Microsoft365 je lepeza alata koju Microsoft nudi poslovnim korisnicima. Od email servisa, upravljanje dokumentima i poslovnim podacima. Administratori također imaju na raspolaganju puno alata za borbu protiv nametnika.
Već znamo za termine poput Multi factor authentication (MFA) ili Two factor authentication (2FA), te se zaista nadam da koristite neku aplikaciju za više stupanjsku autorizaciju, kao što je Microsoft Authenticator o kojoj sam pisao ranije. Sve s ciljem da povećamo svoju sigurnost prilikom prijave na Microsoft365 servis, bilo da je riječ o običnom korisniku ili administratoru.
Ovdje ćemo to dignuti na još viši nivo sigurnosti, izbjeći korištenje upisivanja lozinke i koristiti elektroničku osobnu iskaznicu, točnije certifikat na njoj.
Prijava u sustav Microsoft365 korištenjem elektroničke osobne iskaznice je prijava bez korištenja lozinke (tzv. Passwordless authentication) i poželjna iz više razloga; nitko ne može kamerom snimati koje tipke koristite, a nijedan keylogger ne može ništa zabilježiti.
Kad kažem „Microsoft365“, mislim na sve servise koji se nalaze unutra, kao što su Outlook, Office, Entra (ex Azure), jer je sve to ista prijava. Svakako treba ojačati sigurnost prijave osobama koje imaju Global Admin rolu nas sustavu!
Idemo vidjeti kako složiti da se u Microsoft365 možemo prijaviti korištenjem elektroničke osobne iskaznice …
Da bi ovo sve radilo, potrebno je imati nekoliko preduvjeta:
- Imati Global Admin rolu za svoje Microsoft365 okruženje
- Imati čitač pametnih kartica
- Imati aktiviranu elektroničku osobnu iskaznicu
Ovo sam radio na Windows 11 23H2, u Edge pretraživaču, a u biti bi sve trebalo raditi na bilo kojem sustavu sve dok sustav prepoznaje čitač pametnih kartica i može doći do certifikata na osobnoj iskaznici.
Ubacivanje root certifikata u sustav
Krećemo s ubacivanjem root certifikata od osobne iskaznice. Oni će nam služiti za provjeru valjanosti prijave.
Ti certifikati se već nalaze u Windows sustavu na kojem se aktivirala osobna iskaznica (i gdje je instaliran Middleware softver za eOI), stoga ne treba puno lutati već samo napraviti Export.
- Otići u Control Panel > Internet Options.
- U novootvorenom prozoru, otići na tab Content, zatim na Certificates.
- U tabu Trusted Root Certification Authorities pronaći certifikat koji se zove AKDCA Root, označiti ga i kliknuti dolje na Export.
- U prozoru za Export ostaviti sve na default postavkama i proći kroz sve samo klikanjem na Next (odabrati neku putanju za spremanje certifikata, jer će nam to trebati kasnije).
- Kad je Export gotov, ostajemo i dalje u prozoru Certificates, ali sad idemo u tab Intermediate Certification Authorities.
- Pronaći certifikat HRIDCA i napraviti Export za njega na isti način kao ranije u koraku 4 gore.
Imamo sad oba certifikata koja se mogu ubaciti u Microsoft365.
- Otići na Microsoft Entra > Protection > Security Center (ako nije odmah vidljivo, kliknuti na opciju Show more) > Certificate authorities.
- Kliknuti na Upload, odabrati prvi certifikat (AKDCA) i za njega označiti da je root CA.
Link za Certificate Revocation List se može pronaći na eOI stranicama.
Za AKDCA certifikat on glasi: http://crl1.eid.hr/akdcaroot.crl
Klik na Add da se doda certifikat. - Idemo opet na Upload, ovaj put odabrati HRIDCA certifikat, ne staviti da je root CA.
Certificate Revocation List za ovaj certifikat glasi: http://crl1.eid.hr/hridca.crl
Klik na Add da se doda certifikat.
U konačnici to izgleda ovako:
Ubacivanje certifikata za korisnika
Cilj ovakvog načina prijave je da se samo osoba sa svojom osobnom iskaznicom može prijaviti u svoj profil. Logično, zar ne?
Ne želimo da netko s osobnom iskaznicom može ući u više profila. Onda se gubi poanta svega.
Stoga sada moramo ubaciti podatke s osobne iskaznice od korisnika u Microsoft365 korisnički profil za tog korisnika.
Za to će nam biti potrebna tri podatka:
- Subject Key Identifiers (SKI) – jedinstveni broj na certifikatu
- Issuer – tko je izdao certifikat
- Serial Number – serijski broj certifikata
Ova tri atributa se smatraju visoko sigurnim (high-affinity).
Podaci na temelju korisničkog imena i email adrese se smatraju manje sigurnim (low-affinity), zato te podatke u ovoj priči nećemo uopće koristiti.
1. Naći svoj SKI broj:
- Staviti osobnu iskaznicu u čitač (ako kartica nije u čitaču, certifikat neće biti prikazan)
- Otići u Control Panel > Internet Options.
U novootvorenom prozoru, otići na tab Content, zatim na Certificates. - Pod tabom Perosnal bit će više certifikata, ali nama treba onaj koji za namjenu ima Client Authentication.
- Klikom na View tog certifikata, otići na Details i naći gdje piše Subject Key Identifier.
Broj koji je tu naveden, njega kopirati – to je naš osobni SKI.
2. Naći Issuer i serijski broj
- Podaci se nalazi u istom prozoru od osobnog certifikata gdje smo našli i SKI, samo par redova iznad.
- Issuer će biti u formatu:
CN=HRIDCA, OID.X.X.X.X=VATHR-XXXXXXXX, O=AKD d.o.o. (bez zadnjeg C=HR dijela).
Umjesto „X“ će biti neki brojevi.
3. Imamo sva tri potrebna podataka, dalje ih trebamo složiti u format koji će se staviti u Microsoft365.
U kojem formatu treba koji podatak biti, ima prikazano u tablici od službene dokumentacije.
Kod nas to izgleda ovako:
- Za SKI: X509:<SKI>XXXXXXXXXXXXXX
- Za IssuerAndSerialNumber:
X509:<I>CN=HRIDCA, OID.X.X.X.X=VATHR-XXXXXXXX, O=AKD d.o.o.<SR>XXXXXXXXXXX
Umjesto „X“ ćete staviti svoje vrijednosti koje ste kopirali iz 1. i 2. koraka gore.
4. Idemo natrag u Microsoft Entra
- Otići na Identity > Users > All users
- Odabrati korisnika za kojeg slažemo certifikat i kliknuti na opciju Edit properties u izborniku.
- Ono što nama treba, nalazi se pod Authorization info.
Klik za dodavanje i dodati zapise u formatu koje smo definirali u prethodnom 3. koraku.
- Za kraj kliknuti na Save da se spremi, te još jednom na Save da se spremi profil korisnika.
Ovime smo dodali specifične podatke od korisnikove osobne iskaznice i osigurali da se stavljanjem baš te specifične osobne iskaznice može prijaviti samo ovaj korisnik.
Još nam ostaje za složiti metodu autentikacije pomoću certifikata.
Autentikacija pomoću certifikata
Imamo sve certifikate ubačene u sustav, sad još samo da složimo povezivanje svega tog u jednu cjelinu. Trebamo postaviti pravila koja će povezivati podatke s osobne iskaznice s onim što se nalazi u sustavu.
1. U Microsoft Entra, otići na Protection > Authentication methods > Certificate-based authentication.
2. U prvom tabu uključiti tu opciju (Enable).
Kod konfiguriranja Certificate-based authentication, uvijek će prvo iskočiti upozorenje o modificiranju stvari, jer je ovo ipak osjetljivo.
Ako ste sigurni u svoje akcije, slobodno klik na „I Acknowledge“.
Tek tada se dalje mogu raditi izmjene i spremiti postavke.
3. Otići u drugi tab, Configure.
- Pod Authentication binding, kliknuti na Add rule
- Ovdje staviti kvačice na obje opcije
- S popisa odabrati HRIDCA certifikat
- Za Policy OID navesti verziju koja je navedena u certifikatu (to se može vidjeti u onom koraku kad smo gledali tko je Issuer)
- Authentication strength: Multi-factor
- Affinity binding: High
- Save za spremanje postavki
4. I dalje se nalazimo u tabu Configure,
- Pod Username binding, prvo obrisati sve Low Affinity binding opcije, jer nam to neće trebati. Prilikom provjere certifikata, gledaju se sva pravila, a kako ove Low Affinity nemamo nigdje definirane, takva provjera ne bi prošla. Zato ih treba obrisati.
- Ostaviti SKI opciju, jer je High Affinity i ta nam treba.
- Kliknuti na Add rule i dodati opciju Issuer and serial number.
5. Za kraj kliknuti Save na sve, da se spreme postavke.
Ovako treba biti na kraju
I to je to.
Ako je sve dobro postavljeno, preostaje da vidimo radi li kako treba:
- Staviti osobnu iskaznicu u čitač (ako već nije)
- Otići na prijavu za Microsoft365
- Unijeti svoje korisničko ime
- Ne unositi lozinku, već odabrati opciju ispod Use a certificate or smart card
- S popisa odabrati certifikat od osobne iskaznice (HRIDCA)
- Unijeti identifikacijski PIN od osobne iskaznice
- Nakon par sekundi evo nas unutra, prijavljeni preko osobne iskaznice!
Na početku članka rekao sam kako je prijava u sustav Microsoft365 korištenjem elektroničke osobne iskaznice prijava bez lozinke, što je dobro jer nitko ne može vidjeti lozinku koja se unosi. No kod ove prijave osobnom iskaznicom, moramo unijeti PIN da bi potvrdili prijavu. Postavlja se sad pitanje, zar netko ne može onda snimiti koji PIN unosimo? – Odgovor je: Da. Teoretski može. Ali imajte na umu da čak i da napadač ima naš PIN, još uvijek mora imati i našu osobnu iskaznicu u svom posjedu zbog certifikata.
Napomena: pošto ste tek spremili sve postavke, potrebno je par sekundi da prođe kako bi se sve propagiralo. Stoga ako neće iz prve raditi, izvadite osobnu iskaznicu iz čitača, zatvoriti pretraživač (ili otvoriti InPrivate tab), pa probajte ponovo. Prvo staviti osobnu u čitač, pokrenuti pretraživač i probati login.
Završna riječ
Uspjeli smo napraviti da nam je prijava u sustav Microsoft365 korištenjem elektroničke osobne iskaznice jako sigurna, bilo da je riječ o korisniku ili Global Admin osobi. Sigurnost nikad ne može biti prevelika. Trebamo se boriti protiv loših ljudi koji žele naše podatke, a ovo je jedan od načina kako.
Kod ove metode treba pripaziti na datume isteka certifikata koji su u igri, da ne bi ostali zaključni izvan sustava zato jer certifikat više ne vrijedi. Tako da vodite računa o tome.
Našli smo još jednu namjenu za osobnu iskaznicu, da nije samo za prijavu u eGrađani servis.
Službena Microsoft dokumentacija koju sam koristio i koja detaljnije opisuje cijeli proces prijave s certifikatima:
