ich es wiederfinde habe ich es hier nochmal aufgeschrieben.

Microsoft bereitet seit einiger Zeit eine grundlegende Änderung der Anzeige und Speicherung von Sign-In Logs vor. Dies hilft bei der Analyse von Anmeldevorgängen, da z.B. unterschieden wird ob der Benutzer sich interaktiv oder mit einem gespeicherten Credential (non-interactive) anmeldet.

Mehr lesen