Nytt Saksframlegg Named Locations

1. Forklaring

Jeg tror at min tidligere sak blev litt missførstådd, så lager en ny en.
Det kan gott være at utfallet blir samme, men føler uansett det er viktigt at saken blir presentert på riktig måte.
Formålet med den forrige saken var ikke for at lage noen form for fritak i nåværende MFA regelsett som er i prod. 

2. Formål

Formålet var primært att legge in UiO's fastnett som Named Location, og trusted hvis det blev godkjent.
Det sekundære formålet er at bruke disse lokationer i ekskluderinger i to blockerings regler som er i report-only beskrevet lenger ned i denne artikel.
At legge in IP ranges i Named locations i Conditional Access, innebærer i seg selv ikke noen unntak i våres MFA regler som per idag er i produksjon.
Uten det må i så tilfelde lages CA regler for dette, eller legges in ekskluderinger i nåværende.


Fordeler og hensikten med at legge in UiO sitt fastnett i named locations:

  • Fordel UiO vil få med Azure AD Identity Protection's risk calculation.
  • Legge in en egen named locations til vår Block service principles exclude trusted IPs
    • Hvis vi gjør det så kan "våre" service principles i Azure, bara kommunisere fra de IPer vi legger in.
  • Detsamme kan vi gjøre for Block service account exclude trusted IPs
    • Da kan service kontoer i Azure vi bruker bara snakke fra de IPene vi legger in.
      NB denne regelen er ikke laget ennå
  • Uten Named locations til over nevnte regler, så vil de ikke fungere.
  • Ved å legge in UiO sitt fastnett som named location og markere som trusted, kan vi definere mer fingranulerte regler for vår conditional access baseline, hvis vi velger det.
    • For eksempel lavere sign-in frequency på UiO sitt fastnett for brukere
    • Legge in lokationssperrer for driftsbrukere, om vi ønsker det.

NB både Block service principles exclude trusted IPs, og Block service account exclude trusted IPs, så er ikke IPene lagt in som trusted, de er bare trusted i forhold til reglene.

3. Relatert lesning

4. Forslag til vedtak

  • MFA-projektet vil legge inn hele UiO's fastnett som named location og markere det som trusted.
    • Dette vill ikke lage noen unntak for MFA, bara hjelpe Azure risk calculation.
    • Kan vi i så fall legge inn hele 129.240.0.0/16, eller må vi legge in per subnett?
    • Har IT-sikkerhet en oppdatert liste med nett hvis det ikke er ønskelig å legge inn hele IP-rangen?
  • For Block service principal regeln, trenger vi legge in minst en ekstern IP, som tillhører MS. Vi føreslår att den og eventuelle andre eksterne adresser legges in eksplisitt per IP, og brukes bare for den regeln.
Publisert 19. apr. 2022 12:24 - Sist endret 22. apr. 2022 09:29