00:02 Martin Goddag og velkommen til endnu en episode af vores podcast, How to Get There From Here, som fortsat er en reference til Conditional Access beskeden, som siger det modsatte. Dagens emne er en forsættelse af sidste uges emne, og i dag berører vi Break Glass Accounts, som så også benytter passkeys og Phishing Resistant MFA som authentication. Og Christian?

00:29 SPEAKER_00 Ja. Hvad er en break glass account? En break glass account, eller som det også er kendt som, er en emergency account, er en type konto, man opretter for at have en emergency indgang til ens tenant, hvis man får låst sig selv ud af forskellige årsager. En af dem kan være ransomware-angreb, en anden kan være, at man får låst sig selv ud, hvis man leger med conditional access-regler og bliver uheld for at blokere et login. Så er det meningen, at den her konto, faktisk to af dem, er anbefalingen, man opretter, at så bruger man dem til at skabe sig selv administrativ adgang igen til en Microsoft tenant. Og det er jo egentlig ret nødvendigt at have dem, fordi som nævnt, hvad nu hvis man bliver udsat for ransomware og bliver låst ude?

01:17 SPEAKER_00 Og igen, tilfælde af administrativ fejl, for vi er mennesker, der kan ske fejl. Så derfor er det utroligt vigtigt, at man har to af dem. Fordi hvis den ene af oversagene ikke virker, der kan jo være forskellige oversag til, så for at være på den sikre side, så er anbefalingen også på Microsoft. Der har man to. To eller flere, tror jeg. Man må gerne lave tre eller fire, hvis man vil det. Der er ikke noget hard limit. Er det måske vigtigt at nævne, at sådan en emergency account skal have stående global administrator-rollen, fordi den skal kunne administrere det hele, så at sige. Og jeg ved ikke, om du lige vil tage os igennem, hvordan man kommer i gang med oprettelsen?

01:57 Martin Hvordan man kommer i gang, og vi har jo lige skrevet en blog på os, og derfor fandt vi også det nærtlæggende. Bare lige at tale lidt om det i podcasten her.

02:07 Martin Hvordan kommer man i gang? Det handler om, at man ret basalt opretter de to konti eller flere, hvis man skal have flere end det. Og så er der nogle krav til, hvordan de skal oprettes. Man anbefaler, at man opretter dem direkte i skyen, altså udenom on-premise, hvis man fortsat har det, og opretter dem på en Microsoft-domæne, så der heller ikke er afhængigheder til et tredje part-domæne. Og så skal de jo kunne, de to nye konti, de skal jo kunne logge ind og bruge Passkey eller Phishing Resistant MFA, som vi talte om i sidste uge. Så det skal selvfølgelig være enabel for de to konti, og så skal de også være enabel til at bruge det, der hedder Temporary Access Password, som erstatter det første login.

02:56 SPEAKER_00 Så man ikke skal bruge password for at logge ind. Så man sætter faktisk ikke noget password på den her?

03:01 Martin Når man opretter en, hvor jeg bruger i interest, så laver den et default password, men du behøver ikke kigge på det. Og hvis du kigger på det, så kan du også ændre det til meget længere password, hvis du vil have det. Men du behøver ikke være bevidst om password overhovedet. Og det er jo så også, at man gør den proces lidt mere sikker. Der er aldrig noget password i brug. Selvom passwordet desværre er sat på kontoren, så er det ikke i brug.

03:25 Martin Og så taler man også om, at man skal exklude dem fra ens nuværende Conditional Access Policies, hvis man har dem af fremtidige Conditional Access Policies. Og det ved jeg, at du har en holdning til, hvordan det skal gøres.

03:37 SPEAKER_00 Ja, jeg tænker lige inden jeg ruller Conditional Access, hvordan nu i blogposten blandt andet også, der er nemt at tale om lidt af Phishing Resistance. Hvad for en type skal man bruge her? I sådan et beglæs, skal man bruge de der fysiske nøgler til at bevæge, at der ikke er en iPhone af

03:54 Martin Nej, anbefalingen er, at man bruger de fysiske nøgler. I sidste uge talte vi lidt om, at man kan få passkeys som en softwareapplikation i virkeligheden, ikke via Authenticator-appen. Det er anbefalt, at man bruger de fysiske nøgler til sådan nogle emergency-account her. De fysiske nøgler, ja. Det er anbefalingen.

04:12 SPEAKER_00 Når det så er, at man er kommet så langt her, at man har oprettet sin break-glass-account, og man har givet dem en fysisk phishing-resistant nøgle, så er pointen så også, at man skal exklude dem fra conditional access. Og det kan man gøre på to forskellige måder. Man kan vælge at tilføje de her to til alle ens conditional access-regler, eller man kan vælge at blive sig en gruppe. Hvis man går med en gruppe, så vil det være en god idé, at man

04:39 SPEAKER_00 laver en ny gruppe, og så laver den som en role assignable group. Hvad betyder det? Det betyder, at man faktisk med den her gruppe vil kunne assignere en administrator role til den, som man kender for user administrator, group administrator, hvad det måtte være. Men i det her tilfælde her, der vil man bare slå den feature til, og det er vigtigt at sige, at det er noget, man gør i starten, når man laver gruppen. Men man skal ikke assignere nogen gruppe eller nogen rolle til den. Det gør så blandt andet, at det kun er global admins, der kan rette medlemmerne direkte i den. Og så har du samtidig også PIM, der kan bruges på den, så du kan requeste adgang til at blive excluded for conditional access, men det er måske lidt beside the point her, fordi den er primært tiltænkt til vores break glass account.

05:25 Martin Så det er en måde at beskytte gruppen på, så at sige. Ja. Så det kun er privilegerede roller.

05:30 SPEAKER_00 Ja.

05:30 Martin Der kan melde brugere ind og ud, så der ikke ved en fejl sniger sig andre medlemmer ind.

05:36 SPEAKER_00 Der kan jo være en globaladministration, der laver et eller andet og bruger gruppen for en god grund. Det skal jeg ikke kunne komme til damer på, men… Så kan man tilføje et access review på gruppen også, så man måske en gang om måneden, lige for at tage stilling til, er det stadig de to break glass accounts, der kun er herinde, og ingen andre, og så har man chancen for at rydde op i den, så man igen prøver at beskytte sin privilegerede gruppe ret meget, så man er opmærksom på, hvad der sker.

06:03 Martin Jeg ved også, du nævnte på et tidspunkt, at man så kan via Kusto Query, om der kommer nye medlemmer eller ryger medlemmer ud af gruppen, og så på den måde også lave noget monitorering på gruppen.

06:15 SPEAKER_00 Det kunne rigtigt være, at man via de logs, der kommer fra N3A, der kan man lave en Kusto Query, der monitorerer medlemskaber, der bliver rettet på en gruppe. Det er en måde at… at holde øje med den her gruppe på. En anden er også, at man bør monitorere de her to break glass accounts, så hvis de rent faktisk logger ind, hvilket de faktisk skal, for mindre det er en emergency, så man også har en kursus til at monitorere de her to brugers adgang, hvis de logger de ind, så man hurtigt kan gøre noget. Og

06:51 SPEAKER_00 Det ved jeg ikke. Når man har de her ting på plads, så står man et ret godt sted, men det synes jeg også, det efterlader os. Men nu taler du om, at man får de her fysiske negler her.

07:03 Martin Man skal jo selvfølgelig logge ind. Nu talte vi om temporary access pass. Det tildeler man kontoen, og så får man et middel til password, man kan bruge én gang. Og det er det, man så logger ind med, og så expirer det egentlig i det, man har brugt det. Det kan man konfigurere. Men det er meningen om, at det expirer i det, man har brugt det den ene gang. Og når du så logger ind den ene gang, så sætter du simpelthen din fysiske passkey op som din preferred MFA-metode.

07:28 SPEAKER_00 Okay.

07:29 Martin Og så er kontoen egentlig konfigureret.

07:32 SPEAKER_00 Så den er konfigureret og så er den ekskluderet fra Conditional Access?

07:35 Martin Ja, og den er jo klar til brug. Og så taler man om, du nævnte det lige før, at man så bør monitorere brugen af de konti. Og det kan man jo bruge Azure Monitoring eller sende sådan noget, alt efter hvordan man nu har sat sit miljø op. Men det er så via Kusto, som du siger. Man querier sig en inloks og kan få noget alarm på baggrund af det. Og det er også en anbefaling, at… Det er jo ikke nogen konti, man skal bruge på daglig basis. Nej, det er det. Eller sådan, nu glemte jeg lige min egen passkey til min egen admin-konto, så nu bruger jeg lige breakglass-accounten. Det burde jeg bare egentlig afsted komme ind advarseligt på en eller anden måde, hvis det er det, der sker, eller hvis det er det, der er praksis i virksomheden. Og så skal man jo også, det tror jeg, når man så har sat de her fysiske nøgler op,

08:19 Martin og har testet, at de virker, så er der noget med, at de skal gemmes et eller andet sted.

08:24 SPEAKER_00 Hvorfor vil du sige, at man skal gøre den her fysiske nøgle her, og skal tage dem med hjem, så man mister sig?

08:29 Martin Der er noget med, at man nok skal gemme dem i et pengeskab, og hvis man har flere, det har man på flere lokationer. Så hvis det er den ene bygning frem og ned, så er alle nøglerne ikke væk, og så måske dele dem lidt ud strategisk, alt efter størrelse af virksomheden.

08:44 SPEAKER_00 Ja.

08:45 SPEAKER_00 Så vær måske også et brændsikret… Ja, jeg tror, det er det, der står i dokumentationen.

08:53 Martin Et fireproof. Et pengeskab. Ja. Så hvis man har sådan et, så ned i kælderen med det. Eller også gør noget andet. Sørg for, at det ikke er den samme person, der holder alle nøglerne. Delt dem ud på flere fysiske lokationer, hvis man har det til råd.

09:08 SPEAKER_00 Okay. Så et sikker sted lige at gemme dem?

09:10 Martin Et sikker sted. Gem dem et sikker sted. Montrere dem. Okay.

09:13 Martin Så det afrunder anden episode, tror jeg, af vores podcast. Så vi var igennem Break Glass Accounts, og hvad det er, og hvorfor det er nødvendigt, og hvordan man lige kommer i gang med det. Og så har vi jo også en blogpost omkring emnet, som går helt i detaljen fra A til Z, om hvordan man sætter sådan en op, eller sætter den begge to op.

09:39 SPEAKER_00 Tak for at lytte med. Tak for det.