Detta måste du känna till...

över 3 år sedan

En av de stora fördelarna med Office 365 och Azure AD är möjligheten till lösenordssynkronisering med ert lokala Active Directory. Men det finns en del saker som ni bör vara medvetna om.

Färre lösenord uppskattas självklart av såväl användare som lokal IT-support eftersom det innebär färre frågor och samtal om lösenordsbyten och låsta konton. Men sätter man bara upp tjänsten och sen är allt frid och fröjd? Nej, det finns ett par saker som vi tycker att man bör känna till om lösenordssynkroniseringen mellan lokalt AD och Azure AD (Office 365, Microsoft Intune mm.) med hjälp av Azure AD Connect.

Hur ofta synkroniseras datan?

Med ert lokala AD synkroniserat med molnet och med lösenordsynkronisering aktiverat så är det två synkroniseringar som körs. En för synkronisering av AD objekt, användare och liknande och en egen lösenordssynkronisering. Som standard så kör AD objekt synkronisering var 30 minut och lösenordssynkronisering varannan minut. Detta innebär att om man stänger ett konto och inte har ändrat intervallet för synkronisering kan det dröja upp till 30 minuter innan personen inte längre kommer åt Office 365.

Hanteras lösenordet säkert?

Synkronisering sker genom att Azure AD Connect plockar ut lösenordshashen från användaren som identifieras med ett unikt ID, kallat ImmutableID i Azure AD. Så ingenting skickas eller syns i klartext. Hashen blir sedan krypterad och skickas till Azure AD över HTTPS så även det över en krypterad anslutning. Det är inte omöjligt att sniffa upp denna trafik och heller inte omöjligt att knäcka krypteringen och återläsa lösenordet ur hashen. Men det krävs väldigt mycket kunskap och tid för att åstadkomma detta och vi vill påstå att i dagens samhälle riktar hackare och obehöriga mer in sig på att komma över lösenord genom phising, keyloggers och liknande, snarare än att försöka hacka trafiken. Så ja, lösenordet hanteras tillräckligt säkert.

Hur fungerar den lokala lösenordspolicyn?

Alla företag bör ha en policy för hur konton ska låsas vid felaktiga inloggningar samt hur ofta lösenord ska bytas m.m. Med det sagt så kan policyn vara att aldrig byta lösenord och kontot aldrig blir låst, men man bör känna till de möjliga konsekvenserna av sina val. Synkroniserar man lösenord till Office 365 så kommer den lokala AD policyn för lösenordskomplexitet att följas. Däremot kommer lösenordet i Office 365 att sättas till ”Password Never Expire”. De två scenarios som vi anser att man bör känna till är:

Sitter användarna enbart på kontoret så påverkas man inte av detta eftersom de då inte kommer att kunna logga in på datorn när lösenordet löpt ut. När de byter lösenord på datorn så synkroniseras detta till Office 365.

Sitter användarna däremot utanför det lokala nätverket så påverkas de inte när det lokala AD lösenordet löpt ut eftersom lösenordet i Office 365 är satt till ”Password Never Expire”. Det innebär att användaren kommer kunna logga in på Office 365 med sitt gamla lösenord, även om det löpt ut i det lokala AD´t. Användare kommer att ha fortsatt tillgång till Office 365 till dess att han/hon kommer in till kontoret och byter lösenord eller till dess att en administratör ändrar i eller stänger kontot.

Hur fungerar stängda konton och utgångna konton?

Det finns många olika metoder för hur företag hanterar konton för anställda som slutar och inhyrda personer som avslutar projekt. Dessa innefattar bland annat att stänga kontot (Disable) eller att sätta ett utgångsdatum på kontot (Expire). När ett konto stängs i ert lokala AD så kommer det, vid nästa synkronisering, även att stängas i Office 365 och användaren kan inte längre komma in där, precis som man förväntar sig. Däremot konton som sätts med ett utgångsdatum får inte detta synkroniserat upp i molnet. De kommer inte kunna logga in på era lokala nätverksresurser men de kommer fortfarande att ha tillgång till Office 365 och dess anslutna molntjänster med sitt gamla lösenord. Detta är extremt viktigt att känna till om det är en metod man använder och inte vill att obehöriga ska ha fortsatt tillgång.

Vad händer om synkroniseringstjänsten inte gör sitt jobb?

Precis som med alla tekniska system så kommer driftstörningar att inträffa. I fallet med AD synkronisering till Azure AD och Office 365 så fungerar det som så att om synkroniseringen inte körs, så kommer Office 365 att köra med de senaste synkroniserade inställningarna. Detta innebär att om du till exempel byter lösenord i ditt lokala AD så kommer du inte att kunna logga in på Office 365 med ditt nya lösenord. Ett annat exempel är om du skulle låsa ett konto i det lokala AD´t så kommer användare fortfarande kunna logga in på Office 365 och komma åt de resurser som han/hon hade tillgång till vid senaste synkroniseringen.

Det är därför viktigt att ha kontroll på att synkroniseringen fungerar som man förväntar sig och är du orolig att obehöriga har tillgång till resurser de inte ska så dubbelkolla att inställningarna slagit korrekt både i ert lokala AD och i molnet.


OBS! All information i denna text är aktuell vid datumet då texten publicerats, och även om detta är så det har fungerat under ett par år så hoppas vi att Microsoft kommer ge lättare möjligheter att styra dessa inställningar i framtiden.


Text: Alexander Fjellström, Konsult hos CGit.

Det allra senaste från oss

Här finns mer att läsa om