Kort into om authentication methods TODO
Policies
Introduksjon
Denne menyen inneholder innstillinger for hvilke MFA-metoder som kan brukes i tenanten og hvilke brukere som kan bruke de.
Hver metode vil bli beskrevet individuelt med tilhørende unike innstillinger og anbefalinger.
Innstillinger
Innstilling | Anbefalt verdi | Begrunnelse | Konsekvens |
|---|---|---|---|
Migration Status | migrationComplete | On September 30th, 2025, the legacy multifactor authentication (MFA) and self-service password reset (SSPR) policies will be deprecated and the settings will be managed here. Use the options below to manage your migration status – how your policies are respected – and utilize the migration wizard to quickly migrate legacy policies to the new unified policies | Økt sikkerhet |
MFA method
Passkey (FIDO2)
Innstilling | Anbefalt verdi | Begrunnelse | Konsekvens |
|---|---|---|---|
Passkey (FIDO2) | Enabled | Tillater bruk av FIDO2 | Økt sikkerhet / Onboarding |
Target | All users | Alle brukere bør få lov til å bruke denne metoden | Brukeropplæring rundt hvordan bruke den. FIDO-nøkkel, Windows Hello/Platform SSO, Passkey i Authenticator-app |
Allow self-service set up | Yes | Tillater selvbetjening av oppsett av FIDO2 | Phishing-resistent autentisering |
Enforce attestation | Yes | Krever godkjente leverandører av FIDO2-autentiseringen | Phishing-resistent autentisering og kun godkjente aktører |
Target | All Users | Definerer hvilke brukere som skal ha denne policyen. | Phishing-resistent autentisering |
Exclude | None (Evt elever) | Definerer hvilke brukere som ikke skal ha denne policyen | - |
Enforce key restrictions | No | Håndhever kun typer av FIDO2-metoder som er tillat | Minsker antallet metoder |
Restrict specific keys | Allow | Definerer hvilke typer av FIDO2-metoder som er tillat | Minsker antallet metoder |
Restrictions AaGuids | Definerer at passkey for Android og iOS skal fungere, og yubikey-nøkkel | Minsker antallet metoder |
For AAGUIDS må man legge inn de som er sannsynlig at brukes i virksomheten. Her er noen eksempler på vanlige AAGUIDS:
| de1e552d-db1d-4423-a619-566b625cdc84 | Android passkey |
| 90a3ccdf-635c-4729-a248-9b709135078f | iOS passkey |
| d8522d9f-575b-4866-88a9-ba99fa02f35b | YubiKey Bio - FIDO Edition |
Microsoft Authenticator
Innstilling | Anbefalt verdi | Begrunnelse | Konsekvens |
|---|---|---|---|
Microsoft Authenticator | Enabled | Phishing Resistent MFA -Target - All Users / Group | Økt sikkerhet |
Enable and target | Enabled | Tillater å bruke authenticator autentisering | Økt sikkerhet / Onboarding |
Allow use of Microsoft Authenticator OTP | Yes | Tillater enganggskoder ved autentisering med authenticator | Ingen |
Target | All Users | Definerer hvilke brukere som kan sette opp authenticator | Økt sikkerhet / Onboarding |
Exclude | Group | Definerer hvilke brukere som ikke kan sette opp authenticator | - |
Authentication Mode | Any | Definerer om man skal ha push eller passwordless autentisering | Økt sikkerhet / Onboarding |
Microsoft Authenticator on companion applications | Enabled | Aktiverer muligheten til å svare på MFA-prompts i Authenticator-lite (Outlook) | - |
Companion Apps target | All Users | Definerer hvilke brukere kan benytte Companion Apps for MFA | - |
Require number matching for push notifications | Yes | Aktiverer matching av nummer på telefon på skjerm for utvidet sikkerhet. | Økt sikkerhet på MFA forespørsler |
Number maching target | All Users | Definerer hvilke brukere kan benytte number matching | - |
Show application name in push and passwordless notifications | Enabled | Viser hvilken applikasjon forespørsel kommer fra | Økt sikkerhet på MFA forespørsler |
Show Application Name target | All Users | Definerer hvilke brukere som kan bruke show application name in push and passwordless | - |
Show geographic location in push and passwordless notifications | Enabled | Viser hvor mfa-forespørsler kommer fra (geografisk) - NB, dette kan være ikke stemme lokalt, hvis public IP/brannmur går via sentralt lokasjon | Økt sikkerhet på MFA forespørsler |
Geographic location target | All Users | Definerer hvilke brukere som kan bruke geographic location | - |
SMS
Innstilling | Anbefalt verdi | Begrunnelse | Konsekvens |
|---|---|---|---|
Enable and target | Disabled | Svak autentisering, ønsker ikke å tillate dette | Åpner opp for svært mange forskjellige phishing sårbarheter |
Temporary Access Pass
Innstilling | Anbefalt verdi | Begrunnelse | Konsekvens |
|---|---|---|---|
Temporary Access Pass | Enabled | Phishing Resistent MFA -Target - All Users / Group | Økt sikkerhet / Onboarding |
Enable and target | All Users | Sterk autentisering, ønskelig for onboarding av FIDO, og engangskode for nyansatte, og generelt bruk i drift. | Sterk autentisering |
One time | No | Ønsker å kunne benytte engangskode flere enn engang pr aktivering | Kan utnyttes om engangskode kommer på avveie innenfor levetid |
Default lifetime: | 1 hour | Default levetid på engangskode | Kan utnyttes om engangskode kommer på avveie innenfor levetid |
Minimum lifetime: | 1 hour | Minimum levetid på engangskode | Kan utnyttes om engangskode kommer på avveie innenfor levetid |
Maximum lifetime: | 8 hours | Maksimum levetid på engangskode | Kan utnyttes om engangskode kommer på avveie innenfor levetid |
Length: | 8 characters | Ønsker antall tegn for kompleksiteten for autentisering | Kan utnyttes om engangskode kommer på avveie innenfor levetid |
TAP target | All Users | Definerer hvilke brukere som kan bruke TAP | - |
TAP exclude | Group | Definerer hvilke brukere som ikke kan bruke TAP | - |
Hardware OATH tokens
Innstilling | Anbefalt verdi | Begrunnelse | Konsekvens |
|---|---|---|---|
Enable and target | Disabled | Ønsker ikke å bruke hardware OATH, det finnes bedre sikre metoder | Ønsker ikke å bruke hardware OATH |
Software OATH tokens
Innstilling | Anbefalt verdi | Begrunnelse | Konsekvens |
|---|---|---|---|
Enable and target | Disabled | Ønsker ikke å bruke software OATH, det finnes bedre sikre metoder | Ønsker ikke å bruke software OATH |
Voice
Innstilling | Anbefalt verdi | Begrunnelse | Konsekvens |
|---|---|---|---|
Enable and target | Disabled | Ønsker ikke å bruke voice, det finnes bedre sikre metoder | Ønsker ikke å bruke voice, det finnes bedre sikre metoder |
Innstilling | Anbefalt verdi | Begrunnelse | Konsekvens |
|---|---|---|---|
Enable and target | Disabled | Ønsker ikke å bruke email, det finnes bedre å sikre metoder | Ønsker ikke å bruke email, det finnes bedre å sikre metoder |
X.509 Certificate
Innstilling | Anbefalt verdi | Begrunnelse | Konsekvens |
|---|---|---|---|
Enable and target | Disabled | Denne metoden er kun for spesifikke scenarioer. Kan aktiveres ved behov | Sterk autentisering |
QR code
Innstilling | Anbefalt verdi | Begrunnelse | Konsekvens |
|---|---|---|---|
Enable and target | Disabled | Denne metoden er kun for spesifikke scenarioer. Kan aktiveres ved behov | Svak autentisering - evt kun brukes til Frontline workers |
Password protection
Link
Introduksjon
Denne menyen inneholder innstillinger for password protection.
Microsoft Entra ID password protection brukes i utgangspunktet på brukerobjekter som kun lever i Entra ID. Brukere som er synkronisert fra andre kilder (vanligvis Active Directory) blir ikke påvirket av dette ut av boksen. Det er mulig å benytte password protection mot brukere fra andre kilder, og det krever en integrasjon.
Innstillinger
Innstilling | Anbefalt verdi | Begrunnelse | Konsekvens |
|---|---|---|---|
Lockout Threshold | 10 | Det bør være lov å skrive passord feil noen ganger, men ikke altfor mange ganger. 10 er et greit utgangspunkt | Det bør informeres om hva fristen er og hva som skjer hvis man låser seg selv ut |
Lockout duration in seconds | 60 | Det bør være en periode hvor bruker blir låst ut, for å blokkere brute force-angrep. Det bør også settes opp varsling til SOC/SIEM-løsninger rundt dette. | Det bør informeres til brukere hvor lenge dette er og hva man må gjøre. |
Enforce custom list | Yes | Passord som er enkle å gjette bør blokkeres | Det bør informeres |
Custom banned password list | Her bør vanlige passord legges inn. Eksempler er navnet på virksomheten, alle månedene i året, lokale stedsnavn, etc… | Passord som er enkle å gjette bør blokkeres | Det bør informeres |
Enable password protection on Windows Server Active Directory | Brukes hvis man har brukere i Active Directory | Samme passordkrav bør gjelder for AD-brukere som Entra-brukere | Det bør informeres |
Mode | Enforced | Kravene må gjelde | Det bør informeres |
Eksempelbilde
Registration Campaign
Registration Campaign
Link
Introduksjon
Denne menyen inneholder innstillinger for å varsle/tvinge brukere for å konfigurere ulike MFA-metoder
Det er disse innstillingene som bør sjekkes:
Innstillinger
Innstilling | Anbefalt verdi | Begrunnelse | Konsekvens |
|---|---|---|---|
State | Disabled | Tvinger oppsett av Authenticator på brukere. Dette må gjøres i CA / Auth Strength pga skole/elever. Eventuelt sette den til en gruppe | Tvinger oppsett av MFA-metode |
Days allowed to snooze | 1 | Utsetter registrering med x antall dager | Etter x antall dager så tvinger den registrering av MFA-metode |
Limited number of snoozes | Enabled | Limiterer utsetting med registreringa av ny metode | Ingen |
Included users and groups | Group | For å kontrollere hvem som kan varsel om å registrere MFA (for eksempel gruppe med kun ansatte) | Ingen |
Method | Microsoft Authenticator | Definerer hvilken MFA-metode som benyttes i MFA registreringskampanjen | Ved defininger av sterk-autentisering, så må alternativ innlogging tilbys (TAP) |
Eksempel:
System-preferred multifactor authentication
Link
Introduksjon
Denne menyen inneholder innstillinger for å sette nivået av sterk MFA som skal tilbys til brukere som default.
Det er disse innstillingene som bør sjekkes:
Innstillinger
Innstilling | Anbefalt verdi | Begrunnelse | Konsekvens |
|---|---|---|---|
State | enabled | Aktiverer den mest sikre MFA-metoden og presenterer den for brukere. | Usikkerhet om denne vil treffe elever. Legg til elever som unntak. |
Target | All users | Definerer hvilke brukere som skal ha denne policyen. | Ingen |
Eksempel:
Report Suspicious Activity
Link
Introduksjon
Denne menyen inneholder innstillinger for å la brukere rapportere suspekt aktivitet med MFA-varsler
Det er disse innstillingene som bør sjekkes:
Innstillinger
Innstilling | Anbefalt verdi | Begrunnelse | Konsekvens |
|---|---|---|---|
State | Microsoft Managed | Tillater brukere å reportere suspekt aktivitet på MFA/Authenticator) | Ingen |
Reporting Code | 0 | Hvilken knapp man skal trykke på for å rapportere suspekt aktivitet (Default) | Ingen |
Target | All Users | Definerer hvilke brukere som skal ha denne policyen. | Ingen |
Eksempel:
