Fachartikel

Multifaktor-Authentifizierung in Azure AD (1)

Mit der zunehmenden Nutzung von Cloudanwendungen sowie der Azure-AD-Identity-Plattform wächst für Unternehmen die Dringlichkeit, Anmeldungen und die Konten von Benutzern zu schützen. Microsoft stellt dafür eine Multifaktor-Authentifizierung zur Verfügung. Dabei lassen sich auch die Smartphones der Mitarbeiter bequem via App nutzen. Wie Sie Anmeldung und Konten in der Microsoft-Cloud dank zweitem Faktor schützen, lesen Sie in diesem Beitrag. Im ersten Teil gehen wir besonders auf die Grundlagen ein und erklären, wie Sie MFA für Benutzer aktivieren.
Doppelt hält besser: Auch im Azure AD bietet sich die Mehrfaktor-Authentifizierung an.
Multifaktor-Authentifizierung (MFA) wird eingesetzt, um den Anmeldeprozess neben Benutzername und Passwort durch einen weiteren Faktor zu schützen. Die Idee dahinter ist, dass im Fall eines gestohlenen Kennworts ein zusätzliches Sicherheitsmerkmal greift, das der Angreifer ebenfalls stehlen müsste, um Zugriff auf Ressourcen und Daten zu erhalten. Der zusätzliche Faktor kann dabei ein zweites Passwort oder eine PIN sein, im Idealfall jedoch etwas, das der legitime Benutzer mit sich trägt (Hardware-Token), das der Benutzer ist (Biometrie) oder wo sich der Benutzer befindet (beispielsweise Geofencing). Eine Smartcard ist ein Beispiel für die Kombination aus Wissen (PIN zum Zertifikat) und den physischen Besitz (Smartcard selbst). Das Erzwingen mehrerer Faktoren schützt also vor Identitätsklau, wenn sich Angreifer mit gestohlenen Credentials im Namen der Benutzer anzumelden versuchen.

Um es Endbenutzern möglichst einfach zu machen, zusätzliche Faktoren zu nutzen, fokussiert Microsofts MFA-Strategie auf das Lieblingsgerät der meisten Menschen: ihr Smartphone. Benutzer lassen selten ihr Smartphone irgendwo liegen – und fehlt es, fällt es meist auf. Bei der Arbeit ist es ebenfalls in der Nähe. Es ergibt also Sinn, nach einer erfolgreichen Anmeldung mit Benutzernamen und Passwort das Smartphone in den Anmeldevorgang einzubeziehen. Dafür gibt es unterschiedliche Optionen: das Beantworten eines Telefonanrufs inklusive der Eingabe einer PIN, das Versenden eines PIN-Codes per SMS, den der Benutzer dann eingeben muss oder die Verifikation der Anmeldung in einer App auf dem Smartphone, die zuvor registriert werden muss. Benutzer sind dabei in der Lage, ihre bevorzugte Kontaktmethode auszuwählen und ihr gewünschtes Endgerät selbst einzurichten.


Bild 1: Wenn Mitarbeiter für MFA konfiguriert sind oder Azure AD die Anmeldung schützen muss,
werden Benutzer um eine zusätzliche Verifikation gebeten.

Für viele Unternehmen stellt die Nutzung von zertifikatbasierter Authentifizierung einen legitimen zweiten Faktor dar, neben Benutzername und Passwort. Die Benutzerzertifikate werden dabei nur auf gewünschten und erlaubten Geräten ausgerollt, sodass sie nur auf Unternehmensgeräten wie Notebooks und Tablets zur Verfügung stehen. Der Benutzer hätte dann sein Gerät samt Zertifikat als zweiten Faktor im Einsatz. Gerade wenn unternehmensweit Zertifikate auch auf Tablets und Smartphones eingesetzt werden, ist das eine logische Erweiterung von ADFS und Office 365 für sichere Anmeldungen. Für diesen Teil des Workshops fokussieren wir uns jedoch auf die weniger Deployment-intensiven Optionen als weiteren Faktor.
Smartphone als zweiter Faktor
Die beschriebenen MFA-Optionen, die den Benutzer seine Identität mit dem Smartphone bestätigen lassen, werden von Microsoft in zwei Varianten angeboten: für die lokale Installation auf einem eigenen Windows-Server und aus der Cloud durch Azure MFA oder im Rahmen des Office-365-Abonnements.

Ein Office-365-Abonnement erlaubt in allen Business-, Enterprise-, Schul-, Non-Profit- und Standalone-Lizenzen prinzipiell die Nutzung von MFA. Die Funktionen werden dabei für die jeweiligen Benutzer aktiviert, sind im Rahmen des Office-365-Abonnements im Gegensatz zu Azure MFA allerdings eingeschränkt. Während Office 365 stets nach dem zweiten Faktor bei einer Neuanmeldung fragt, bietet Azure weitere Optionen an. So können Administratoren definieren, in welchen Situationen ein zweiten Faktor verlangt wird – etwa, wenn sich Benutzer außerhalb des Unternehmensnetzwerks befinden oder sensible Applikationen oder Dienste aufrufen. Auch die Zugehörigkeit zu einer definierten Sicherheitsgruppe lässt sich als Auslöser definieren. Zudem wird Azure MFA besonders dann relevant, wenn neben Office 365 weitere Cloud-Ressourcen geschützt werden sollen. Benachrichtigungen über die MFA-Nutzung und mögliche Missbrauchsversuche sind ebenfalls nur in Azure möglich. Selbst die Begrüßung für Telefonanrufe lässt sich dort anpassen. Microsoft bietet unter [1] eine Gegenüberstellung der Features an.

Azure MFA ist also die deutlich flexiblere Variante, aber an ein Kostenmodell gebunden, sofern das Unternehmen nicht die Variante "Azure AD Premium" für die Mitarbeiter lizensiert hat.

Seite 1: Smartphone als zweiter Faktor
Seite 2: MFA für Benutzer aktivieren


Seite 1 von 2 Nächste Seite >>
12.08.2019/dr/ln/Florian Frommherz

Nachrichten

Schutz und Kontrolle für macOS-Rechner [13.12.2019]

Mit der neusten Version des Privilege Managers von Thycotic lassen sich Least-Privilege-Zugriffskontrollen ab sofort auch auf Workstations und Laptops umsetzen, die auf macOS laufen. [mehr]

Deutliche Zunahme an Bedrohungen [12.12.2019]

Im Jahr 2019 ist die Zahl einzigartiger, schädlicher Bedrohungsobjekte, die durch die webbasierten Antivirenlösungen von Kaspersky identifiziert wurden, im Vergleich zum Vorjahr um knapp 13,7 Prozent angestiegen, so das Ergebnis der im Rahmen des Kaspersky Security Bulletin 2019/2020 veröffentlichten Jahresstatistik. [mehr]

Kampf der Schatten-IT [9.12.2019]

Tipps & Tools

Vorschau November 2019: Container & Anwendungsserver [21.10.2019]

Das Bereitstellen von Anwendungen ist eine zentrale Administrationsaufgabe und Fehler hierbei fallen Mitarbeitern wie Kunden unmittelbar auf. Eine wichtige Rolle spielt das Fundament für Applikationen, die Serverlandschaft. In der November-Ausgabe beleuchtet IT-Administrator das Thema "Container & Anwendungsserver". Darin lesen Sie etwa, welche Best Practices Sie bei Microsofts IIS nutzen sollten und wie Sie Container-Logdaten mit Fluentbit auswerten. Außerdem werfen wir einen Blick auf die Orchestrierung von Containern und die Kubernetes-Alternative Nomad. In den Tests tritt der Solarwinds Server & Application Monitor an. [mehr]

VPC richtig konfigurieren [18.08.2019]

Wenn Sie eine Virtual Private Cloud für die Verwendung mit Amazon Aurora anlegen, ist es wichtig diese richtig zu konfigurieren. Grundsätzlich muss eine Virtual Private Cloud (VPC), die einen Amazon-Aurora-DB-Cluster enthält, mindestens zwei Availability Zones (AZ) umfassen. Jede AZ muss außerdem mindestens ein Subnetz bereithalten. Für das folgende Beispielszenario melden Sie sich in der AWS Management Console an und öffnen dort die VPC-Konsole. [mehr]

Buchbesprechung

Handbuch Online-Shop

von Alexander Steireif, Rouven Rieker, Markus Bückle

Anzeigen