Jamf Blog
How to . . .

How-To: Azure Conditional Access und Jamf Connect

Finden von „fehlgeschlagenen” Anmeldeversuchen in Azure-Anmeldeprotokollen? Lernen:

  • Wie der ROPG-Workflow und Jamf Connect kommunizieren
  • So erstellen Sie eine Anwendungsregistrierung in Microsoft Azure Active Directory, die Richtlinien für bedingten Zugriff ermöglicht
  • Wie man die Richtlinien für den bedingten Zugriff NICHT auf den ROPG-Workflow anwendet

Problem

Administrator*innen können fehlgeschlagene Anmeldeversuche im Protokoll für die in Microsoft Azure Active Directory erstellte Unternehmensanwendung beobachten, wenn sie Jamf Connect und eine Richtlinie für den bedingten Zugriff verwenden, die eine Multi-Faktor-Authentifizierung (MFA) für das Ziel „Alle Cloud-Anwendungen” erfordert. Dies ist zwar das erwartete Verhalten des ROPG-Workflows (Resource Owner Password Grant), kann aber dazu führen, dass ein Benutzer/eine Benutzerin in den Sicherheitsberichten zu riskanten Anmeldungen in Azure Active Directory erscheint.

Was ist geschehen?

Das Ziel „Alle Cloud-Anwendungen” wendet Richtlinien an, die weit über die Anmeldungen bei bestimmten Cloud-Diensten hinausgehen, und wendet Richtlinien auf nicht interaktive Workflows wie die mit ROPG an. Insbesondere scheint die Angabe „Alle Apps in der Cloud” für jede App zu gelten, die eine Anmeldung mit einem der folgenden Bereiche verlangt:

openid Profil E-Mail

Die Open ID Connect 2.0-Spezifikation verwendet diese Standard-Scopes, um ein Zugriffs- oder Identitäts-Token für eine Client-Anwendung zu erhalten. Folglich verwendet die Jamf Connect-Anmeldung in der Standardkonfiguration den E-Mail -Bereich des openid-Profils, und die einzige Möglichkeit, eine CA-Richtlinie in diesem Standardverhalten anzuwenden, besteht darin, die Richtlinie auf „Alle Cloud-Apps” anzuwenden, wobei KEINE Ausnahmen gelten, da sonst die CA-Richtlinie nicht funktioniert.

Administrator*innen haben mehrere Möglichkeiten, MFA auf dem Jamf Connect-Anmeldebildschirm zu erzwingen:

  • Am einfachsten, aber mit den meisten Auswirkungen auf die Benutzeranmeldungen:
    Legen Sie harte Anforderungen für MFA über die ältere Methode der Azure Multi-Faktor-Authentifizierung fest, die eine MFA-Anforderung auf ALLE Anmeldungen bei JEDEM Dienst für einen bestimmten Benutzer*innen anwendet. Ignorieren Sie fehlgeschlagene Anmeldungen in den Anmeldeprotokollen für ROPG-Prüfungen des Passworts. (Weitere Informationen darüber, wie Sie feststellen können, ob eine fehlgeschlagene Anmeldung darauf zurückzuführen ist, dass der Jamf Connect-Menüleisten-Agent eine ROPG-Anfrage stellt, finden Sie weiter unten).
  • Einfach, kann sich aber auf andere Dienste auswirken:
    Erstellen Sie eine Richtlinie für den bedingten Zugriff, die auf „Alle Cloud-Apps” angewendet wird und eine Multi-Faktor-Authentifizierung für die Anmeldung erfordert. Verwenden Sie KEINE Ausnahme von der Richtlinie, da dies die Funktionalität der CA-Regel zu beeinträchtigen scheint (Stand der Tests: 10DEC2021). Ignorieren Sie fehlgeschlagene Anmeldungen in den Anmeldeprotokollen für ROPG-Prüfungen des Passworts.
  • Kompliziert, aber anspruchsvoll:
    Folgen Sie den Anweisungen im Jamf Nation-Beitrag „Erstellen eines benutzerdefinierten Bereichs für Jamf Connect in Azure für Richtlinienfür bedingten Zugriff”, um einen benutzerdefinierten Bereich für Jamf Connect-Anwendungen zu erstellen (Sie müssen sich bei Jamf Nation anmelden oder ein Konto erstellen, um darauf zuzugreifen). Stellen Sie sicher, dass keine Richtlinien erstellt werden, die für „Alle Cloud-Anwendungen” gelten, um den ROPG-Workflow nicht zu beeinträchtigen. Die CA-Richtlinie wird wie erwartet auf die Jamf Connect-Anmeldeanwendung angewendet, und die ROPG-Prüfung wird in den Anmeldeprotokollen als erfolgreiche Anmeldung angezeigt.

Azure Multi-Faktor-Authentifizierung vs. Bedingter Zugriff

Administrator*innen können die Anforderungen für die Multi-Faktor-Authentifizierung für ein Benutzerkonto auf zwei Arten aktivieren:

  • Multi-Faktor: Authentifizierung, die über die Liste „Alle Dienste” im Azure-Portal zu erreichen ist
  • Conditional Access: der über Azure Active Directory unter Sicherheit zu erreichen ist

Multi-Faktor-Authentifizierung ist ein systemweites Master-Switch-System für alle Anmeldeversuche zur Durchsetzung von MFA bei der Authentifizierung. Während IP-Adressbereiche ausgenommen werden können, gelten die Regeln für alle Authentifizierungen.

Mit Conditional Access lassen sich feinkörnige Details festlegen, wenn MFA erforderlich ist, einschließlich der Ausnahme von MFA für Webanwendungen.

Ressourceneigentümer Passwort Gewährung Workflow

Jamf Connect verwendet einen ROPG-Workflow, um das Kennwort des Benutzers/der Benutzerin im Identitätsanbieter mit dem Kennwort auf dem Client-Computer des Benutzers zu synchronisieren. Der Benutzername und das Passwort werden bei einer „nicht-interaktiven” Anmeldung an den Identitätsanbieter/die Identitätsanbieterin gesendet, um eine Antwort zu erhalten. Das bedeutet, dass der Benutzer/die Benutzerin bei der Anmeldung nicht zur Eingabe eines Benutzernamens oder Passworts aufgefordert wird; Jamf Connect verwendet für dieses Ereignis die sicher im Schlüsselbund des Benutzers gespeicherten Informationen.

Für Azure sind die Antworten eine der folgenden:

Erfolg, keine MFA-Anforderungen: Ein in HS256 kodiertes Zugangs-, Aktualisierungs- und ID-Token

Erfolg, MFA erforderlich durch eine Richtlinie: Eine Fehlerantwort wie:

 AADSTS50076: Aufgrund einer Konfigurationsänderung, die von Ihrem Administrator/Ihrer Administratorin vorgenommen wurde, oder weil Sie an einen neuen Standort umgezogen sind, müssen Sie für den Zugriff auf [Anwendungs-UUID] eine Multi-Faktor-Authentifizierung verwenden
  • Fehler, falsches Passwort oder Benutzername: Eine Fehlerantwort wie:
 AADSTS50126: Fehler bei der Überprüfung der Anmeldeinformationen aufgrund eines ungültigen Benutzernamens oder Kennworts.

Solange das Benutzerkennwort korrekt ist, war der ROPG-Fluss erfolgreich - das Kennwort wurde als korrekt validiert. Während Jamf Connect das Zugriffs-, Aktualisierungs- und ID-Token nicht benötigt, um das lokale Kennwort mit dem Identitätsanbieter synchron zu halten, wird eine entsprechende Fehlerantwort als erfolgreiche Kennwortprüfung interpretiert.

Referenz: https://docs.jamf.com/jamf-connect/administrator-guide/Authentication_Protocols.html (auf Englisch)

Diagnose von MFA vs. fehlgeschlagenem Passwort in Azure-Protokollen

Navigieren Sie zu Azure Active Directory → Enterprise Applications und wählen Sie den Namen Ihrer Jamf Connect-Anwendung in Azure. Navigieren Sie zu Aktivität → Anmeldungen, um die Nutzungsprotokolle der Benutzer*innen zu öffnen.

Example logs from a sample Microsoft Azure instance

Oben sind zwei Anmeldungen zu sehen, die anscheinend fehlgeschlagen sind. In der Spalte „Authentifizierung erforderlich” steht bei der ersten Anmeldung „Multi-Faktor-Authentifizierung”. Wenn Sie auf die Zeile klicken, erhalten Sie zusätzliche Informationen über den Anmeldeversuch.

Details on a non-interactive login from Jamf Connect via ROPG:

Unter Authentifizierungsdetails kann der Administrator*innen anhand der „Ergebnisdetails” feststellen, ob die Anmeldung erfolgreich war oder fehlgeschlagen ist. In diesem Beispiel war die Anmeldung erfolgreich - die Ergebnisdetails zeigen, dass der „Benutzer*innen die MFA-Herausforderung nicht bestanden hat (nicht interaktiv)”. Diese Anmeldung kann dahingehend interpretiert werden, dass der Benutzer entweder durch eine Richtlinie für bedingten Zugriff oder durch Azure-Multifaktor-Authentifizierung zur Verwendung von MFA aufgefordert wurde.

Im zweiten Beispiel hat ein Benutzer/eine Benutzerin mit erforderlicher MFA nicht das richtige Passwort eingegeben:

Details on a failed non-interactive login due to an incorrect password.

Die Spalte Authentifizierung erforderlich zeigt „Einzelfaktor-Authentifizierung” und die Authentifizierungsdetails zeigen „Ungültiger Benutzername oder Kennwort oder Ungültiger lokaler Benutzername oder Kennwort”. Der Benutzer/die Benutzerin ist zwar verpflichtet, die Multi-Faktor-Authentifizierung zu verwenden, hat aber den ersten, einfachen Faktor nicht bestanden und wurde daher nie zur MFA aufgefordert.

Erstellen eines benutzerdefinierten Bereichs für Jamf Connect und Richtlinien für bedingten Zugriff

Workflow-Übersicht:

  • Erstellen einer „privaten Endpunkt”-Anwendungsregistrierung mit einer benutzerdefinierten API
    • Mit API-Berechtigungen für „Benutzer.lesen”
    • Mit dem Bereich „Eine API freigeben” erstellt
    • Definieren Sie Rollen wie „Admin” und „Standard”, um die Berechtigungen für macOS Accounts zu erhöhen
  • Erstellen Sie ein „öffentliches Endgerät” für die Registrierung von Apps für OIDC, um diese benutzerdefinierte API aufzurufen.
    • API-Berechtigungen für „Benutzer.lesen” entfernen
    • Fügen Sie die API-Berechtigung für „Meine APIs” für den Namen der in Schritt 1 erstellten Anwendung und den in Schritt 1 erstellten Bereich hinzu.
  • Erstellen Sie eine Azure-Richtlinie für bedingten Zugriff, die eine Multifaktor-Authentifizierung erfordert.
    • Auf die in Schritt eins erstellte App anwenden
  • Entfernen Sie alle CA-Richtlinien, die auf „Alle Cloud-Anwendungen” angewendet werden und MFA erfordern würden.
  • Erstellen Sie ein Jamf Connect Login-Konfigurationsprofil
    • Azure als Identity Provider
    • Definieren eines benutzerdefinierten Bereichs
    • Definieren Sie die Discovery URL für OIDC und ROPG
    • Test mit Jamf Connect Konfiguration

Die neueste Version der Schritt-für-Schritt-Anleitung zum Einrichten der App in Azure finden Sie unter here.

Jamf Blog abbonieren

Industrietrends, Apple Neuigkeiten und das Neueste von Jamf, direkt in Ihrer Inbox.

Um mehr darüber zu erfahren, wie wir Ihre Informationen sammeln, verwenden, offenlegen, übertragen und speichern, werfen Sie bitte einen Blick auf unsere Datenschutzbestimmungen.