Saksframlegg MFA for driftsbrukere

1. Bakgrunn

Det er per idag, satt MFA for aktivering av Azure admin roller, med Privileged Identity Management (PIM).

Den er satt til default sessions som har sign-in frequency 90 dager og tilater persistent cookies. Det betyr i praksis at har du samme nettleser åpen med adminkonsollen,  trenger du ikke re-autentifisere mer en hver 90. dag. I tillegg så treffer denne bare driftsbrukere som må aktivere rollen sin i PIM. Dette er ikke videre sikkert.

Det er anbefalt og best practice, at admins bør få MFA krav litt oftere og uten persistent cookies. MFA-prosjektets innstilling er at vi bør sette dette til 24h og never persistent cookies.

Oppgave med bakgrunn i prosjektet:
Implementere conditional access baseline (report mode)
Conditional Access baseline ved UiO - Universitetets senter for informasjons­teknologi

Gammel conditional access regel:
MFA for Azure roles

Forslag til ny conditional access regel:
MFA for driftsbrukere

2. Forslag til vedtak

MFA-projektet vil inføre den nye regelen MFA for driftsbrukere for og komplettere den gamle regelen MFA for Azure roles, slik at alle driftsbrukere avkreves MFA minst hver 24h når de logger inn i Azure systemer.

Publisert 4. apr. 2022 11:43 - Sist endret 5. apr. 2022 09:42