What is the Azure AD Pass-through Authentication?

We know that security is very important for IT administrators. In this article, you can find which ADConnect sync tool configuration is the best. I am going to explain what Azure AD Pass-through and Seamless Single Sign-On (SSO) does.

Normally, when you configure ADConnect with “Azure AD Password Hash Synchronization” feature, one copy of on-premise AD users’ passwords (hash values) always send to internet and store in cloud. Beyond this, authentication also happens in cloud.

Azure AD Password Hash Synchronization Process

Some companies don’t permit organizations to send users’ password even in hashed form because of their security and compliance policies. Nowadays security rules are very strict because of GDPR. Azure AD Pass-through authentication allows you to keep passwords on-premise and validate users’ passwords directly against your on-premises AD. Normally, if you want to authenticate users through on-premise you had to install ADFS server to on-premise side. To configure ADFS server in high availability mode you need minimum 4 servers (2 ADFS & 2 Proxy) + OS license + hardware + operational effort to keep the system running. That is why Pass-through authentication, where we don’t use ADFS servers, is a better solution.

How does Pass-through authentication work?

In lay terms when a user tries to

sign-in Office 365 and Azure with on-premises AD password, Microsoft servers encrypt the passwords using a public key and then a user-name and encrypted password wait for validation. Pass-through agent retrieves the user name and encrypted password by making outbound call from your network. Pass-through agent uses https port to receive information. You don’t need to open inbound ports on your firewall.

The agent decrypts the password using a private key that only the agent has access to and tries to validate it against an on-premise active directory. The active directory returns “success” or “failure” result to the agent and the agent forwards it up to Azure AD.

As a result, Azure AD decides to sign-in the service or not.

How to configure Pass-through authentication on ADConnect?

When you run ADConnect setup you should select the sign-on method as “Pass-through authentication” on the interface.

In the second option you can also select “enable single sign-on”. What is the benefit of SSO (Single sign-on)? In fact when you enable SSO in ADConnect , if users’ computers are “domain joined” and already signed-in ad account on domain network, they don’t need to write passwords on sign-in page while they are signing in Azure and Office 365 services. The feature providing users with automatic sign-in Azure AD.

If you have enabled SSO on ADConnect, you need to add Azure AD URL to the users’ Intranet zone settings by using GPO in Active Directory.

1-Browse to User Configuration > Administrative Templates > Windows Components > Internet Explorer > Internet Control Panel > Security Page. Then select “Site to Zone Assignment List”.

Enable the policy, and then enter the following values in the dialog box:

Value name: https://autologon.microsoftazuread-sso.com

Value (Data): 1 indicates the Intranet zone.

It should be as it shown below;

2- Browse to User Configuration > Administrative Templates > Windows Components > Internet Explorer > Internet Control Panel > Security Page > Intranet Zone. Then select “Allow updates to status bar via script”.

Enable the policy settings as it shown below.

Notes:

-If you use firewall or proxy, you have to
allow
*.msappproxy.net URLs over port 443 ,

-Enabling SSO services can take up to 30 minutes ,

Edge browser support is not available.;

-If you disable or re-enable the feature, users will not be able to get single sign-on experience until their cached Kerberos tickets, which are generally valid for 10 hours, have expired.

The feature is free, so you don’t need the paid edition of Azure AD.

To verify the feature:

https://aad.portal.azure.com/

Select Azure Active Directory in the left pane.

Select Azure AD Connect.

Using Resource Group on Azure

In this article, I want to look at what is azure resource group. Firstly, understanding meaning of resource and resource group is important.

Resource is a manageable item that is available through cloud computing. For example, virtual machine, storage account, database, web app… etc. are some of common resources.

Resource Group
can include all the resources for the solution that you want to manage as a group. You should decide how you want to allocate resources to resource groups based on what makes the most sense for your organization.

A resource only belongs in one resource group and a resource group can include resources where reside in different regions. Also you can add or remove a resource to a resource group at any time. A resource group can be used to scope access control for administrative actions. You can migrate a resource between resource groups. Resources can interact between each other in different resource groups. This interaction is common when the two resources are related but do not share the same lifecycle. For example, web apps connecting to a database.

Before you create storage accounts, networks or VMs etc. , You should create the resource groups first. If you don’t create resource group, It will created automatically by Azure. When it created resource group, the name will assign randomly and that are very hard to understand what are they. So this is an unadvisable option because of complication. You should use meaningful name to easy management.

When you place your resources in a same resource group, they will start to share a common lifecyle. That is to say, they will be created together, they will run together using some kind of common function and they will be deleted together. You should be carefull when you selected a resource group. Because your every action will affect all resources such as deleting in related resource group.

You can plan out your resource groups as a heterogeneous or homogenous. If you have several different type of resource as a virtual networks, virtual machine, web apps etc. , you called it “heterogenous resource group”. For having homogenous, you should have your all virtual network in one, all virtual machine in one etc.

One of features is RBAC in resource group. RBAC ( Role-Based Access Control ) is a system that provides fine-grained access management of resources in Azure. You can manage users on resources groups what users need to perform their jobs. Instead of giving all users limitless permissions in your Azure subscription or resources, you can permit only particular actions at a specify scope.

How to Create A Resource Group

You can follow steps below to create a resource group.

Firstly, select the “Resource Group” left side on Azure Portal.

After that, click “Add” like below.

Write your meaningful name for Resource Group. If you have more subscription, you should choose a subscription where you want to placed your resource group. The resource group has to reside in a region. So, choose your region and create it.

You have to provide a location for resource group when deploy a resource group. Because, you indicate a location for the resource group accutually you stored metadata there. So you should make sure that your data is stored in a specific region.

You can see detail of Monitoring and Billing. Firstly, You should click “Resource Group” left side In Azure Portal. After that, choose your related resource group in resource groups. You will see options to choose left side again. Select “Resource Cost” under settings and you will reach your resources cost like below.

Office 365 Self Service Password Reset (SSPR) Nedir. Nasıl Kullanılır

Office 365 Self Service Password Reset (SSPR), hizmeti BT uzmanlarına kullanıcı yönetim konusunu biraz da olsa kolaylaştırmaya yarayan bir kullanıcı parola yönetim hizmetidir.

Şirket içindeki bir kullanıcı parolasını unuttuğunda sistem yöneticisi ile iletişim kurması ve sistem yöneticinin de bu kullanıcıya destek olması neredeyse 15-20 dakika, çalışma ortamına göre bilemediniz 30 dakikayı bulduğunu söyleyebiliriz. Bu kadar basit bir işlemi BT yöneticileri değil de son kullanıcı tarafından sağlanması BT yöneticilerin performansını kim bilir ne kadar etkileyecektir. Böylelikle son kullanıcı şifre güvenliğini de bir kat daha arttırabiliriz.

Hiç vakit kaybetmeden bu hizmeti nasıl aktif edeceğimizi sizlere adım adım anlatmak isterim. İlk olarak office 365 genel yönetici hesabını kullanarak Azure Portalına giriş yapın.Office 365 yönetim merkezi altında Azure AD yönetim butonunu göreceksiniz.



Azure AD yönetimine tıkladığınızda, Sol taraftaki Azure Portalındaki seçenekler listesinden Azure Active Directory seçeneğini bulun ve seçin.



Azure Active Directory üzerine geldiğinizde sağ kısımda açılan pencerede Password Resetlinkini göreceksiniz.



Daha sonrasında açılan sayfada ise Self Service Password Reset hizmetini isterseniz belirli kullanıcılarda aktif edebilirsiniz, isterseniz de tüm kullanıcılarda da aktif edilebilir. Tüm kullanıcılarda aktif edip, kaydediyorum.



Kimlik doğrulama yöntemleri bölümünde ise kullanıcılarda E-mail, Mobile phone, Office phone ve Security questions gibi yöntemleri kullanarak şifre değişiklikleri gerçekleştirilebilir.


Kimlik doğrulama yöntemleri;

  1. E-posta, kullanıcının yapılandırılmış kimlik doğrulama e-posta adresine kod içeren bir e-posta gönderir

  2. Cep Telefonu, kullanıcıya yapılandırılmış cep telefonu numarasına kod içeren bir çağrı veya kısa mesaj alma seçeneği sunar

  3. İş Telefonu, kullanıcıya yapılandırılmış iş telefonuna kod içeren bir çağrı alma seçeneği sunar

  4. Güvenlik Soruları arasından seçimler yapılır;

  • Kaydolmak için gerekli soru sayısı: Kullanıcının seçim yapabileceği bir soru havuzu oluşturmak üzere daha fazla yanıt vermeyi seçebileceği anlamına gelir. Bu seçenek, 3-5 aralığında ayarlanabilir ve sıfırlamak için gereken soru sayısına eşit veya daha büyük olmalıdır.

  • Güvenlik soruları eklenirken “Özel” düğmesine tıklanarak özel sorular eklenebilir

  • Sıfırlamak için gereken soru sayısı: Kullanıcı parolasının sıfırlanması veya kilidinin açılması için doğru cevaplanması gereken 3-5 soruya ayarlanabilir.



Kayıt bölümünde ise kullanıcılar oturum açtıklarında kaydolmalarını zorunlu kıl seçeneği ile kimlik doğrulama bilgilerini onaylamaları istenen gün sayısı bilgileri bulunmaktadır. Bu seçenekler ortamdaki yönetim şekline göre düzenlemeler yapılabilir.



Bilgilendirme bölümünde ise kullanıcıları şifre sıfırladığında ilgili yöneticilere ya da tüm yöneticilere bilgilendirme maili gönderilsin mi? bilgisi verilmektedir.



Özleştirme bölümünde ise kullanıcılar bu süreçte daha fazla yardıma ihtiyaç duyduklarında belirlenen link ve e-mail adreslerinden destek alabilir bilgisi sunulur. Bu bölümü kendinize göre düzenleyebilirsiniz.

Tüm bu seçenekleri düzenledikten sonra bir kullanıcımız üzerinde Self Service password reset işlemini uygulayalım. Üst kısımda bu özelliği nasıl aktif edeceğimizi gördük, aşağıdaki kısımda ise son kullanıcı tarafında nasıl bir yol izleneceğini anlatılmaktadır. Azure Users and Group tabi altında demo1 isim bir kullanıcım mevcut, bu kullanıcı üzerinde demeleri gerçekleştireceğiz.



Office 365 portalına ya da Azure portalına giriş yapmak istediğimizde yukarıdaki gibi bir uyarı ile karışılacaksınız. Azure Active Directory Self Service password resetbölümünde belirttiğimiz gibi ‘Yöneticiniz, hesabınızı kurtarmanıza yardımcı olmak ve ek bir güvenlik bilgilerini eklemek için zorunlu bir takım bilgiler istiyor’ Bu kısımda ileri butonu ile devam edin



Ardından Telefon veya E-posta doğrulama bilgileri isteniyor. Herhangi birini girip, ilerleyebilirsiniz.


Kimlik doğrulama işlemini Telefon üzerinden gerçekleştirildiği için telefona gönderilen doğrulama kodunu girin.


Kimlik doğrulama işlemi başarılı bir şekilde tanımlandıktan sonra bitir butonu ile devam ediyoruz.


Kullanıcı şifrelerini sıfırlaması gerektiği zaman Hesabınıza erişemiyor musunuz? Bağlantısına tıklayıp, şifre değiştirme adımlarını takip edebilir. İlk olarak kişisel veya iş hesabı seçmeleri istenir. Biz kurumsal işe hesabını seçerek ilerliyoruz.



Şifre sıfırlaması isteyen kullanıcı otomatik bir bot olmadığını doğrulamak için, resimde gösterildiği gibi istenilen yazı ve sayılar karakterleri girilir.



Doğrulama için mevcut yöntemlerden herhangi birini seçerek, ilerlenir.



Kullanıcı doğrulama işlemi başarılı bir şekilde tamamlandığında yeni şifre oluştur ekranı gelecektir. Belirlediğiniz yeni şifreyi girerek şifre sıfırlama işlemini tamamlayabilirsiniz.



Kullanıcımız bundan sonraki portal erişimlerini belirlediği şifre ile giriş yapabilir.