Fachartikel

Multifaktor-Authentifizierung in Azure AD (1)

Mit der zunehmenden Nutzung von Cloudanwendungen sowie der Azure-AD-Identity-Plattform wächst für Unternehmen die Dringlichkeit, Anmeldungen und die Konten von Benutzern zu schützen. Microsoft stellt dafür eine Multifaktor-Authentifizierung zur Verfügung. Dabei lassen sich auch die Smartphones der Mitarbeiter bequem via App nutzen. Wie Sie Anmeldung und Konten in der Microsoft-Cloud dank zweitem Faktor schützen, lesen Sie in diesem Beitrag. Im ersten Teil gehen wir besonders auf die Grundlagen ein und erklären, wie Sie MFA für Benutzer aktivieren.
Doppelt hält besser: Auch im Azure AD bietet sich die Mehrfaktor-Authentifizierung an.
Multifaktor-Authentifizierung (MFA) wird eingesetzt, um den Anmeldeprozess neben Benutzername und Passwort durch einen weiteren Faktor zu schützen. Die Idee dahinter ist, dass im Fall eines gestohlenen Kennworts ein zusätzliches Sicherheitsmerkmal greift, das der Angreifer ebenfalls stehlen müsste, um Zugriff auf Ressourcen und Daten zu erhalten. Der zusätzliche Faktor kann dabei ein zweites Passwort oder eine PIN sein, im Idealfall jedoch etwas, das der legitime Benutzer mit sich trägt (Hardware-Token), das der Benutzer ist (Biometrie) oder wo sich der Benutzer befindet (beispielsweise Geofencing). Eine Smartcard ist ein Beispiel für die Kombination aus Wissen (PIN zum Zertifikat) und den physischen Besitz (Smartcard selbst). Das Erzwingen mehrerer Faktoren schützt also vor Identitätsklau, wenn sich Angreifer mit gestohlenen Credentials im Namen der Benutzer anzumelden versuchen.

Um es Endbenutzern möglichst einfach zu machen, zusätzliche Faktoren zu nutzen, fokussiert Microsofts MFA-Strategie auf das Lieblingsgerät der meisten Menschen: ihr Smartphone. Benutzer lassen selten ihr Smartphone irgendwo liegen – und fehlt es, fällt es meist auf. Bei der Arbeit ist es ebenfalls in der Nähe. Es ergibt also Sinn, nach einer erfolgreichen Anmeldung mit Benutzernamen und Passwort das Smartphone in den Anmeldevorgang einzubeziehen. Dafür gibt es unterschiedliche Optionen: das Beantworten eines Telefonanrufs inklusive der Eingabe einer PIN, das Versenden eines PIN-Codes per SMS, den der Benutzer dann eingeben muss oder die Verifikation der Anmeldung in einer App auf dem Smartphone, die zuvor registriert werden muss. Benutzer sind dabei in der Lage, ihre bevorzugte Kontaktmethode auszuwählen und ihr gewünschtes Endgerät selbst einzurichten.


Bild 1: Wenn Mitarbeiter für MFA konfiguriert sind oder Azure AD die Anmeldung schützen muss,
werden Benutzer um eine zusätzliche Verifikation gebeten.

Für viele Unternehmen stellt die Nutzung von zertifikatbasierter Authentifizierung einen legitimen zweiten Faktor dar, neben Benutzername und Passwort. Die Benutzerzertifikate werden dabei nur auf gewünschten und erlaubten Geräten ausgerollt, sodass sie nur auf Unternehmensgeräten wie Notebooks und Tablets zur Verfügung stehen. Der Benutzer hätte dann sein Gerät samt Zertifikat als zweiten Faktor im Einsatz. Gerade wenn unternehmensweit Zertifikate auch auf Tablets und Smartphones eingesetzt werden, ist das eine logische Erweiterung von ADFS und Office 365 für sichere Anmeldungen. Für diesen Teil des Workshops fokussieren wir uns jedoch auf die weniger Deployment-intensiven Optionen als weiteren Faktor.
Smartphone als zweiter Faktor
Die beschriebenen MFA-Optionen, die den Benutzer seine Identität mit dem Smartphone bestätigen lassen, werden von Microsoft in zwei Varianten angeboten: für die lokale Installation auf einem eigenen Windows-Server und aus der Cloud durch Azure MFA oder im Rahmen des Office-365-Abonnements.

Ein Office-365-Abonnement erlaubt in allen Business-, Enterprise-, Schul-, Non-Profit- und Standalone-Lizenzen prinzipiell die Nutzung von MFA. Die Funktionen werden dabei für die jeweiligen Benutzer aktiviert, sind im Rahmen des Office-365-Abonnements im Gegensatz zu Azure MFA allerdings eingeschränkt. Während Office 365 stets nach dem zweiten Faktor bei einer Neuanmeldung fragt, bietet Azure weitere Optionen an. So können Administratoren definieren, in welchen Situationen ein zweiten Faktor verlangt wird – etwa, wenn sich Benutzer außerhalb des Unternehmensnetzwerks befinden oder sensible Applikationen oder Dienste aufrufen. Auch die Zugehörigkeit zu einer definierten Sicherheitsgruppe lässt sich als Auslöser definieren. Zudem wird Azure MFA besonders dann relevant, wenn neben Office 365 weitere Cloud-Ressourcen geschützt werden sollen. Benachrichtigungen über die MFA-Nutzung und mögliche Missbrauchsversuche sind ebenfalls nur in Azure möglich. Selbst die Begrüßung für Telefonanrufe lässt sich dort anpassen. Microsoft bietet unter [1] eine Gegenüberstellung der Features an.

Azure MFA ist also die deutlich flexiblere Variante, aber an ein Kostenmodell gebunden, sofern das Unternehmen nicht die Variante "Azure AD Premium" für die Mitarbeiter lizensiert hat.

Seite 1: Smartphone als zweiter Faktor
Seite 2: MFA für Benutzer aktivieren


Seite 1 von 2 Nächste Seite >>
12.08.2019/dr/ln/Florian Frommherz

Nachrichten

Bildungseinrichtungen häufig Opfer von Cyberattacken [18.09.2019]

Der Bildungsbereich ist die am stärksten von Cyberangriffen betroffene Branche. Untersuchungen von EfficientIP und IDC haben ergeben, dass 86 Prozent der Befragten im Bildungswesen 2018 Erfahrungen mit Domain Name System (DNS)-Attacken gemacht haben. Nur der Regierungssektor ist noch häufiger Opfer derartiger Angriffe. [mehr]

Virtuelle Sicherheit für Verschlüsselungs-Keys [18.09.2019]

nCipher Security stellt nShield as a Service vor. Hierbei handelt es sich um einen Cloud-basierten Service, der es Unternehmen unter Einsatz von Hardware-Sicherheitsmodulen ermöglicht, sensible Daten und Anwendungen zu schützen. [mehr]

Tipps & Tools

VPC richtig konfigurieren [18.08.2019]

Wenn Sie eine Virtual Private Cloud für die Verwendung mit Amazon Aurora anlegen, ist es wichtig diese richtig zu konfigurieren. Grundsätzlich muss eine Virtual Private Cloud (VPC), die einen Amazon-Aurora-DB-Cluster enthält, mindestens zwei Availability Zones (AZ) umfassen. Jede AZ muss außerdem mindestens ein Subnetz bereithalten. Für das folgende Beispielszenario melden Sie sich in der AWS Management Console an und öffnen dort die VPC-Konsole. [mehr]

Jetzt buchen: Training "vSphere Best Practices und Troubleshooting" [12.08.2019]

Die Virtualisierungsinfrastruktur ist heutzutage in den meisten Unternehmen die Basis des IT-Betriebs. Läuft sie nicht optimal oder steht gar komplett still, fallen zahlreiche IT-Dienste aus. Daher sind gerade für VMware vSphere Best Practices gefragt, die helfen, das System mit größtmöglicher Leistung zu betreiben und proaktiv auf mögliche Störungen zu überwachen. Wie dabei vorzugehen ist, zeigt unser Training ebenso wie das Troubleshooting im Fehlerfall. [mehr]

Buchbesprechung

Windows Server 2019

von Peter Kloep, Karsten Weigel, Kevin Momber, Raphael Rojas und Annette Frankl

Anzeigen