Lesezeit
2 Minuten
Multifaktor-Authentifizierung in Azure AD (1)
Mit der zunehmenden Nutzung von Cloudanwendungen sowie der Azure-AD-Identity-Plattform wächst für Unternehmen die Dringlichkeit, Anmeldungen und die Konten von Benutzern zu schützen. Microsoft stellt dafür eine Multifaktor-Authentifizierung zur Verfügung. Dabei lassen sich auch die Smartphones der Mitarbeiter bequem via App nutzen. Wie Sie Anmeldung und Konten in der Microsoft-Cloud dank zweitem Faktor schützen, lesen Sie in diesem Beitrag. Im ersten Teil gehen wir besonders auf die Grundlagen ein und erklären, wie Sie MFA für Benutzer aktivieren.
Multifaktor-Authentifizierung (MFA) wird eingesetzt, um den Anmeldeprozess neben Benutzername und Passwort durch einen weiteren Faktor zu schützen. Die Idee dahinter ist, dass im Fall eines gestohlenen Kennworts ein zusätzliches Sicherheitsmerkmal greift, das der Angreifer ebenfalls stehlen müsste, um Zugriff auf Ressourcen und Daten zu erhalten. Der zusätzliche Faktor kann dabei ein zweites Passwort oder eine PIN sein, im Idealfall jedoch etwas, das der legitime Benutzer mit sich trägt (Hardware-Token), das der Benutzer ist (Biometrie) oder wo sich der Benutzer befindet (beispielsweise Geofencing). Eine Smartcard ist ein Beispiel für die Kombination aus Wissen (PIN zum Zertifikat) und den physischen Besitz (Smartcard selbst). Das Erzwingen mehrerer Faktoren schützt also vor Identitätsklau, wenn sich Angreifer mit gestohlenen Credentials im Namen der Benutzer anzumelden versuchen.
Um es Endbenutzern möglichst einfach zu machen, zusätzliche Faktoren zu nutzen, fokussiert Microsofts MFA-Strategie auf das Lieblingsgerät der meisten Menschen: ihr Smartphone. Benutzer lassen selten ihr Smartphone irgendwo liegen – und fehlt es, fällt es meist auf. Bei der Arbeit ist es ebenfalls in der Nähe. Es ergibt also Sinn, nach einer erfolgreichen Anmeldung mit Benutzernamen und Passwort das Smartphone in den Anmeldevorgang einzubeziehen. Dafür gibt es unterschiedliche Optionen: das Beantworten eines Telefonanrufs inklusive der Eingabe einer PIN, das Versenden eines PIN-Codes per SMS, den der Benutzer dann eingeben muss oder die Verifikation der Anmeldung in einer App auf dem Smartphone, die zuvor registriert werden muss. Benutzer sind dabei in der Lage, ihre bevorzugte Kontaktmethode auszuwählen und ihr gewünschtes Endgerät selbst einzurichten.
Für viele Unternehmen stellt die Nutzung von zertifikatbasierter Authentifizierung einen legitimen zweiten Faktor dar, neben Benutzername und Passwort. Die Benutzerzertifikate werden dabei nur auf gewünschten und erlaubten Geräten ausgerollt, sodass sie nur auf Unternehmensgeräten wie Notebooks und Tablets zur Verfügung stehen. Der Benutzer hätte dann sein Gerät samt Zertifikat als zweiten Faktor im Einsatz. Gerade wenn unternehmensweit Zertifikate auch auf Tablets und Smartphones eingesetzt werden, ist das eine logische Erweiterung von ADFS und Office 365 für sichere Anmeldungen. Für diesen Teil des Workshops fokussieren wir uns jedoch auf die weniger Deployment-intensiven Optionen als weiteren Faktor.
Smartphone als zweiter Faktor
Die beschriebenen MFA-Optionen, die den Benutzer seine Identität mit dem Smartphone bestätigen lassen, werden von Microsoft in zwei Varianten angeboten: für die lokale Installation auf einem eigenen Windows-Server und aus der Cloud durch Azure MFA oder im Rahmen des Office-365-Abonnements.
Ein Office-365-Abonnement erlaubt in allen Business-, Enterprise-, Schul-, Non-Profit- und Standalone-Lizenzen prinzipiell die Nutzung von MFA. Die Funktionen werden dabei für die jeweiligen Benutzer aktiviert, sind im Rahmen des Office-365-Abonnements im Gegensatz zu Azure MFA allerdings eingeschränkt. Während Office 365 stets nach dem zweiten Faktor bei einer Neuanmeldung fragt, bietet Azure weitere Optionen an. So können Administratoren definieren, in welchen Situationen ein zweiten Faktor verlangt wird – etwa, wenn sich Benutzer außerhalb des Unternehmensnetzwerks befinden oder sensible Applikationen oder Dienste aufrufen. Auch die Zugehörigkeit zu einer definierten Sicherheitsgruppe lässt sich als Auslöser definieren. Zudem wird Azure MFA besonders dann relevant, wenn neben Office 365 weitere Cloud-Ressourcen geschützt werden sollen. Benachrichtigungen über die MFA-Nutzung und mögliche Missbrauchsversuche sind ebenfalls nur in Azure möglich. Selbst die Begrüßung für Telefonanrufe lässt sich dort anpassen. Microsoft bietet unter [1] eine Gegenüberstellung der Features an.
Azure MFA ist also die deutlich flexiblere Variante, aber an ein Kostenmodell gebunden, sofern das Unternehmen nicht die Variante "Azure AD Premium" für die Mitarbeiter lizensiert hat.
Seite 1: Smartphone als zweiter Faktor
Seite 2: MFA für Benutzer aktivieren
dr/ln/Florian Frommherz
[1] https://docs.microsoft.com/de-de/azure/active-directory/authentication/[...]
Um es Endbenutzern möglichst einfach zu machen, zusätzliche Faktoren zu nutzen, fokussiert Microsofts MFA-Strategie auf das Lieblingsgerät der meisten Menschen: ihr Smartphone. Benutzer lassen selten ihr Smartphone irgendwo liegen – und fehlt es, fällt es meist auf. Bei der Arbeit ist es ebenfalls in der Nähe. Es ergibt also Sinn, nach einer erfolgreichen Anmeldung mit Benutzernamen und Passwort das Smartphone in den Anmeldevorgang einzubeziehen. Dafür gibt es unterschiedliche Optionen: das Beantworten eines Telefonanrufs inklusive der Eingabe einer PIN, das Versenden eines PIN-Codes per SMS, den der Benutzer dann eingeben muss oder die Verifikation der Anmeldung in einer App auf dem Smartphone, die zuvor registriert werden muss. Benutzer sind dabei in der Lage, ihre bevorzugte Kontaktmethode auszuwählen und ihr gewünschtes Endgerät selbst einzurichten.
Bild 1: Wenn Mitarbeiter für MFA konfiguriert sind oder Azure AD die Anmeldung schützen muss,
werden Benutzer um eine zusätzliche Verifikation gebeten.
werden Benutzer um eine zusätzliche Verifikation gebeten.
Für viele Unternehmen stellt die Nutzung von zertifikatbasierter Authentifizierung einen legitimen zweiten Faktor dar, neben Benutzername und Passwort. Die Benutzerzertifikate werden dabei nur auf gewünschten und erlaubten Geräten ausgerollt, sodass sie nur auf Unternehmensgeräten wie Notebooks und Tablets zur Verfügung stehen. Der Benutzer hätte dann sein Gerät samt Zertifikat als zweiten Faktor im Einsatz. Gerade wenn unternehmensweit Zertifikate auch auf Tablets und Smartphones eingesetzt werden, ist das eine logische Erweiterung von ADFS und Office 365 für sichere Anmeldungen. Für diesen Teil des Workshops fokussieren wir uns jedoch auf die weniger Deployment-intensiven Optionen als weiteren Faktor.
Smartphone als zweiter Faktor
Die beschriebenen MFA-Optionen, die den Benutzer seine Identität mit dem Smartphone bestätigen lassen, werden von Microsoft in zwei Varianten angeboten: für die lokale Installation auf einem eigenen Windows-Server und aus der Cloud durch Azure MFA oder im Rahmen des Office-365-Abonnements.
Ein Office-365-Abonnement erlaubt in allen Business-, Enterprise-, Schul-, Non-Profit- und Standalone-Lizenzen prinzipiell die Nutzung von MFA. Die Funktionen werden dabei für die jeweiligen Benutzer aktiviert, sind im Rahmen des Office-365-Abonnements im Gegensatz zu Azure MFA allerdings eingeschränkt. Während Office 365 stets nach dem zweiten Faktor bei einer Neuanmeldung fragt, bietet Azure weitere Optionen an. So können Administratoren definieren, in welchen Situationen ein zweiten Faktor verlangt wird – etwa, wenn sich Benutzer außerhalb des Unternehmensnetzwerks befinden oder sensible Applikationen oder Dienste aufrufen. Auch die Zugehörigkeit zu einer definierten Sicherheitsgruppe lässt sich als Auslöser definieren. Zudem wird Azure MFA besonders dann relevant, wenn neben Office 365 weitere Cloud-Ressourcen geschützt werden sollen. Benachrichtigungen über die MFA-Nutzung und mögliche Missbrauchsversuche sind ebenfalls nur in Azure möglich. Selbst die Begrüßung für Telefonanrufe lässt sich dort anpassen. Microsoft bietet unter [1] eine Gegenüberstellung der Features an.
Azure MFA ist also die deutlich flexiblere Variante, aber an ein Kostenmodell gebunden, sofern das Unternehmen nicht die Variante "Azure AD Premium" für die Mitarbeiter lizensiert hat.
Seite 1: Smartphone als zweiter Faktor
Seite 2: MFA für Benutzer aktivieren
Seite 1 von 2 | Nächste Seite >> |
dr/ln/Florian Frommherz
[1] https://docs.microsoft.com/de-de/azure/active-directory/authentication/[...]