Ikke bruk husket MFA-enhet som sikkerhetsstrategi

Problemet

En liten innstilling kan svekke et ellers godt MFA-oppsett.

I Microsoft Entra ID finnes det fortsatt miljøer der brukere kan huske multifaktorautentisering på en «trusted device». Tanken er forståelig: færre MFA-varsler, mindre friksjon og færre henvendelser til brukerstøtte.

Men sett fra et admin-perspektiv er dette egentlig ikke en fullverdig modell for enhetstillit. Det er mer en bekvemmelighetsfunksjon for økter. Hvis enheten er delt, ikke administrert, stjålet eller brukt fra en mer risikabel situasjon, kan husket MFA redusere verdien av neste innloggingskontroll.

LinkedIn-lenken jeg sjekket pekte til en artikkel om å deaktivere husket MFA på trusted devices. Temaet er verdt å skrive om, men den viktigste lærdommen er denne:

Reduksjon av MFA-prompts bør styres med Conditional Access og øktpolicy, ikke med gamle tenant-brede bekvemmelighetsvalg.

Miljø

Dette gjelder Microsoft Entra ID-miljøer som bruker MFA og Conditional Access.

Typiske miljøer hvor dette er relevant:

• hybrid eller skybasert Microsoft 365;
• skoler, kommuner og distribuerte organisasjoner;
• brukere som bytter mellom administrerte og ikke-administrerte enheter;
• administratorer som prøver å balansere sikkerhet og prompt fatigue.

Hva jeg ville sjekket først

Først ville jeg sjekket om tenant fortsatt tillater at brukere husker MFA på enheter.

I Microsoft Entra admin center bør man se på:

1. Protection > Multifactor authentication > Additional cloud-based multifactor authentication settings.
2. Innstillingen for å huske multifaktorautentisering på trusted devices.
3. Conditional Access-policyer som allerede styrer sign-in frequency eller persistent browser sessions.
4. Sign-in logs for gjentatte prompts, risikable innlogginger og bruk fra ikke-administrerte enheter.

Poenget er å ikke endre en brukermerket autentiseringsinnstilling uten først å forstå hvordan dagens økter og prompts faktisk styres.

Beslutningen

Jeg ville ikke brukt husket MFA-enhet som hovedmetode for å redusere prompts.

En bedre modell er:

• bruk Conditional Access til å styre når økter kan være vedvarende;
• bruk sign-in frequency til å styre når brukeren må autentisere på nytt;
• bruk device compliance eller hybrid join når enhetstillit faktisk betyr noe;
• bruk risikosignaler der det er tilgjengelig;
• hold nød-/break-glass-kontoer utenfor vanlige brukerpolicyer.

Dette gir mer kontroll enn en bred remembered-device-innstilling.

Løsningen

En trygg utrulling kan se slik ut:

1. Gå gjennom dagens MFA remember-device-innstilling.
2. Finn hvilke brukere eller grupper som påvirkes.
3. Gå gjennom eksisterende Conditional Access session controls.
4. Opprett eller juster en Conditional Access-policy for øktlevetid.
5. Pilotér med en liten gruppe.
6. Følg med på sign-in logs og tilbakemeldinger fra brukerstøtte.
7. Deaktiver husket MFA på trusted devices hvis Conditional Access dekker brukeropplevelsen godt nok.

I Conditional Access er to kontroller spesielt relevante:

• Sign-in frequency — hvor ofte brukeren må gjøre en interaktiv innlogging på nytt.
• Persistent browser session — om nettleserøkten kan være vedvarende etter at nettleseren lukkes og åpnes igjen.

Hva som blir bedre

Poenget er ikke å gi brukerne flere prompts.

Poenget er at prompts blir styrt av policy.

I stedet for å stole på en remembered MFA-avkrysning, kan administratorer si:

• administrerte enheter kan få en smidigere opplevelse;
• ikke-administrerte enheter kan utfordres oftere;
• risikable økter kan avbrytes;
• sensitive apper kan ha strengere øktkontroll;
• endringer kan piloteres, måles og rulles tilbake.

Det er lettere å forklare og lettere å revidere.

Hva du bør passe på

Ikke deaktiver husket MFA globalt uten å vurdere brukeropplevelsen.

Se spesielt etter:

• flere MFA-prompts etter endringen;
• delte enheter;
• nettleserøkter i Edge, Chrome og mobilapper;
• unntak for break-glass-kontoer;
• servicekontoer eller eldre autentiseringsavhengigheter;
• konflikter mellom flere Conditional Access-policyer.

Husk også at dette ikke erstatter device compliance. Hvis sikkerhetsbeslutningen avhenger av om enheten er administrert, bør enhetstilstand brukes i Conditional Access.

Relaterte lenker

• Configure authentication session management with Conditional Access
• Configure Microsoft Entra multifactor authentication settings
• How Microsoft Entra multifactor authentication works

Siste tanke

Husket MFA på enheter er praktisk, men praktisk bør ikke bli selve sikkerhetsmodellen.

For de fleste moderne Microsoft 365-miljøer er Conditional Access session controls et bedre sted å styre denne balansen.