Fachartikel

Multifaktor-Authentifizierung in Azure AD (1)

Mit der zunehmenden Nutzung von Cloudanwendungen sowie der Azure-AD-Identity-Plattform wächst für Unternehmen die Dringlichkeit, Anmeldungen und die Konten von Benutzern zu schützen. Microsoft stellt dafür eine Multifaktor-Authentifizierung zur Verfügung. Dabei lassen sich auch die Smartphones der Mitarbeiter bequem via App nutzen. Wie Sie Anmeldung und Konten in der Microsoft-Cloud dank zweitem Faktor schützen, lesen Sie in diesem Beitrag. Im ersten Teil gehen wir besonders auf die Grundlagen ein und erklären, wie Sie MFA für Benutzer aktivieren.
Doppelt hält besser: Auch im Azure AD bietet sich die Mehrfaktor-Authentifizierung an.
Multifaktor-Authentifizierung (MFA) wird eingesetzt, um den Anmeldeprozess neben Benutzername und Passwort durch einen weiteren Faktor zu schützen. Die Idee dahinter ist, dass im Fall eines gestohlenen Kennworts ein zusätzliches Sicherheitsmerkmal greift, das der Angreifer ebenfalls stehlen müsste, um Zugriff auf Ressourcen und Daten zu erhalten. Der zusätzliche Faktor kann dabei ein zweites Passwort oder eine PIN sein, im Idealfall jedoch etwas, das der legitime Benutzer mit sich trägt (Hardware-Token), das der Benutzer ist (Biometrie) oder wo sich der Benutzer befindet (beispielsweise Geofencing). Eine Smartcard ist ein Beispiel für die Kombination aus Wissen (PIN zum Zertifikat) und den physischen Besitz (Smartcard selbst). Das Erzwingen mehrerer Faktoren schützt also vor Identitätsklau, wenn sich Angreifer mit gestohlenen Credentials im Namen der Benutzer anzumelden versuchen.

Um es Endbenutzern möglichst einfach zu machen, zusätzliche Faktoren zu nutzen, fokussiert Microsofts MFA-Strategie auf das Lieblingsgerät der meisten Menschen: ihr Smartphone. Benutzer lassen selten ihr Smartphone irgendwo liegen – und fehlt es, fällt es meist auf. Bei der Arbeit ist es ebenfalls in der Nähe. Es ergibt also Sinn, nach einer erfolgreichen Anmeldung mit Benutzernamen und Passwort das Smartphone in den Anmeldevorgang einzubeziehen. Dafür gibt es unterschiedliche Optionen: das Beantworten eines Telefonanrufs inklusive der Eingabe einer PIN, das Versenden eines PIN-Codes per SMS, den der Benutzer dann eingeben muss oder die Verifikation der Anmeldung in einer App auf dem Smartphone, die zuvor registriert werden muss. Benutzer sind dabei in der Lage, ihre bevorzugte Kontaktmethode auszuwählen und ihr gewünschtes Endgerät selbst einzurichten.


Bild 1: Wenn Mitarbeiter für MFA konfiguriert sind oder Azure AD die Anmeldung schützen muss,
werden Benutzer um eine zusätzliche Verifikation gebeten.

Für viele Unternehmen stellt die Nutzung von zertifikatbasierter Authentifizierung einen legitimen zweiten Faktor dar, neben Benutzername und Passwort. Die Benutzerzertifikate werden dabei nur auf gewünschten und erlaubten Geräten ausgerollt, sodass sie nur auf Unternehmensgeräten wie Notebooks und Tablets zur Verfügung stehen. Der Benutzer hätte dann sein Gerät samt Zertifikat als zweiten Faktor im Einsatz. Gerade wenn unternehmensweit Zertifikate auch auf Tablets und Smartphones eingesetzt werden, ist das eine logische Erweiterung von ADFS und Office 365 für sichere Anmeldungen. Für diesen Teil des Workshops fokussieren wir uns jedoch auf die weniger Deployment-intensiven Optionen als weiteren Faktor.
Smartphone als zweiter Faktor
Die beschriebenen MFA-Optionen, die den Benutzer seine Identität mit dem Smartphone bestätigen lassen, werden von Microsoft in zwei Varianten angeboten: für die lokale Installation auf einem eigenen Windows-Server und aus der Cloud durch Azure MFA oder im Rahmen des Office-365-Abonnements.

Ein Office-365-Abonnement erlaubt in allen Business-, Enterprise-, Schul-, Non-Profit- und Standalone-Lizenzen prinzipiell die Nutzung von MFA. Die Funktionen werden dabei für die jeweiligen Benutzer aktiviert, sind im Rahmen des Office-365-Abonnements im Gegensatz zu Azure MFA allerdings eingeschränkt. Während Office 365 stets nach dem zweiten Faktor bei einer Neuanmeldung fragt, bietet Azure weitere Optionen an. So können Administratoren definieren, in welchen Situationen ein zweiten Faktor verlangt wird – etwa, wenn sich Benutzer außerhalb des Unternehmensnetzwerks befinden oder sensible Applikationen oder Dienste aufrufen. Auch die Zugehörigkeit zu einer definierten Sicherheitsgruppe lässt sich als Auslöser definieren. Zudem wird Azure MFA besonders dann relevant, wenn neben Office 365 weitere Cloud-Ressourcen geschützt werden sollen. Benachrichtigungen über die MFA-Nutzung und mögliche Missbrauchsversuche sind ebenfalls nur in Azure möglich. Selbst die Begrüßung für Telefonanrufe lässt sich dort anpassen. Microsoft bietet unter [1] eine Gegenüberstellung der Features an.

Azure MFA ist also die deutlich flexiblere Variante, aber an ein Kostenmodell gebunden, sofern das Unternehmen nicht die Variante "Azure AD Premium" für die Mitarbeiter lizensiert hat.

Seite 1: Smartphone als zweiter Faktor
Seite 2: MFA für Benutzer aktivieren


Seite 1 von 2 Nächste Seite >>
12.08.2019/dr/ln/Florian Frommherz

Nachrichten

Integrierte Sicherheit [4.06.2020]

Zyxel arbeitet künftig mit McAfee zusammen. Das Ergebnis dieser Kooperation ist eine integrierte One-Box- Sicherheitslösung speziell für kleine und mittelständische Unternehmen. Durch die Integration der Anti-Malware- Software von McAfee in die High-End-ATP-Firewall-Familie von Zyxel erhalten Firmen eine Malware-Erkennung und Web-Filterung in einem Gerät. [mehr]

Verschlüsselte Micro-SSD mit Anti-Malware-Quarantäne [29.05.2020]

Als hardwareverschlüsselte microSATA SSD eignet sich Sentry K300 von DataLocker für den sicheren Transport kritischer Daten. Im Zuge eines Firmware-Updates auf Version 6.3.1 stellt der Anbieter Nutzern zusätzliche Funktionen für den USB-Datenspeicher zur Verfügung, darunter die Laufwerks-Bereinigung und die Anti-Malware-Quarantäne. [mehr]

Tipps & Tools

Vorschau Juni 2020: Hybrid Cloud [25.05.2020]

Längst stehen Firmen mit einem Fuß in der Cloud. Um den Übergang in die Wolke möglichst reibungslos zu gestalten, dreht sich der Schwerpunkt im Juni-Heft um das Thema "Hybrid Cloud". Darin zeigen wir unter anderem, wie sich Firmen eine passende Hybrid-Cloud-Strategie zurechtlegen und gleichzeitig die Business Continuity im Blick behalten. Außerdem erfahren Sie, wie Sie Windows Virtual Desktop mit freien Tools verwalten und Azure AD Connect in Betrieb nehmen. In den Tests tritt unter anderem Virtana CloudWisdom zur Kostenoptimierung bei Cloudressourcen an. [mehr]

Proxmox VE 6.2 freigegeben [22.05.2020]

Die Proxmox Server Solutions GmbH hat eine neue Version Ihrer Open-Source-Virtualisierungslösung für Server veröffentlicht: Proxmox VE 6.2 basiert auf Debian Buster 10.4, nutzt den Linux-Longterm-Kernel 5.4 und integriert verschiedene neue Funktionen. [mehr]

Buchbesprechung

Technik der IP-Netze

von Anatol Badach und Erwin Hoffmann

Anzeigen