Conditional Access baseline ved UiO

    Følgende regler er i Produksjon

    1. MFA for Azure roles
    2. MFA for All Cloud Apps
    3. MFA for Intune Enrollment
    4. MFA for Driftsbrukere

    Følgende regler er laget i Report-Only

    1. MFA for all cloud apps TEST
    2. MFA IP Range Exclude Include
    3. Block legacy authentication
    4. Block service accounts
    5. Block service principles exclude trusted IPs
    6. Block High-risk sign-ins
    7. Block High-risk users
    8. MFA for admin roles
    9. Block admins outside of Norway

    Named Locations

    1. Silurveien 

    Excluded Groups

    1. it-uio-aad-sa-mfa-exclude

    2FA-prosjektet sitt forslag

    Forslaget baserer seg på andre forslag dokumentert i denne artikkelen

    • GRANT – 2FA for All Users(*)
      De vil gjelde for: All cloud apps, alle platformer, 20-30 dager sign-in frequency
      (*) Vi trenger en løsning for A1 brukere
    • EXCLUDE - Silurveien from required 2FA
    • BLOCK – Legacy Authentication
    • SESSION – Admin Persistence
      Kreve MFA daglig (8-9 timer) og block persistant cookie
    • BLOCK – Service Accounts (Trusted Locations Excluded)
      Blokkerer Service Accounts, Azure AD systemkontoer som brukes av services (tjenester) fra ikke kjent IP-adresser. Service Accounts kan bare koble fra kjente IP-adresser og uten å kreve MFA.
    • BLOCK – Workload Identities (Trusted Locations Excluded)
      Det samme som for Service Accounts men det gjelder for Service Principals. Det står i preview i GUI i Azure AD-portalen
    • BLOCK – High-Risk Sign-Ins
      Global policy som blokkerer alle høye risko autentiseringer Azure AD Identity detekterer. Dette kalles risk-based Conditional Access. Det krever Azure AD Premium P2 for alle bukere som treffes av denne policy
    • BLOCK – High-Risk Users
      Denne policy ser på brukere risiko istedenfor login risiko.

    Følgende regler bør vurderes

    • BLOCK – Gjester (tillatt Apps Excluded)
      Blokkerer gjester fra å bruke apper bortsett fra de som er tillatt (default policy tillatter Office 365, My Apps, and Azure Information Protection only)
    • BLOCK – Explicitly Blocked Cloud Apps
    • GRANT – Mobile Device Access Requirements
      Kreve en godkjent Microsoft app on iOS and Android. Blokkerer third-party app store apps. Krever at vi styrer appene med Intune App Protection Policies (MAM).
    • BLOCK – Countries not Allowed
      Skal dette brukes?
    • GRANT – Terms of Use
      Skal dette brukes?
    • SESSION – Block Unmanaged File Downloads - Eller kreve MFA
      Nettlesere på maskiner som ikke er i driftsopplegget kan ikke laste ned filer og vedlegg fra SharePoint Online, OneDrive for Business, and Exchange Online. Filene og vedleggene kan akesseres fra Office web apps.
      Et alternativ er å ikke blokkere men å kreve MFA
    Publisert 11. mars 2022 11:25 - Sist endret 8. juni 2022 14:31