Jamf Blog
How to . . .

How-to: Azure voorwaardelijke toegang en Jamf Connect

Heb je te maken met 'mislukte' inlogpogingen in Azure-aanmeldingslogboeken? Meer informatie over:

  • Hoe de ROPG-workflow en Jamf Connect communiceren
  • Hoe je app-registratie in Microsoft Azure Active Directory opzet die beleid voor voorwaardelijke toegang mogelijk maakt
  • Hoe je voorwaardelijk toegangsbeleid NIET van toepassing laat zijn op de ROPG-workflow

Probleem

Beheerders kunnen mislukte inlogpogingen waarnemen in het logboek voor de bedrijfstoepassing die is gemaakt in Microsoft Azure Active Directory bij gebruik van Jamf Connect en een beleid voor voorwaardelijke toegang dat multifactor-authenticatie (MFA) vereist voor het doel van 'Alle cloud-apps'. Hoewel dit het verwachte gedrag is van de ROPG-workflow (Resource Owner Password Grant), kan het ertoe leiden dat een gebruiker wordt weergegeven bij de Riskante aanmeldingen in Azure Active Directory-beveiligingsrapporten.

Wat gebeurt er?

Het doel van 'Alle cloud-apps' past beleid toe dat veel verder gaat dan het aanmelden bij specifieke cloud-diensten en past beleid toe op niet-interactieve workflows zoals die met ROPG. Meer bepaald lijkt 'Alle cloud apps' van toepassing te zijn op elke toepassing die een login aanvraagt met de scope van een van de volgende:

e-mail van openid-profiel

De Open ID Connect 2.0-specificatie gebruikt deze standaardscopes om een toegangs- of identiteitstoken te verkrijgen voor een clienttoepassing. Als gevolg hiervan gebruikt Jamf Connect-login in de standaardconfiguratie het e-mailbereik van het openid-profiel. De enige manier om een CA-beleid in dit standaardgedrag toe te passen, is door het beleid ZONDER uitzonderingen toe te passen op 'Alle cloud-apps', anders zal het CA-beleid breken.

Beheerders hebben meerdere opties voor het afdwingen van MFA op het Jamf Connect-inlogscherm:

  • De eenvoudigste optie, maar met de meeste impact op gebruikerslogins:
    stel harde eisen voor MFA via de oudere methode van Azure multifactor-authenticatie die een MFA-eis toepast op ALLE aanmeldingen bij ELKE dienst voor een specifieke gebruiker. Negeer mislukte aanmeldingen in de aanmeldingslogboeken voor ROPG-controles van het wachtwoord. (Aanvullende informatie over hoe te bepalen of een mislukte aanmelding te wijten is aan de Jamf Connect-menubalkagent die een ROPG-aanvraag doet, vind je hieronder)
  • Een eenvoudige optie, maar kan van invloed zijn op andere diensten:
    maak een beleid voor voorwaardelijke toegang dat wordt toegepast op 'Alle cloud-apps' en waarbij multifactor-authenticatie vereist is voor aanmelding. Gebruik GEEN uitzondering op het beleid, want dat lijkt de functionaliteit van de CA-regel te breken, zoals blijkt uit tests die zijn uitgevoerd op 10-12-2021. Negeer ROPG-controles van het wachtwoord voor mislukte aanmeldingen in de aanmeldingslogboeken.
  • Een complexe, maar veeleisende optie:
    volg de instructies in de Jamf Nation-post 'Een aangepaste scope creëren voor Jamf Connect in Azure voor voorwaardelijk toegangsbeleid', om een aangepaste scope voor Jamf Connect-toepassingen te maken (meld je aan bij Jamf Nation of maak een account aan om toegang te krijgen). Controleer of er geen beleid is gemaakt dat van toepassing is op 'Alle cloud-apps', zodat de ROPG-workflow niet wordt beïnvloed. Het CA-beleid wordt zoals verwacht toegepast op de Jamf Connect-aanmeldingstoepassing en de ROPG-controle verschijnt als een succesvolle aanmelding in de aanmeldingslogboeken.

Multifactor-authenticatie in Azure vs. voorwaardelijke toegang

Beheerders kunnen op twee manieren vereisten voor multifactor-authenticatie voor een gebruikersaccount inschakelen:

  • Multifactor: authenticatie die bereikbaar is via de lijst 'Alle diensten' in het Azure-portal
  • Voorwaardelijke toegang: bereikbaar via Azure Active Directory onder Beveiliging

Multifactor-authenticatie is een systeembreed masterswitch-systeem voor het afdwingen van MFA bij authenticatie van alle inlogpogingen. Hoewel IP-adresreeksen kunnen worden uitgezonderd, gelden de regels voor alle authenticaties.

Met voorwaardelijke toegang kunnen fijnmazige details worden toegepast wanneer MFA vereist is, waaronder het vrijstellen van MFA voor webtoepassingen.

Workflow voor wachtwoordtoekenning resource-eigenaar

Jamf Connect gebruikt een ROPG-workflow om het wachtwoord van de gebruiker in de identiteitsprovider te synchroniseren met het wachtwoord op de clientcomputer van de gebruiker. De gebruikersnaam en het wachtwoord worden naar de identiteitsprovider gestuurd via een 'niet-interactieve' login om een antwoord te ontvangen. Dit betekent dat de gebruiker niet wordt gevraagd om een gebruikersnaam of wachtwoord bij het inloggen; Jamf Connect gebruikt hiervoor de informatie die veilig is opgeslagen in de sleutelhanger van de gebruiker voor deze gebeurtenis.

Voor Azure zijn de volgende antwoorden mogelijk:

Succes, geen MFA-vereisten: een in HS256 gecodeerd toegangs-, verversings- en ID-token

Succes, MFA is vereist via een beleid: mogelijke foutmelding:

 AADSTS50076: vanwege een configuratiewijziging door uw beheerder of omdat u naar een nieuwe locatie bent verhuisd, moet u multifactor-authenticatie gebruiken om toegang te krijgen tot [applicatie UUID]
  • Mislukt, slecht wachtwoord of gebruikersnaam: mogelijke foutmelding:
 AADSTS50126: fout bij het valideren van referenties vanwege ongeldige gebruikersnaam of wachtwoord.

Zolang het gebruikerswachtwoord correct is, is de ROPG-stroom geslaagd; het wachtwoord is als correct gevalideerd. Terwijl Jamf Connect geen toegangs-, vernieuwings- en ID-token nodig heeft om het lokale wachtwoord synchroon te houden met de identiteitsprovider, wordt een passende foutreactie geïnterpreteerd als een geslaagde wachtwoordcontrole.

Referentie: https://docs.jamf.com/jamf-connect/administrator-guide/Authentication_Protocols.html

Diagnose MFA vs. mislukt wachtwoord in Azure-logboeken

Navigeer naar Azure Active Directory → Enterprise-toepassingen en selecteer de naam van je Jamf Connect-toepassing in Azure. Navigeer naar Activiteit → Aanmelden om gebruikerslogboeken te openen.

Example logs from a sample Microsoft Azure instance

Hierboven staan twee logins die mislukt lijken te zijn. In de kolom 'Authenticatie vereist' staat bij de eerste aanmelding 'Multifactor-authenticatie'. Als je op de rij klikt, krijg je aanvullende details over de inlogpoging te zien.

Details on a non-interactive login from Jamf Connect via ROPG:

Onder Authenticatiedetails kan een beheerder aan de hand van het 'Resultaatdetail' bepalen of de aanmelding geslaagd of mislukt is. In dit voorbeeld was de aanmelding een succes. Het Resultaatdetail toont dat de 'Gebruiker niet geslaagd is voor de MFA-uitdaging (niet-interactief)'. Deze aanmelding kan zodanig worden geïnterpreteerd dat de gebruiker MFA moest gebruiken via een beleid voor voorwaardelijke toegang of via Azure multifactor-authenticatie.

In het tweede voorbeeld met MFA vereist heeft een gebruiker niet het juiste wachtwoord ingevoerd:

Details on a failed non-interactive login due to an incorrect password.

In de kolom Authenticatie vereist wordt 'Enkelvoudige authenticatie' weergegeven en bij Authenticatiedetails wordt 'Ongeldige gebruikersnaam of wachtwoord of Ongeldige lokale gebruikersnaam of wachtwoord' weergegeven. Hoewel de gebruiker verplicht is Multifactor-authenticatie te gebruiken, is de gebruiker niet geslaagd voor de eerste, enkelvoudige factor en is deze dus nooit gevraagd om MFA.

Een aangepast bereik maken voor Jamf Connect en beleid voor voorwaardelijke toegang

Workflowoverzicht:

  • Een toepassingsregistratie voor een 'privé-eindpunt' maken met een aangepaste API
    • Met API-rechten voor 'User.read'.
    • Met de scope 'Expose an API' gemaakt
    • Definieer rollen zoals 'Beheerder' en 'Standaard' voor het verhogen van macOS-accountmachtigingen
  • Maak een toepassingsregistratie voor een 'openbaar eindpunt' voor OIDC om die aangepaste API aan te roepen
    • API-toestemming voor 'User.read' verwijderen
    • API-toestemming toevoegen voor 'Mijn API's' voor de naam van de in stap één gemaakte toepassing en het in stap één gemaakte toepassingsgebied
  • Maak een voorwaardelijk toegangsbeleid in Azure om meervoudige authenticatie te vereisen
    • Pas toe op de toepassing gemaakt in stap één
  • Verwijder elk CA-beleid dat wordt toegepast op 'Alle cloud-apps' waarvoor MFA nodig is
  • Maak een configuratieprofiel voor Jamf Connect Login
    • Azure als identiteitsprovider
    • Een aangepaste scope definiëren
    • De Discovery-URL voor OIDC en ROPG definiëren
    • Testen met Jamf Connect-configuratie

De laatste versie van de stapsgewijze instructies voor het opzetten van de toepassing in Azure is beschikbaar here.

Schrijf je in voor het Jamf blog

Krijg markttrends, Apple updates en Jamf nieuws direct in je inbox.

Raadpleeg ons Privacybeleid voor meer informatie over de manier waarop we uw gegevens verzamelen, gebruiken, bekendmaken, verplaatsen en bewaren.