Fachartikel

Multifaktor-Authentifizierung in Azure AD (2)

Mit der zunehmenden Nutzung von Cloudanwendungen sowie der Azure-AD-Identity-Plattform wächst für Unternehmen die Dringlichkeit, Anmeldungen und die Konten von Benutzern zu schützen. Microsoft stellt dafür eine Multifaktor-Authentifizierung zur Verfügung. Dabei lassen sich auch die Smartphones der Mitarbeiter bequem via App nutzen. Wie Sie Anmeldung und Konten in der Microsoft-Cloud dank zweitem Faktor schützen, lesen Sie in diesem Beitrag. Im zweiten Teil zeigen wir, wie Sie das Benutzer-Enrollment durchführen und die MFA-Optionen ändern.
Doppelt hält besser: Auch im Azure AD bietet sich die Mehrfaktor-Authentifizierung an.
Benutzer-Enrollment durchführen
Nach der erfolgreichen Konfiguration eines Benutzers für MFA steht dessen Registrierungsprozess an. Die Benutzeranmeldung wird dabei temporär unterbrochen, um den Benutzer zu bitten, die MFA-Registrierung durchzuführen. Für Mitarbeiter, die mit ADFS authentifiziert werden, tritt die Registrierung nach der ADFS-Anmeldung ein.

Nachdem ADFS den Mitarbeiter authentifiziert hat und den Browser zurück zum Azure AD leitet, erhält der Benutzer die Meldung, dass die Unternehmens-IT die MFA-Registrierung erfordert. Darunter findet er den "Set it up now"-Knopf. Der erste Schritt umfasst dann die Auswahl der Kontaktmethode und die Anmeldung des Telefons. Zur Auswahl stehen "Authentication phone" – ein Smartphone, das sowohl Anrufe als auch Textnachrichten empfangen kann.


Bild 3: Mitarbeiter registrieren sich bei Azure MFA selbst und wählen die gewünschte Kontaktmethode aus.

Die Alternative ist das "Office phone", ein Festnetztelefon ohne Textnachrichtenfunktion, bei dem die Telefonnummer bereits aus dem Windows-AD synchronisiert wurde und nicht änderbar ist. Zuletzt gibt es die Variante "Mobile app", bei dem die App "Microsoft Authenticator" auf das Smartphone geladen werden muss und registriert wird, um dort MFA-Anfragen zu bestätigen. Je nach Benutzerauswahl verändern sich die Registrierungsoptionen. Für das "Authentication phone" (Smartphone) muss der Benutzer seine Telefonnummer selbst angeben.

Die Microsoft-Authenticator-App kann im jeweiligen App-Store heruntergeladen werden. Der Registrierungsassistent bietet bequemerweise Links zum App-Download sowie weiterführende Schritte für die Einrichtung der App. So fügen die Anwender ihren Account in der App hinzu und richten diesen mit Hilfe eines auf der Webseite angezeigten QR-Codes ein. Bei der Konfiguration der App gibt es zwei Modi: Entweder sendet das Azure AD eine Push-Notification zur App, die der Benutzer dann per Knopfdruck auf seinem registrierten Smartphone bestätigt oder die App zeigt einen sechsstelligen Code an, den der Benutzer beim MFA-Prompt eingeben muss. Deutlich bequemer ist die Push-Notification, die aber zum Zeitpunkt der Abfrage eine Internetverbindung benötigt.

Für den zweiten Schritt klicken die Nutzer auf "Contact me". Das Azure AD will sicherstellen, dass die gerade ausgewählte Methode funktioniert und löst eine Test-MFA-Anfrage aus. Je nach ausgewählter Methode wird der Benutzer kontaktiert und muss einen Telefonanruf beantworten, einen Code eingeben oder MFA in der App bestätigen. Gelingt dies, endet die Anmeldung mit Schritt 3, bei dem die Benutzer ihr App-Passwort angezeigt bekommen. Für alle Anwendungen, die kein MFA unterstützen, weil sie ältere Anmeldemethoden gegen das Azure AD nutzen, muss nämlich ein App-Passwort hinterlegt werden.
MFA-Optionen ändern
Natürlich gelten die Einstellungen, die während des Registrierungsprozesses vorgenommen werden, nicht in alle Ewigkeit. Benutzer können die MFA-Einstellungen jederzeit modifizieren, etwa wenn sich ihre Telefonnummer ändert oder sie ein neues Smartphone erhalten.

Der zentrale Anlaufpunkt für diese Einstellungen im Azure AD ist das MyApps-Portal [2]. Neben den zur Verfügung gestellten Anwendungen aus Azure AD und Office 365 sind dort einige Funktionen aus Azure AD als Self-Service hinterlegt. Im Portal angemeldet, klicken Benutzer auf "Profile", wo sie unter anderem ihre Unternehmensdaten wie Büronummer, Titel und Telefonnummer sehen und auch einige Funktionen aufrufen können. Der Knopf "Additional security verification" führt zurück zum Azure-MFA-Portal, wo sich die zuvor getätigten Einstellungen ändern oder zusätzliche Zweitfaktoren definieren lassen.

Fazit
Für Clouddienste, in denen sensible Daten lagern und auf die Benutzer von unterwegs zugreifen, muss eine Zweifaktorauthentifizierung her. Denn Kennwörter alleine bieten längst keinen ausreichenden Schutz mehr. Microsoft bietet mit der in Azure und Office 365 integrierten Multifaktor-Authentifizierung eine umfassende und komfortable Möglichkeit, einen zweiten Faktor zu integrieren. Besonders praktisch für die Anwender ist dabei, dass es sich dabei um das eigene Smartphone handeln kann.

Im ersten Teil gingen wir besonders auf die Grundlagen ein und erklärten, wie Sie MFA für Benutzer aktivieren.
19.08.2019/dr/ln/Florian Frommherz

Nachrichten

Wallet-as-a-Service aus München [13.09.2019]

Wenn es um den Einsatz von Blockchain geht, hinkt Deutschland hinterher. Lediglich zwei Prozent aller deutschen Unternehmen nutzen laut Bitcom Reasearch Analyse 2018 die dezentrale Datenbank. Mit ihrem "Wallet as a Service" möchte das Münchner Startup "Tangany" Unternehmen an die Blockchain anbinden und für die Nutzung der Technologie fit machen. [mehr]

Virtuelle Netzwerke: T-Systems bietet VeloCloud an [12.09.2019]

T-Systems baut ihr Angebot für internationale Firmennetze aus. Die Systemsparte der Telekom schließt hierfür eine Partnerschaft mit VMware und bietet ihren Kunden nun das Software-definierte WAN "VMware SD-WAN by VeloCloud" an. Damit sollen sich Verbindungen in Cloudumgebungen leichter und flexibler skalieren lassen. [mehr]

Tipps & Tools

Bildausschnitte leicht erfassen [15.09.2019]

Viele Mac-User benutzen die Screenshot-Funktion ihres Notebooks täglich, aber benötigen oft nur bestimmte Bildausschnitte für zum Beispiel eine Präsentation oder Webseite. Die Nachbearbeitung ist dann etwas umständlich. Dieser Tipp zeigt anhand von verschiedenen Shortcuts einen einfachen Weg im Umgang mit Screenshots sowie weitere Möglichkeiten über die Terminal-App. [mehr]

In der Ruhe liegt die Kraft [14.09.2019]

Viele Systemadmins leiden wegen der häufigen Nachtschichten oder zusätzlichen Projekten an Schlafmangel und so muss manchmal ein Powernap am Arbeitsplatz herhalten. Damit die Kollegen auch verstehen, dass Sie eigentlich nicht schlafen, sondern hart arbeiten, hilft nur das passende "Ein Sysadmin schläft nicht T-Shirt" mit dem Wortspiel: "Ein Sysadmin schläft nicht – er root". [mehr]

E-Mail-Prüfdienst [13.09.2019]

Buchbesprechung

Anzeigen