Πρόσφατα προστέθηκε η δυνατότητα του Multi Factor Authentication (MFA) για όλους τους χρήστες του Office 365. Για τους χρήστες με δικαιώματα διαχειριστή της συνδρομής στο Office 365, η δυνατότητα αυτή του MFA ήταν διαθέσιμη και σχεδόν υποχρεωτική από τον Ιούνιο του 2013.
Τι είναι όμως η δυνατότητα του Multi Factor Authentication και γιατί τον όρο MFA τον ακούμε όλο και συχνότερα στις μέρες μας;
Multi Factor Authentication ή Two Factor Authentication είναι η ταυτοποίηση εκείνη στην οποία χρησιμοποιούνται τουλάχιστον δύο από τους τρεις παράγοντες ταυτοποίησης. Οι τρεις αυτοί παράγοντες ταυτοποίησης είναι οι εξής :
- Γνώση. Κάτι που γνωρίζουμε, όπως το password το pin κ.α.
- Κατοχή. Κάτι που έχουμε, όπως smart card, συσκευή one time password, κινητό τηλέφωνο.
- Προσδιορισμός. Κάτι που μας προσδιορίζει, όπως τα βιομετρικά χαρακτηριστικά μας π.χ. δακτυλικό αποτύπωμα κ.α.
Όπως φαίνεται λοιπόν η δυνατότητα του Multi Factor Authentication, επεκτείνει και ενισχύει της ασφάλεια της πρόσβασης στην πληροφορία πέρα από τον κωδικό χρήστη.
Έτσι για να συνδεθεί ο χρήστης στις υπηρεσίες του Office 365, εκτός του κωδικού του θα πρέπει να χρησιμοποιήσει ένα pin που θα λάβει μέσω SMS ή να απαντήσει σε ένα αυτοματοποιημένο τηλεφώνημα ή να χρησιμοποιήσει την εξειδικευμένη εφαρμογή του τηλεφώνου του για την έκδοση και την χρήση του απαραίτητου pin.
Η σύνδεση στις υπηρεσίες του Office 365 μπορεί να ταυτοποιηθεί μέσω Multi Factor Authentication τόσο όταν αυτή γίνεται μέσω ενός Web Browser όσο και όταν γίνεται από τις εφαρμογές του Microsoft Office. Στην περίπτωση αυτή όμως θα πρέπει ο χρήστης να έχει εκδώσει τα λεγόμενα App Passwords εκ των προτέρων. Αυτό όμως είναι κάτι που θα αλλάξει στο μέλλον όταν θα αναβαθμιστούν οι εφαρμογές του Office και θα συμπεριλαμβάνουν εγγενώς την δυνατότητα του MFA.
Τα προγράμματα του Office 365 για τα οποία είναι διαθέσιμη η δυνατότητα του Multi Factor Authentication και μάλιστα δωρεάν, είναι τα εξής :
- Office 365 για μεσαίες επιχειρήσεις
- Όλα τα προγράμματα του για μεγάλες επιχειρήσεις
- Τα μεμονωμένα προγράμματα Exchange Online και SharePoint Online
- Τα προγράμματα των εκπαιδευτικών ιδρυμάτων (academic)
- Τα προγράμματα των μη κερδοσκοπικών οργανισμών
Τέλος η δυνατότητα του MFA μπορεί να ενεργοποιηθεί ακόμη και για τους χρήστες που έχουν προκύψει μέσω συγχρονισμού (federation) από το Windows Active Directory της εταιρείας.
Ας δούμε όμως πως γίνεται η ενεργοποίηση του Multi Factor Authentication και τι τελικά αλλάζει σε αυτό που βλέπει ο χρήστης.
H ενεργοποίηση γίνεται εύκολα, επιλέγοντας Set up στο τμήμα Set Multi-factor authentication requirements.
Από την καθολική λίστα με τους Users, επιλέγουμε εκείνους για τους οποίους θέλουμε να κάνουμε την ενεργοποίηση
Αυτό το κάνει ο διαχειριστής πατώντας πάνω στο Enable. Το σύστημα ενημερώνει για τις δυνατότητες ρυθμίσεων που έχει ο κάθε χρήστης και ολοκληρώνει την ενεργοποίηση.Την επόμενη φορά που θα συνδεθεί στο Portal ο χρήστης θα πληροφορηθεί για την αλλαγή και θα οδηγηθεί να συμπληρώσει τα απαιτούμενα στοιχεία
Σαν επιπλέον στοιχείο για την ταυτοποίηση, μπορούμε να χρησιμοποιήσουμε κάτι από τα παρακάτω :
- Κλήση σε κινητό τηλέφωνο. Ο χρήστης λαμβάνει μία κλήση στο κινητό του που τον καλεί να πατήσει το πλήκτρο με την δίεση. Το πατάει και η ταυτοποίηση ολοκληρώνεται
- Κλήση σε σταθερό τηλέφωνο. Είναι ακριβώς η ίδια διαδικασία, όπως και παραπάνω, μόνο που χρησιμοποιείται ένα σταθερό τηλέφωνο εάν ο χρήστης δεν έχει μαζί του το κινητό
- Λήψη κωδικού μέσω SMS. Ο χρήστης λαμβάνει έναν εξαψήφιο κωδικό μέσω SMS που πρέπει να εισάγει στο portal για να ολοκληρωθεί η ταυτοποίηση
- Επιβεβαίωση μέσω εφαρμογής κινητού (MFA App). Ο χρήστης κατεβάζει την ειδική εφαρμογή για το κινητό του, κάνει τις απαραίτητες ρυθμίσεις για την σύνδεση της με την υπηρεσία και μετά κάθε φορά που θέλει να συνδεθεί στο Office 365, το MFA App αυτόματα του ζητάει επιβεβαίωση. Εφαρμογές MFA Apps υπάρχουν για Windows Phone, iPhone και Android.
- Λήψη κωδικού μέσω εφαρμογής κινητού (MFA App). Χρησιμοποιείται η ίδια εφαρμογή, όπως και προηγουμένως, μόνο που η επιβεβαίωση γίνεται μέσω εξαψήφιου κωδικού που λαμβάνει ο χρήστης στο MFA App που μετά πρέπει να βάλει στο portal για να συνδεθεί.
Εάν επιλέξουμε την επιβεβαίωση μέσω της εφαρμογής του κινητού μας (MFA App), όταν προσπαθήσουμε να συνδεθούμε στο portal του Office 365 το MFA App θα μας ζητήσει επιβεβαίωση
Πέραν των αρχικών ρυθμίσεων σχετικά, με τον επιπλέον παράγοντα ταυτοποίησης που θα
χρησιμοποιήσουμε για να συνδεθούμε στις υπηρεσίες του Office 365, μπορούμε να αλλάξουμε επιλογή είτε κατά την διάρκεια της σύνδεσης μας στο PortalΕίτε μέσω του τμήματος των επιπλέον ρυθμίσεων ασφαλείας του προφιλ μας στο Office 365
Κωδικοί εφαρμογών (App Passwords) στο Multi-Factor Authentication
Μέχρι τώρα έχουμε αναπτύξει τις δυνατότητες που έχουμε για Multi-Factor Authentication, στην περίπτωση που θέλουμε να συνδεθούμε στις υπηρεσίες του Office 365 μέσω του Web Browser στο Portal.
Όταν θέλουμε να χρησιμοποιήσουμε Desktop εφαρμογές όπως το Microsoft Outlook, το Lync, το Word κ.α. για να συνδεθούμε στο Office 365, τότε θα πρέπει να εκδώσουμε τα λεγόμενα App Passwords.
Τα App Passwords είναι τυχαίοι κωδικοί 16 χαρακτήρων που αφού εκδοθούν, μπορούν να χρησιμοποιηθούν μέσα από τις εφαρμογές που αναφέραμε και να πετύχουμε έτσι το Multi Factor Authentication
Αφού γίνει η έκδοση του κωδικού αυτός εμφανίζεται στην σχετική λίστα και μπορούμε, εάν θέλουμε, να τον διαγράψουμε.
Η δυνατότητα της έκδοσης App Passwords δεν είναι διαθέσιμη μέσω PowerShell CmdLets ενώ μπορούμε, εάν το επιβάλουν ειδικοί κανόνες ασφάλειας, να την απενεργοποιήσουμε εντελώς από την συνδρομή μας.