von Redaktion IT-A…
Lesezeit
2 Minuten
Seite 2 - Multifaktor-Authentifizierung in Azure AD (1)
MFA fürs interne Netzwerk
Die beiden Cloud-MFA-Angebote in Office 365 und Azure kommen primär zum Einsatz, wenn Benutzer eine Cloudanwendung oder ein Dokument aus der Cloud aufrufen. Für Anwendungen, die innerhalb der Unternehmensgrenzen laufen und mit ADFS föderiert wurden, gibt es ebenfalls zwei Optionen: entweder den MFA-Server, den Microsoft als lokalen Server anbietet, oder den MFA-Provider aus ADFS in Windows Server 2016.
Der MFA-Server ist in Azure AD Premium enthalten und hat die Aufgabe, mit ADFS zusammen Multifaktor-Authentifizierung für alle internen Anwendungen anzubieten. Der Server bindet sich mit Hilfe eines Plug-ins, das generell Drittanbietern zur Verfügung steht, in ADFS ein. Aus ADFS heraus wird beim Zugriff auf Anwendungen bei der Anmeldung entschieden, ob MFA erforderlich ist oder nicht – und falls ja, über den MFA-Server ausgelöst. Neben ADFS bietet der MFA-Server weitere Integration in andere Systeme, wie etwa IIS oder das RDP-Protokoll sowie eine RAS-Schnittstelle.
Für den Einsatz von webbasierten Anwendungen, die in ADFS als "Relying Party" integriert werden, bietet ADFS in Windows Server 2016 auch direkt einen MFA-Provider für Azure MFA an. Sollte ein Benutzer eine Anwendung aufrufen, die mit ADFS integriert ist, kann ADFS über Azure MFA eine Zweitfaktorabfrage auslösen, um den Benutzer zu verifizieren – und das, obwohl die Anwendung gar nicht im Azure AD integriert ist.
Passende Einsatzszenarien
Die zahlreichen Varianten und möglichen Lösungen können leicht verwirren. Die Möglichkeiten unterscheiden sich dabei aber sehr stark im Haupteinsatzzweck, schließen sich meist aber nicht gegenseitig aus.
Für den Schutz von Office 365 und weiterer SaaS-Anwendungen aus dem Azure AD, inklusive der flexiblen Regeln aus Conditional Access, ist Azure MFA die passende Lösung. Sollen Anwendungen genutzt werden, die direkt in ADFS integriert werden können und nicht kurz -oder mittelfristig zu Azure AD migriert werden, ist ADFS in Windows Server 2016 mit dem eingebauten MFA-Provider die richtige Wahl. Gibt es im Unternehmensnetz weitere Anforderungen zu MFA, etwa Webanwendungen, die nicht in ADFS integriert sind, RAS-Dienste oder Netzwerk-Appliances, die RAS sprechen, lohnt sich ein Blick auf MFA-Server und dessen Möglichkeiten.
Für die Platzierung der richtigen Lösung ist eine genaue Anforderungsanalyse erforderlich. Der gemeinsame Nenner hierfür ist zunächst Azure MFA, weil wir zumindest für diesen Artikel davon ausgehen, dass Office 365 mit einem Zweitfaktor geschützt werden soll.
MFA für Benutzer aktivieren
Um als ersten Schritt den Zweitfaktor zu aktivieren, ohne komplexe Regelsätze anzuwenden, nehmen Sie die Konfiguration im MFA-Portal von Azure AD für die Zielbenutzer vor. Die MFA-Konfiguration erreichen Sie entweder über das Office-365-Admin-Portal oder über das Azure-AD-Admin-Portal.
Im Office-365-Adminportal suchen Sie zunächst den Benutzer und lassen sich das Optionen-Fly-in von rechts anzeigen. Eine Kategorie lautet "More settings" kurz vor dem "Close"-Button, wo "Manage multi-factor authentication" als Link hinterlegt ist. Per Klick gelangen Sie ins MFA-Portal. Vom Admin-Portal von Azure AD aus geht es über den Menüpunkt "Users" direkt über den darauf geladenen "Manage multi-factor auth"-Link am Menü am unteren Webseitenrand.
Im MFA-Admin-Portal nehmen Sie dann die grundlegende Konfiguration für die jeweiligen Benutzer vor. Die Settings lassen sich dabei für einzelne Benutzer oder per Bulk-Update ausrollen. Der Status pro Benutzer kann zwischen "Disabled", "Enabled" und "Enforced" variieren. Um einen Benutzer das erste Mal für MFA zu konfigurieren, schalten Sie ihn auf "Enabled". Bei der nächsten Anmeldung wird der Benutzer aufgefordert, die notwendigen Angaben für den Telefonkontakt – entweder Telefonanruf, SMS oder App – auszuwählen und einmalig testweise auszuführen.
Seite 2: MFA für Benutzer aktivieren
Im zweiten Teil zeigen wir, wie Sie das Benutzer-Enrollment durchführen und die MFA-Optionen ändern.
dr/ln/Florian Frommherz
Die beiden Cloud-MFA-Angebote in Office 365 und Azure kommen primär zum Einsatz, wenn Benutzer eine Cloudanwendung oder ein Dokument aus der Cloud aufrufen. Für Anwendungen, die innerhalb der Unternehmensgrenzen laufen und mit ADFS föderiert wurden, gibt es ebenfalls zwei Optionen: entweder den MFA-Server, den Microsoft als lokalen Server anbietet, oder den MFA-Provider aus ADFS in Windows Server 2016.
Der MFA-Server ist in Azure AD Premium enthalten und hat die Aufgabe, mit ADFS zusammen Multifaktor-Authentifizierung für alle internen Anwendungen anzubieten. Der Server bindet sich mit Hilfe eines Plug-ins, das generell Drittanbietern zur Verfügung steht, in ADFS ein. Aus ADFS heraus wird beim Zugriff auf Anwendungen bei der Anmeldung entschieden, ob MFA erforderlich ist oder nicht – und falls ja, über den MFA-Server ausgelöst. Neben ADFS bietet der MFA-Server weitere Integration in andere Systeme, wie etwa IIS oder das RDP-Protokoll sowie eine RAS-Schnittstelle.
Für den Einsatz von webbasierten Anwendungen, die in ADFS als "Relying Party" integriert werden, bietet ADFS in Windows Server 2016 auch direkt einen MFA-Provider für Azure MFA an. Sollte ein Benutzer eine Anwendung aufrufen, die mit ADFS integriert ist, kann ADFS über Azure MFA eine Zweitfaktorabfrage auslösen, um den Benutzer zu verifizieren – und das, obwohl die Anwendung gar nicht im Azure AD integriert ist.
Passende Einsatzszenarien
Die zahlreichen Varianten und möglichen Lösungen können leicht verwirren. Die Möglichkeiten unterscheiden sich dabei aber sehr stark im Haupteinsatzzweck, schließen sich meist aber nicht gegenseitig aus.
Für den Schutz von Office 365 und weiterer SaaS-Anwendungen aus dem Azure AD, inklusive der flexiblen Regeln aus Conditional Access, ist Azure MFA die passende Lösung. Sollen Anwendungen genutzt werden, die direkt in ADFS integriert werden können und nicht kurz -oder mittelfristig zu Azure AD migriert werden, ist ADFS in Windows Server 2016 mit dem eingebauten MFA-Provider die richtige Wahl. Gibt es im Unternehmensnetz weitere Anforderungen zu MFA, etwa Webanwendungen, die nicht in ADFS integriert sind, RAS-Dienste oder Netzwerk-Appliances, die RAS sprechen, lohnt sich ein Blick auf MFA-Server und dessen Möglichkeiten.
Für die Platzierung der richtigen Lösung ist eine genaue Anforderungsanalyse erforderlich. Der gemeinsame Nenner hierfür ist zunächst Azure MFA, weil wir zumindest für diesen Artikel davon ausgehen, dass Office 365 mit einem Zweitfaktor geschützt werden soll.
MFA für Benutzer aktivieren
Um als ersten Schritt den Zweitfaktor zu aktivieren, ohne komplexe Regelsätze anzuwenden, nehmen Sie die Konfiguration im MFA-Portal von Azure AD für die Zielbenutzer vor. Die MFA-Konfiguration erreichen Sie entweder über das Office-365-Admin-Portal oder über das Azure-AD-Admin-Portal.
Im Office-365-Adminportal suchen Sie zunächst den Benutzer und lassen sich das Optionen-Fly-in von rechts anzeigen. Eine Kategorie lautet "More settings" kurz vor dem "Close"-Button, wo "Manage multi-factor authentication" als Link hinterlegt ist. Per Klick gelangen Sie ins MFA-Portal. Vom Admin-Portal von Azure AD aus geht es über den Menüpunkt "Users" direkt über den darauf geladenen "Manage multi-factor auth"-Link am Menü am unteren Webseitenrand.
Bild 2: Die Anforderung für MFA wird für einzelne Benutzer oder Benutzergruppen im MFA-Portal konfiguriert.
Im MFA-Admin-Portal nehmen Sie dann die grundlegende Konfiguration für die jeweiligen Benutzer vor. Die Settings lassen sich dabei für einzelne Benutzer oder per Bulk-Update ausrollen. Der Status pro Benutzer kann zwischen "Disabled", "Enabled" und "Enforced" variieren. Um einen Benutzer das erste Mal für MFA zu konfigurieren, schalten Sie ihn auf "Enabled". Bei der nächsten Anmeldung wird der Benutzer aufgefordert, die notwendigen Angaben für den Telefonkontakt – entweder Telefonanruf, SMS oder App – auszuwählen und einmalig testweise auszuführen.
Unter "Manage user settings" stehen Ihnen drei weitere Optionen zur Auswahl:
- "Require selected users to provide contact methods again" weist Azure AD an, die Kontaktoptionen eines Benutzers erneut abzufragen und den Registrationsassistenten erneut auszuführen, selbst wenn ein Benutzer MFA schon erfolgreich nutzt.
- "Delete all existing app passwords generated by the selected users" weist Azure AD an, bestehende App-Kennwörter der Nutzer zu löschen, sodass diese neue Passwörter wählen müssen.
- "Restore multi-factor authentication on all remembered devices" erzwingt MFA auch auf bekannten Geräten, sollte ein Benutzer ein Gerät registriert haben und Azure AD gebeten haben, auf bekannten Geräten bis auf Weiteres keine weiteren MFA-Anfragen anzuzeigen.
Seite 2: MFA für Benutzer aktivieren
Im zweiten Teil zeigen wir, wie Sie das Benutzer-Enrollment durchführen und die MFA-Optionen ändern.
| << Vorherige Seite | Seite 2 von 2 |
dr/ln/Florian Frommherz
