Conditional Access (CA) on AzureAD:n alkeellinen tapa suojata käyttäjien identiteettiä. CA:ssa määritellään sääntömäisesti mistä, miten, millä ehdoin ja mihin käyttäjä voi kirjautua. Sääntö voi olla esimerkiksi “Sallitaan kirjautumiset Intune laitteilta ilman MFA:ta kaikkiin AzureAD resursseihin”.
Suurin osa suositelluista tenantin peruskovetuksista voidaan toteuttaa CA:lla ja tähän suuntaan ohjaa myöskin Microsoft, koska CA tarjoaa erinomaisen logituksen. Kaikista käyttäjien kirjautumisista voidaan todeta jälkikäteen mitä CA-sääntöjä niihin kohdistettiin ja miten säännöt vaikuttivat kirjautumiseen.
Hyvänä peruspohjana CA-säännöstölle voidaan pitää:
– Vaaditaan MFA aina tunnuksilla, joilla on admin-oikeuksia
– Vaaditaan Intune-hallittu laite (Puhelin ja tietokone)
– Estetään legacy autentikaatio
– Estetään riskikäyttäjien kirjautuminen
Näillä neljällä perussäännöllä saavutettiin merkittävä määrä tietoturvaa, koska ympäristöön ei voi kirjautua muuten kuin käyttämällä yrityksen hallinnassa olevia laitteita. Käyttäjiltä ei kysytä MFA:ta juuri ikinä, koska sille ei ole modernissa ympäristössä tarvetta vaan monivaiheiden autentikaatio voidaan tehdä jo päätelaitteella hyödyntämällä esimerkiksi Windows hello for Business tai vastaavia tuotteita.
CA:lla voidaan estää kirjautuminen kokonaan tenanttiin, joten on tärkeää olla tili, joka pääsee CA:sta säännöistä aina ohi. Tällaisiä tilejä kutsutaan breakglass-tileiksi. Breaglass-tilit ovat ongelmallisia, koska niille ei voida välttämättä aina edes kohdistaa MFA-pakotusta vaan joudutaan käyttämään tunnus-salasana comboa pelkästään.
Breakglass-tilillä olisi hyvä olla MFA-pakotus ja se voidaan toteuttaa esimerkiksi fyysisellä laitteella. Tilien salasana tulee olla mahdotonta arvata ja bruteforcettaa, eli +50 merkkinen, joka mieluusti on paperilla fyysisesti turvallisesti säilössä kuten kassakaapissa.
Breakglass-tilille kirjautumista tulee käsitellä aina tietomurtona ellei toisin todisteta, eli on äärimmäisen tärkeää logittaa tilin tapahtumat, sekä luoda hälytys aina kun tilille kirjaudutaan. Tämän voi toteuttaa esimerkiksi Sentinel ja Logic Apps tuotteilla.