El camino de un ITPro » Azure » Azure Stack » AzureAD » Seguridad

Category Archives: AzureAD

Azure Azure Stack AzureAD Seguridad

Como crear tu rol RBAC personalizado para Azure.

Published by:

Buenos dias,

Hace poco en una visita a un buen cliente me comentó que determinados usuarios eran capaces de gestionar las máquinas virtuales que tenia en producción, reiniciarlas, cambiarlas el tamaño, etc., asi como trastear con las bases de datos de Azure SQL, y realmente nos dimos cuenta que un usuario con un rol administrativo, que solo se tenia que encargar de gestionar los servicios IaaS y PaaS,  podria darse la casualidad de que accediese al contenido de una base de datos.

En ese momento nos surgió la duda sobre qué permisos tenia asignados ese usuario en concreto y cuales eran los permisos que realmente tenia que tener, una situación algo mas habitual de lo que pensamos.

Azure Active Directory, desde que estamos en ARM (v2 de Azure), disponemos de toda la potencia del Control de Acceso basado en Roles, vamos lo que conocemos por RBAC y, en el caso de no encontrar un Rol creado por defecto con las caracterísitcas que necesitamos pues …….. lo creamos y personalizamos……. sin olvidarnos de las premisas ya aprendias de los principios básicos de «minimos privilegios»

¿Que tareas y accesos necesitamos que tenga nuestro usuario administrador de PaaS e IaaS?

  • Poder apagar, reiniciar, VMs,
  • Realizar un Resizing de IaaS.
  • Gestionar las copias de seguridad de las mismas.
  • Gestionar los Servidores de Azure SQL.
  • Gestión de las bases de datos de Azure SQL
  • No tener acceso al contenido de las bases de datos de Azure SQL.
  • …..

Estos roles se pueden asociar tanto a usuarios como a grupos, recordar, siempre mejor asignar roles a grupos y posteriormante incluir al usuario dentro del grupo, Best Practices. Ademas, podemos aplicar estos privilegios de acceso tanto a nivel de la suscripción como a nivel de Grupos de Recursos, lo que se conoce como ámbito de aplicación.  Un detalle a tener en cuenta es que la aplicación de estos privilegios conlleva a la suma de los mismos, en el caso de que haya múltiples pertenencias a grupos.

Hay que decir que tenemos muchos roles RBAC predefinidos que, probablemente, cumplan con nuestras necesidades, para muestra un boton ….

Podemos sacar un listado de ellos con el siguiente cmdlet:
# Listar roles RBAC
Get-AzureRmRoleDefinition | Format-Table Name, Description
Ademas, podemos ver las características de los roles que, en principio, se acercan a cubrir nuestras necesidades:
Get-AzureRmRoleDefinition «Virtual Machine Contributor»
Get-AzureRmRoleDefinition «SQL Server Contributor»

Creación del rol personalizado.

Lo hacemos via Powershell, ese gran amigo. Como primer paso tenemos que definir tanto el Nombre del rol personalizado, Descirpción del mismo, Actions, NotActions y, muy importante, ámbitro de aplicación del rol a traves de la generación de un fichero .json, que, para nuestro ejemplo, denominaremos JordiCustomRBACAzureADRole.json
{
«Name»: «Jordi custom Role»,
«Id»: null,
«IsCustom»: true,
«Description»: «Lets you manage virtual machines, but not access to them, and not the virtual network or storage account they’re connected to, and Lets you manage SQL servers and databases, but not access to them, and not their security -related policies.»,
«Actions»: [
«Microsoft.Authorization/*/read»,
«Microsoft.Compute/availabilitySets/*»,
«Microsoft.Compute/locations/*»,
«Microsoft.Compute/virtualMachines/*»,
«Microsoft.Compute/virtualMachineScaleSets/*»,
«Microsoft.DevTestLab/schedules/*»,
«Microsoft.Insights/alertRules/*»,
«Microsoft.Network/applicationGateways/backendAddressPools/join/action»,
«Microsoft.Network/loadBalancers/backendAddressPools/join/action»,
«Microsoft.Network/loadBalancers/inboundNatPools/join/action»,
«Microsoft.Network/loadBalancers/inboundNatRules/join/action»,
«Microsoft.Network/loadBalancers/probes/join/action»,
«Microsoft.Network/loadBalancers/read»,
«Microsoft.Network/locations/*»,
«Microsoft.Network/networkInterfaces/*»,
«Microsoft.Network/networkSecurityGroups/join/action»,
«Microsoft.Network/networkSecurityGroups/read»,
«Microsoft.Network/publicIPAddresses/join/action»,
«Microsoft.Network/publicIPAddresses/read»,
«Microsoft.Network/virtualNetworks/read»,
«Microsoft.Network/virtualNetworks/subnets/join/action»,
«Microsoft.RecoveryServices/locations/*»,
«Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/protectedItems/*/read»,
«Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/protectedItems/read»,
«Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/protectedItems/write»,
«Microsoft.RecoveryServices/Vaults/backupFabrics/backupProtectionIntent/write»,
«Microsoft.RecoveryServices/Vaults/backupPolicies/read»,
«Microsoft.RecoveryServices/Vaults/backupPolicies/write»,
«Microsoft.RecoveryServices/Vaults/read»,
«Microsoft.RecoveryServices/Vaults/usages/read»,
«Microsoft.RecoveryServices/Vaults/write»,
«Microsoft.ResourceHealth/availabilityStatuses/read»,
«Microsoft.Resources/deployments/*»,
«Microsoft.Resources/subscriptions/resourceGroups/read»,
«Microsoft.Sql/locations/*/read»,
«Microsoft.Sql/servers/*»,
«Microsoft.Storage/storageAccounts/listKeys/action»,
«Microsoft.Storage/storageAccounts/read»,
«Microsoft.Support/*»
],
«NotActions»: [
«Microsoft.Sql/servers/auditingPolicies/*»,
«Microsoft.Sql/servers/auditingSettings/*»,
«Microsoft.Sql/servers/databases/auditingPolicies/*»,
«Microsoft.Sql/servers/databases/auditingSettings/*»,
«Microsoft.Sql/servers/databases/auditRecords/read»,
«Microsoft.Sql/servers/databases/connectionPolicies/*»,
«Microsoft.Sql/servers/databases/dataMaskingPolicies/*»,
«Microsoft.Sql/servers/databases/extendedAuditingSettings/*»,
«Microsoft.Sql/servers/databases/schemas/tables/columns/sensitivityLabels/*»,
«Microsoft.Sql/servers/databases/securityAlertPolicies/*»,
«Microsoft.Sql/servers/databases/securityMetrics/*»,
«Microsoft.Sql/servers/databases/sensitivityLabels/*»,
«Microsoft.Sql/servers/databases/vulnerabilityAssessments/*»,
«Microsoft.Sql/servers/databases/vulnerabilityAssessmentScans/*»,
«Microsoft.Sql/servers/databases/vulnerabilityAssessmentSettings/*»,
«Microsoft.Sql/servers/extendedAuditingSettings/*»,
«Microsoft.Sql/servers/securityAlertPolicies/*»
],
«DataActions»: [
],
«NotDataActions»: [
],
«AssignableScopes»: [
«/subscriptions/XXXX-xxxx-XXXXX-xxxxx/resourceGroups/Desktops«
]
En el he tratado de recoger todas las tareas a realizar por nuestro rol personalizado «Jordi» a nivel Iaas sobre las máquinas virtuales asi como PaaS, nuestros servidores y bases de datos Azure SQL.

Aplicación del Rol personalizado.

En el paso anterior solo hemos definido el rol, ahora vamos a crearlo y aplicarlo al ámbito deseado ¿cómo? lo mas facil, a través de la aplicación del siguiente cmdlet:

Comprobación de la creación del rol personalizado

Como últimos pasos, primero vamos a comprobar que el rol se ha creado en Azure, que com podeis ver, tiene un icono distinto al resto de los precreados:
Y, segundo, la comprobación de que realmente nuestro usuario Jordi no puede acceder, por ejemplo a Dynamic Data Masking 😉

Perfecto!!!!! Esto es lo que queriamos!!!!!

Aqui os dejo un video muy interesantes, del gran Paco Sepulveda (@FMSepulveda), tomar nota y apuntaros su Twitter y su gran blog:

Un abrazo,

Roberto

Azure AzureAD

Centro de Administración de Azure Active Directory. Solo para Administradores de Azure AD.

Published by:

Buenos dias,

Hoy, de regalo, una píldora rapidita sobre el Centro de Administracion de Azure Active Directory. Un portal dentro de Azure dedicado a Azure AD.

¿Que podemos gestionar desde este sub portal? Vayamos por partes como dice nuestro buen amigo Jack!

De un simple vistazo en el panel o Dashboard,, totalmente personalizable, a la izquierda tenemos accesos directos a:

En el centro podemos ver …….

  • la versión de nuestro Azure AD, Free, Basico, Premium, de un vistazo
  • acceso directo para personalizar nuestro portal, como ya vimos en este llink.
  • Inicios de sesión de nuestros usuarios.
  • Estado de la sincronización de Azure AD Connect.
  • Links de interes.
  • ……
  • Y todo lo que queramos personalizar, ya que, como he comentado, podemos dejarlo a nuestro gusto 😉

Obviamente, como podeis imaginar, este subportal lo podemos compartir con todos nuestros gestores de Azure AD, facilitándoles el acceso directo a su herramienta de trabajo cotidiana, sin que tengan que ver ni acceder al resto de servicios desplegados en Azure

Lo bueno si es breve …. dos veces bueno.

Que tengais buena semana,

Roberto

Azure AzureAD

7 características de Azure Active Directory que tienes que probar ya!! (2/7): Portal de autoservicio de cambio de contraseña.

Published by:

Buenos dias,

Continuamos viendo estas 7 características que tienes que probar ya! con el “Portal de autoservicio de cambio de contraseña”, también denominado Self Service Portal Reset o SSPR.

Según un estudio sobre el tiempo que se dedica a este tipo de incidencias, en este artículo de SpecOps nos cuenta que por cada 1000 empleados hay que destinar unas 1000 horas por año de personal para el reestablecimiento de las contraseñas, detalle que con esta magnífica característica solucionamos de una manera solvente esta perdida de tiempo y dinero.

Este servicio nos ofrece un medio sencillo con el que los administradores de TI pueden «permitir que los usuarios» restablezcan o desbloqueen sus cuentas o contraseñas. Ademas, disponemos de informes detallados del seguimiento de acceso de los usuarios al sistema, asi como  notificaciones de alerta de posibles abusos o usos indebidos.

Habilitación del portal de autoservicio de restablecimiento de contraseña (SSPR)

Desde Azure Active Directory seleccionaremos Password Reset o Restablecimiento de contraseña.

En el siguiente menu seleccionaremos Propiedades, en Habilitación del portal de autoservicio de restablecimiento de contraseña, nos apareceran las siguientes opciones, donde tendremos que seleccionar una de las tres siguientes:

  • Ninguno: nadie puede usar esta funcionalidad u opción de tener este servicio deshabilitado. Es la opción por defecto.
  • Seleccionado: donde solo los miembros de un grupo de Azure AD determinado que seleccionaremos podrán usar esta funcionalidad. Detalle importante, si se admite el anidamiento de grupos de seguridad. Os recomiendo empezar con un grupo de prueba con muy pocos usuarios y luego cambiarlo o anidarlo por un grupo con el colectivo de usuarios al que queremos desplegar este servicio.
  • Todos: todos los usuarios con cuentas en nuestro Dominio de Azure AD podrán usar la funcionalidad SSPR.

No hay que olvidar que en cualquier momento un administrador puede resetear la contraseña de cualquier usuario, via consola, Powershell, Azure Cli, Para nuestro ejemplo/Prueba de Concepto, vamos a utilizar un grupo denominado SSPR, entones, esta funcionalidad estará disponible para todos aquellos usuarios que pertenezcan a este grupo:

El siguiente parámetro a configurar son los Métodos de autenticación, donde definimos el número de métodos de identificación alternativos que tendran los usuarios de este Directorio de Azure:

  • Número de métodos requeridos para el restablecimiento de contraseña: Solo tenemos 2 opciones, uno como mínimo o dos como máximo. Asunto cerrado.
  • Métodos disponibles para los usuarios: en este caso, con un método nos vale, pero es recomendable tener al menos dos. Basta con hacer un check encima de cada opción:
  • Correo electrónico: se envía un correo electrónico con un código a la dirección de correo electrónico de autenticación configurada del usuario en Azure AD.
  • Teléfono móvil: se recibirá una llamada o un mensaje de texto con un código en su número de teléfono móvil configurado en Azure AD.
  • Teléfono de la oficina: realiza una llamada al número de teléfono de la oficina configurado del usuario.
  • Preguntas de seguridad: En cuanto seleccionais esta opción, nos apaeceran nuevas opciones sobre las preguntas necearias:
    • Número de preguntas necesarias para registrarse: Como veis, esta opción permite definir de tres a cinco preguntas y debe ser mayor o igual que el número de preguntas necesarias para el restablecimiento de la contraseña. El usuario puede agregar preguntas personalizadas..
    • Número de preguntas necesarias para el restablecimiento: Se puede establecerse de tres a cinco preguntas que responder correctamente para permitir restablecer o desbloquear la contraseña.

Autenticación

Con estas opciones, el Portal de Autoservicio de cambio de contraseña ya estaria funcionado, aunque tenemos otras opciones, como, Registro, Notificación, Personalización, etc., que es conveniente configurar :

  • Registro donde proporciona a los administradores las opciones de:
    • Exigir a los usuarios que se registren al iniciar sesión.
    • Establecer el número de días que pasan hasta que se pide a los usuarios que vuelvan a confirmar su información de autenticación.

  • Notificación donde configuramos qué notificaciones llegarán tanto a los usuarios implicados como a los administradores:
    • Notificar a los usuarios el restablecimiento de contraseña.
    • Notificar a todos los administradores cuando otros administradores restablezcan su contraseña.

  • Personalización donde podemos incluir un link o dirección de correo para ponerse en contacto con el departamento de Helpdesk:

  • Password WriteBack donde podemos configurar la integración loca, o que cuando cambies la contraseña en Azure AD se replique a Directorio Activo. Por defecto viene deshabilitado y mas adelante me gustaría dedicar un Post a esta funcionalidad.

Registro en el portal.

Una vez hemos habilitado el portal solo nos queda un último paso y es que los usuarios se registren en el Portal de Autoservicio, concretamente en la Página de registro para actualizar la contraseña y validar que la información contenida en Azure AD para contactar con el usuario es correcta.

Dependiendo de la configuación que hayamos realizado anteriormente, nos puede aparecer la siguiente información para validar:

  • Teléfono del trabajo: solo el administrador puede tener acceso a esta información.
  • Teléfono de autenticación: El usuario tendrá que verificar si ese es su número de teléfono.
  • Correo electrónico de autenticación: Igual que en el punto anterior, en esta opción aparecerá una dirección de correo electrónico alternativa a validar por el usuario.
  • Preguntas de seguridad: si el administrador ha aprobado una lista de preguntas le aparecerán para que las responda.Registre los métodos de autenticación y seleccione Finalizar

Seleccionaremos Finalizar. Ahora ahora si que está completamente configurado nuestro portal SSPR.

Un detalle a tener en cuenta, por motivos obvios de seguridad, es que los datos que el usuario escriba en el número de teléfono o en el correo electrónico de autenticación no serán visibles en el directorio global. Las únicas personas que pueden ver estos datos son el propio usuario y los administradores. Asimismo, solo el propio usuario puede ver las respuestas a las preguntas de seguridad.

Incidencias mas comunes

Las incidencias mas comunes que os podeis encontrar:

Caso de error ¿Qué tipo de error aparece? Solución
Al escribir el identificador de usuario, no lo encuentra y te redirigie a una página donde nos indica «Póngase en contacto con su administrador« Póngase en contacto con el administrador.

Hemos detectado que la contraseña de su cuenta de usuario no está administrada por Microsoft. Como consecuencia, no podemos restablecer automáticamente su contraseña.

Póngase en contacto con el personal de TI para obtener ayuda adicional.

 Si estas viendo este mensaje es porque el personal de TI administra su contraseña solo en el entorno local y no permite restablecerla desde el servicio SSRP.

Para restablecer la contraseña, habra que ponerse en contacto directamente con el personal de TI..
Después de escribir mi identificador de usuario, recibo el error «Su cuenta no está habilitada para el restablecimiento de contraseña«. La cuenta no está habilitada para restablecer la contraseña.

Su personal de TI no ha configurado la cuenta para utilizarla con este servicio.

Si lo desea, podemos ponernos en contacto con un administrador de su organización para que restablezca la contraseña.

 Si aparece este mensaje, es que el personal de TI no ha habilitado el servicio SSRP para su organización o bien no le han autorizado para usar la característica.

Para restablecer la contraseña, seleccione el vínculo Póngase en contacto con un administrador. Se enviará un correo electrónico al personal de TI de su empresa. .
Después de escribir mi identificador de usuario, recibo el error «No se pudo comprobar su cuenta«. No se ha podido comprobar su cuenta.

Si lo desea, podemos ponernos en contacto con un administrador de su organización para que restablezca la contraseña.

 Si un usuario ve este mensaje, es que está habilitado para usar el restablecimiento de contraseña, pero no se ha registrado para usar el servicio. Por lo tanto, dicho usuario tendra que registrarse para el restablecimiento de contraseña en el siguiente link: página de registro de restablecimiento de contraseña, obviamente, después de haber recuperado el acceso a su cuenta.

Deshabilitación del Portal de autoservicio de restablecimiento de contraseña

Como ya hemos comenado al principio, para deshabilitar el portal de autoservicio de restablecimiento de contraseña iremos a Restablecimiento de contraseña > Propiedades y seleccione Ninguno.

Para terminar, os dejo con este video resumen muy ilustrativo:

Que tengais una gran semana, la última de Mayo, ya llega el verano!!!

Un abrazo,

Roberto

Azure AzureAD

7 características de Azure Active Directory que tienes que probar ya!! (1/7): Personalización con la marca empresarial en el inicio de sesión.

Published by:

Buenos dias,

Empezamos viendo estas 7 características que tienes que probar ya! con la «Personalización con nuestra marca empresarial» (1/7), en el proceso de inicio de sesión.

La aplicación de esta característiaca realizará un cambio en la página de inicio de sesión a todos los servicios que gestiona Azure Active Directory como proveedor de Identidades, tanto en Azure como en Office 365, incluyendo logotipo de la empresa, colores personalizados, etc.

Personalización o Branding

Accedemos a Azure, vamos a Azure Active Directory y dentro de todas las opciones que nos proporciona seleccionamos Company Branding:

Inicialmente nos aporta información sobre el «Estado» o Status de esta característica, si está configurado o no, asi como la posibilidad de realizar una configuración regional dependiendo desde donde accedas a Azure AD, Ingles, Castellano, Portugues, …

Tenemos 2 opciones: Editar y Añadir nuevo lenguaje

Editar

Modificaremos los parámetros establecidos por defecto siguiendo las indicaciones sobre los tamaños y formatos de las imágenes para conseguir el resultado deseado:

La información de los formatos y tamaños recomendados y máximos son los siguientes, pero, como podeis ver, están totalmente accesibles en cada uno de los parámetros a modificar

Detalles a tener en cuenta:

  • En las pantallas estrechas, como las de teléfonos móviles, no se muestra esta imagen.
  • Se aplica una máscara gruesa con una opacidad de 0,55 sobre esta imagen al cargarse la página.
  • Mantener el tamaño de archivo pequeño para garantizar tiempos de carga rápidos.
  • El formulario de inicio de sesión es opaco y apareacerá sobre el centro de esta imagen, pudiendo cubrir cualquier parte de la imagen según el tamaño de la ventana del explorador.

2 Logotipo del banner.- Este logotipo se muestra en las páginas de inicio de sesión asi como en el panel de acceso. Dicho logotipo se mostrará una vez se haya insertado el nombre del usuario, no antes.

Detalles a tener en cuenta:

  • Se recomienda utilizar el logotipo de su organización. La mejor opción es una imagen transparente, en formato PNG.
  • Asimismo se recomiendo no agregar alrededor de dicho logitipo ningún relleno ya que se verá muy pequeño. Tampoco hay que dar por sentadado que el fondo será de color blanco.

3 Sugerencia de nombre de usuario.- Podremos sugerir el formato del usuario y dominio.

4 Texto de la página de inicio de sesión.– Este texto está ubicado al final de la página de inicio de sesión y cuando tratas de unir un equipo al dominio de Azure AD.

Utilizaremos este texto para dar insturcciones, sugerencias, etc.,  Teniendo un máximo de 256 caracteres.

5 Configuración avanzada.- Tenemos varios parámetros adicionales a configurar:

  • Color de fondo de la página de inicio.- RGB en formato hexadecimal, vamos #FEFEFE
  • Imagenes del logotipo en tema oscuro y tema claro.
  • Mostrar la opción de mantener la sesión iniciada

Una vez hemos configurado la personalización, salvamos y …. ya tendriamos nuestra personalización terminada. Valga como ejemplo la de nuestro Tenant de pruebas:

Chula!!!! ¿verdad? Moooooola!

Nuevo idioma

Con esta opción podremos añadir tantos idiomas como necesitemos para que nuestros usuarios tengan su página de inicio en su lengua. A través de un combo, seleccionaremos el idiioma y configuraremos al igual que en el punto anterior todos los parámetros.

La semana que viene continuaremos con «Portal de Autoservicio de cambio de contraseña» (2/7) de Azure Active Directory

Buena sema y/o puentes para aquellos que habeis sido premiados.

Un abrazo,

Roberto

Azure AzureAD Directorio Activo

7 características de Azure Active Directory que tienes que probar ya!! Introducción.

Published by:

Buenos dias,

Tenia ganas de compartir con vosotros el potencial y las principales características de Azure Active Directory (Azure AD), sobre todo hablaros de aquellas 7 mas desconocidas que nos aportaran grandes mejoras, reducciones en tiempo de gestión, seguridad, etc., 😉

¿Qué es Microsoft Azure AD?

En el Technet se define Azure Active Directory (Azure AD) como el directorio basado en la nube multi inquilino (multi-Tenant), el servicio de administración de identidades de Microsoft. Azure AD combina múltiples funcionalidades, como servicios de directorio fundamentales, de gobierno avanzado de identidad y de administración del acceso a las aplicaciones. Asimismo, ofrece también una plataforma muy completa basada en estándares que permite a los desarrolladores proporcionar control de acceso a sus aplicaciones, en función de una directiva asi como reglas centralizadas.

Por un lado, para los administradores de TI, proporciona una solución asequible y fácil de usar para dar a los empleados y asociados comerciales acceso de inicio de sesión único (SSO) a miles de aplicaciones SaaS en la nube como Office365, Salesforce, Concur, Dynamics, etc.

Por otro, para los desarrolladores de aplicaciones, permite al usuario centrarse en la creación de su aplicación facilitando y acelerando la integración de la misma con una solución de administración de identidades de clase mundial usada por millones de organizaciones de todo el mundo.

Y a mi, entre otras cosas, compartir este tiempo y conocimiento con vosotros.

Los 7 Samurais.

Parasafreando a Akira Kurosawa, y despues de la teoría, os relato las 7 funcionalidades de las que vamos a hablar durante los próximos meses:

  1. Personalización con la marca empresarial en el inicio de sesión.
  2. Portal de Autoservicio de cambio de contraseña.
  3. Privileged Identity Management [PIM].
  4. 2FA
  5. Acceso condicional basado en caracteristicas de inicio de sesión.
  6. B2B Collaboration/B2C Collaboration
  7. Identity Protection.

Espero que os gusten, aprendais mucho y las apliqueis en vuestros Directorios de Azure. No os lo perdais.

Buen fin de semana

Roberto