Migrera bort från de gamla MFA och SSPR-inställningar i Azure!

Publicerad 8 juni 2023 i Advitum Svarar, Blogginlägg
Ulf Lundh, Lösningsarkitekt hos Advitum

I slutet av september 2024 så kommer den gamla MFA-portalen samt SSPR-inställningarna att flytta till den nya “Authentication methods” (eller Autentiseringsmetoder) -inställningen i Azure. Det innebär att de gamla inställningarna inte längre kommer att fungera och man behöver börja använda den nya portalen för MFA och SSPR (Self Service Password Reset, tjänsten som gör att användarna själva kan återställa sitt lösenord i Azure AD). Vid detta datum kommer Microsoft flytta alla till den nya portalen,det är därför viktigt att man planerar och migrerar sina inställningar i tid. 

Vad är då den gamla MFA-portalen, och vad är det jag behöver migrera? Advitum guidar!I den här bloggposten kommer jag att visa hur man migrerar från de äldre MFA- och SSPR-inställningarna i Azure AD till den nya policyinställningen för autentiseringsmetoder. Genom att flytta till den nya policyn för autentiseringsmetoder i Azure AD kommer du inte längre behöva hantera MFA- och SSPR-inställningar från flera olika ställen. Jag kommer att använda mig av engelska menyer och termer då det är underlättar vid felsökning samt när man tar del av Microsofts dokumentation. För att byta språk i Azure-portalen klickar du på kugghjulet högst upp till höger och sedan språk+region. 

Granska dina befintliga MFA-inställnngar

Vi måste först granska våra nuvarande MFA-inställningar i den gamla MFA-portalen och dokumentera vilka inställningar som i nuläget är aktiverade för vår tenant.
Börja med att gå till Azure-portalen (https://portal.azure.com),logga in med ett konto som har behörigheten Global Administrator och klicka på 
Azure Active Directory sedan Users och sedan Per-user MFA

Klicka här på service settings

Notera här under verifications options vilka alternativ ni använder er av

Använder ni er av Trusted IPs på denna sida behöver ni flytta dessa till Named Locations i Conditional Access

Om ni använder funktionen att erbjuda användaren att spara MFA-inloggningar på användarnas enheter, överväg att flytta denna funktion till Conditional Access istället, då även denna funktion kommer att försvinna;

Granska din befintliga SSPR-policy

Vi behöver dessutom granska den policy som vi har för SSPR . (Använder ni inte SSPR kan ni hoppa över detta steget.)
Börja med att gå till Azure-portalen (https://portal.azure.com) och klicka på 
Azure Active Directory sedan Password reset 
Notera vilka grupper (eller alla) som ni har aktiverat för SSPR

Klicka sedan på Authentication methods
Notera vilka autentiseringsmetoder ni har aktiverat för SSPR.

Börja migreringen till policyn för autentiseringsmetoder

När du har granskat befintliga MFA och SSPR-inställningar kan du påbörja migreringen till 

nya policyinställningen för autentiseringsmetoder. 

Börja med att gå till Azure-portalen (https://portal.azure.com),logga in med ett konto som har behörigheten Global Administrator alternativt Authentication Policy Administrator

och klicka på Azure Active Directory sedan Security.


Klicka därefter på Authentications methods

Här finns alla de MFA-alternativ som ni kan använda er av och det är hit alla gamla inställningar kommer att flytta september 2024.  

De autentiseringsmetoder ni noterade i tidigare steg behöver aktiveras enligt era önskemål. Vill ni inte göra några förändringar kan man aktivera samma alternativ som tidigare.

Ovanför alternativen finns en länk som heter “Manage migration”. 

Denna används för att ni ska kunna påbörja migreringen och har tre lägen;

Pre-migration (Före migrering)

I detta läge används inställningarna enbart för MFA, både i Legacy MFA-portalen och på den nya portalen. SSPR-inställningar sker fortfarande separat i SSPR-inställningarna. 
Detta läge står alla i om man inte aktivt gjort valet att påbörja migreringen.

Migration in progress (Migrering pågår)

I detta läge används både MFA- och SSPR-inställningarna från denna nya portalen. Man slutar alltså att använda inställningarna från SSPR. Inställningar från Legacy-MFA tas fortfarande i beaktning.  Notera att du alltid kan ändra migreringsinställningen tillbaka till “Pre-migration” om så skulle behövas. 

Migration complete (Migreringen har slutförts)

I detta läge används enbart den nya policyinställningen för autentiseringsmetoder. För att aktivera detta läge behöver man först bocka ur alla metoder från den gamla MFA-portalen. 

När detta läge är aktivt så är migreringen färdig. Notera att du alltid kan ändra migreringsinställningen tillbaka till Migration in progress. Om du vill behålla dina avancerade SSPR-inställningar kan du till och med behålla inställningen tills slutdatumet i september 2024. Det enda alternativet som finns kvar från den gamla portalen när du har slutfört migreringen är säkerhetsfrågorna i SSPR portal.

Min rekommendation är att man aktiverar Migration in progress och därefter inaktiverar samt verifierar metod för metod i kontrollerade steg. Exempelvis, vill ni migrera över SMS till nya autentiseringsmetoder-portalen verifierar ni först att den är aktiv här, sedan inaktiverar den i gamla MFA-portalen och sist verifierar att det fungerar som ni önskar. 

Notera att engångs-koder numera är uppdelade i två olika alternativ; Microsoft Authenticator samt OATH-token för programvara från tredje part. Det innebär att man kan tillåta Microsoft Authenticator samtidigt som man blockerar tredje-parts autentiseringsappar (som t.ex Google Authenticator, Authy etc). 

Har du fler frågor gällande MFA och SSPR-inställningar i Azure så tveka inte att höra av dig till oss!

Robert Kitanovski

070-681 20 29

robert.kitanovski@advitum.se

Tillbaka

Prenumerera på Advitums nyhetsbrev

Om du väljer att prenumerera på vårt nyhetsbrev kommer du att erhålla information om vad som händer på Advitum, våra utbildningar och kundevent, nyttiga blogginlägg och viktiga produktnyheter. Självklart kan du säga upp din prenumeration med en enkel knapptryckning.