Wiele firm uznaje temat bezpieczeństwa logowania za zamknięty w momencie włączenia MFA. To zrozumiałe, bo drugi składnik faktycznie blokuje ogromną większość prostych ataków na hasła. Problem w tym, że atakujący nauczyli się omijać sam drugi składnik: przez przechwycenie sesji, zmęczenie powiadomieniami czy stare protokoły, które MFA w ogóle nie obejmuje. Dostęp warunkowy w Entra ID to warstwa, która zamyka te luki, bo zmienia logowanie z pojedynczej bramki w decyzję opierającą się o kontekst.
Od bramki do decyzji
Klasyczne logowanie zadaje jedno pytanie: czy znasz hasło i kod. Dostęp warunkowy dokłada kolejne: kto się loguje, skąd, z jakiego urządzenia, w jakiej sytuacji i jak ryzykowna ona wygląda. Dopiero na tej podstawie system decyduje, czy wpuścić, wpuścić z dodatkową weryfikacją, czy zablokować.
W praktyce polityka dostępu warunkowego składa się z dwóch części:
- Warunki, czyli kiedy reguła ma zadziałać: dana grupa użytkowników, aplikacja, lokalizacja, typ urządzenia albo poziom ryzyka.
- Kontrole, czyli co ma się wtedy stać: wymóg MFA, wymóg zgodnego urządzenia, ograniczenie sesji albo blokada.
MFA odpowiada na pytanie czy to Ty. Dostęp warunkowy na pytanie czy w tych warunkach wolno Ci wejść. Dopiero razem tworzą sensowną barierę, bo zamykają drogi, których sam drugi składnik nie widzi.
Polityki, od których warto zacząć
Nie trzeba budować od razu dziesiątek reguł. Kilka podstawowych zamyka najwięcej realnych dróg ataku.
- Blokada legacy authentication. Stare protokoły typu IMAP, POP3 i SMTP AUTH nie rozumieją MFA. Ich zablokowanie to jedna zmiana, która zamyka najczęstszą lukę.
- Wymóg zgodnego urządzenia. Dostęp do danych firmowych tylko z urządzeń zarządzanych i spełniających politykę, na przykład przez Intune.
- Reakcja na ryzyko logowania. Gdy Microsoft sygnalizuje anomalie, na przykład logowanie z nietypowej lokalizacji, system wymaga dodatkowej weryfikacji lub blokuje próbę.
- Odporne na phishing MFA dla administratorów. Klucze FIDO2 lub Windows Hello zamiast kodów SMS dla kont, których przejęcie boli najbardziej.
Uważaj na wykluczenie samego siebie
Dostęp warunkowy jest potężny, ale właśnie dlatego trzeba go wdrażać ostrożnie. Najczęstszy błąd to zbyt szeroka reguła, która blokuje wszystkich, wliczając administratora, który ją tworzy.
- Zawsze zostaw awaryjne konto administracyjne wyłączone spod restrykcyjnych polityk.
- Testuj nowe reguły w trybie raportowania, zanim je włączysz na produkcji.
- Wdrażaj etapami, na wybranej grupie pilotażowej, a nie od razu na całej firmie.
Te trzy zasady oszczędzają bardzo nieprzyjemnego telefonu, w którym cała organizacja nagle nie może się zalogować.
Dostęp warunkowy a Zero Trust
Dostęp warunkowy to praktyczna realizacja podejścia Zero Trust w świecie Microsoft. Zamiast zakładać, że skoro ktoś jest w sieci firmowej, to jest zaufany, każde logowanie ocenia się osobno, na podstawie aktualnego kontekstu. Sieć przestaje być granicą zaufania, a staje się nią tożsamość wraz ze stanem urządzenia.
To zmiana, która dobrze łączy się z monitorowaniem tego, co dzieje się po zalogowaniu. Sygnały z Microsoft Defender mogą zasilać ocenę ryzyka, dzięki czemu przejęte konto szybciej trafia na dodatkową weryfikację albo blokadę.
Podsumowanie
Dostęp warunkowy nie zastępuje MFA, tylko nadaje mu sens w realnym świecie ataków. To on decyduje, czy logowanie ze skradzionym tokenem z drugiego końca świata zostanie zatrzymane, czy przejdzie bez echa. Fundamentem całości jest porządek w Entra ID, bo bez czystej bazy kont i urządzeń nawet najlepsza polityka będzie dziurawa. Jeśli chcesz wdrożyć dostęp warunkowy rozsądnie, bez ryzyka zablokowania własnego zespołu, pomożemy zaprojektować polityki pod to, jak faktycznie pracuje Twoja firma. Zacznij od rozmowy o tym, kto, skąd i z czego loguje się dziś do Twojej chmury.