Fachartikel

Seite 2 - Multifaktor-Authentifizierung in Azure AD (1)

MFA fürs interne Netzwerk
Die beiden Cloud-MFA-Angebote in Office 365 und Azure kommen primär zum Einsatz, wenn Benutzer eine Cloudanwendung oder ein Dokument aus der Cloud aufrufen. Für Anwendungen, die innerhalb der Unternehmensgrenzen laufen und mit ADFS föderiert wurden, gibt es ebenfalls zwei Optionen: entweder den MFA-Server, den Microsoft als lokalen Server anbietet, oder den MFA-Provider aus ADFS in Windows Server 2016.

Der MFA-Server ist in Azure AD Premium enthalten und hat die Aufgabe, mit ADFS zusammen Multifaktor-Authentifizierung für alle internen Anwendungen anzubieten. Der Server bindet sich mit Hilfe eines Plug-ins, das generell Drittanbietern zur Verfügung steht, in ADFS ein. Aus ADFS heraus wird beim Zugriff auf Anwendungen bei der Anmeldung entschieden, ob MFA erforderlich ist oder nicht – und falls ja, über den MFA-Server ausgelöst. Neben ADFS bietet der MFA-Server weitere Integration in andere Systeme, wie etwa IIS oder das RDP-Protokoll sowie eine RAS-Schnittstelle.

Für den Einsatz von webbasierten Anwendungen, die in ADFS als "Relying Party" integriert werden, bietet ADFS in Windows Server 2016 auch direkt einen MFA-Provider für Azure MFA an. Sollte ein Benutzer eine Anwendung aufrufen, die mit ADFS integriert ist, kann ADFS über Azure MFA eine Zweitfaktorabfrage auslösen, um den Benutzer zu verifizieren – und das, obwohl die Anwendung gar nicht im Azure AD integriert ist.
Passende Einsatzszenarien
Die zahlreichen Varianten und möglichen Lösungen können leicht verwirren. Die Möglichkeiten unterscheiden sich dabei aber sehr stark im Haupteinsatzzweck, schließen sich meist aber nicht gegenseitig aus.

Für den Schutz von Office 365 und weiterer SaaS-Anwendungen aus dem Azure AD, inklusive der flexiblen Regeln aus Conditional Access, ist Azure MFA die passende Lösung. Sollen Anwendungen genutzt werden, die direkt in ADFS integriert werden können und nicht kurz -oder mittelfristig zu Azure AD migriert werden, ist ADFS in Windows Server 2016 mit dem eingebauten MFA-Provider die richtige Wahl. Gibt es im Unternehmensnetz weitere Anforderungen zu MFA, etwa Webanwendungen, die nicht in ADFS integriert sind, RAS-Dienste oder Netzwerk-Appliances, die RAS sprechen, lohnt sich ein Blick auf MFA-Server und dessen Möglichkeiten.

Für die Platzierung der richtigen Lösung ist eine genaue Anforderungsanalyse erforderlich. Der gemeinsame Nenner hierfür ist zunächst Azure MFA, weil wir zumindest für diesen Artikel davon ausgehen, dass Office 365 mit einem Zweitfaktor geschützt werden soll.

MFA für Benutzer aktivieren
Um als ersten Schritt den Zweitfaktor zu aktivieren, ohne komplexe Regelsätze anzuwenden, nehmen Sie die Konfiguration im MFA-Portal von Azure AD für die Zielbenutzer vor. Die MFA-Konfiguration erreichen Sie entweder über das Office-365-Admin-Portal oder über das Azure-AD-Admin-Portal.

Im Office-365-Adminportal suchen Sie zunächst den Benutzer und lassen sich das Optionen-Fly-in von rechts anzeigen. Eine Kategorie lautet "More settings" kurz vor dem "Close"-Button, wo "Manage multi-factor authentication" als Link hinterlegt ist. Per Klick gelangen Sie ins MFA-Portal. Vom Admin-Portal von Azure AD aus geht es über den Menüpunkt "Users" direkt über den darauf geladenen "Manage multi-factor auth"-Link am Menü am unteren Webseitenrand.


Bild 2: Die Anforderung für MFA wird für einzelne Benutzer oder Benutzergruppen im MFA-Portal konfiguriert.

Im MFA-Admin-Portal nehmen Sie dann die grundlegende Konfiguration für die jeweiligen Benutzer vor. Die Settings lassen sich dabei für einzelne Benutzer oder per Bulk-Update ausrollen. Der Status pro Benutzer kann zwischen "Disabled", "Enabled" und "Enforced" variieren. Um einen Benutzer das erste Mal für MFA zu konfigurieren, schalten Sie ihn auf "Enabled". Bei der nächsten Anmeldung wird der Benutzer aufgefordert, die notwendigen Angaben für den Telefonkontakt – entweder Telefonanruf, SMS oder App – auszuwählen und einmalig testweise auszuführen.

Unter "Manage user settings" stehen Ihnen drei weitere Optionen zur Auswahl:

  • "Require selected users to provide contact methods again" weist Azure AD an, die Kontaktoptionen eines Benutzers erneut abzufragen und den Registrationsassistenten erneut auszuführen, selbst wenn ein Benutzer MFA schon erfolgreich nutzt.
  • "Delete all existing app passwords generated by the selected users" weist Azure AD an, bestehende App-Kennwörter der Nutzer zu löschen, sodass diese neue Passwörter wählen müssen.
  • "Restore multi-factor authentication on all remembered devices" erzwingt MFA auch auf bekannten Geräten, sollte ein Benutzer ein Gerät registriert haben und Azure AD gebeten haben, auf bekannten Geräten bis auf Weiteres keine weiteren MFA-Anfragen anzuzeigen.
Seite 1: Smartphone als zweiter Faktor
Seite 2: MFA für Benutzer aktivieren

Im zweiten Teil zeigen wir, wie Sie das Benutzer-Enrollment durchführen und die MFA-Optionen ändern.

<< Vorherige Seite Seite 2 von 2
12.08.2019/dr/ln/Florian Frommherz

Nachrichten

TeamViewer integriert Patch-Management-Funktion [5.12.2019]

TeamViewer erweitert seine Software "Monitoring & Asset Management" um eine Patch-Management-Funktion. Damit sollen besonders kleine und mittelständische Unternehmen darin unterstützt werden, ihre Software auf dem aktuellen Stand zu halten. Häufig stellen veraltete Programme nämlich ein Einfallstor für Angreifer dar. [mehr]

Kritische Android-Schwachstelle gefährdet alle Nutzer [4.12.2019]

Eine neue Schwachstelle gefährdet alle Nutzer von Android bis einschließlich Version 10. Angreifer können ihre Malware-Apps dabei als legitimie Applikation tarnen um im Namen der vertrauten App beliebige Rechte auf dem System einfordern. Nutzer haben kaum eine Chance, den Vorgang zu erkennen, der auch auf nicht-gerooteten Geräten funktioniert. Einen Schutz gibt es bislang nicht. [mehr]

Hotelgäste im Visier [28.11.2019]

Tipps & Tools

Vorschau November 2019: Container & Anwendungsserver [21.10.2019]

Das Bereitstellen von Anwendungen ist eine zentrale Administrationsaufgabe und Fehler hierbei fallen Mitarbeitern wie Kunden unmittelbar auf. Eine wichtige Rolle spielt das Fundament für Applikationen, die Serverlandschaft. In der November-Ausgabe beleuchtet IT-Administrator das Thema "Container & Anwendungsserver". Darin lesen Sie etwa, welche Best Practices Sie bei Microsofts IIS nutzen sollten und wie Sie Container-Logdaten mit Fluentbit auswerten. Außerdem werfen wir einen Blick auf die Orchestrierung von Containern und die Kubernetes-Alternative Nomad. In den Tests tritt der Solarwinds Server & Application Monitor an. [mehr]

VPC richtig konfigurieren [18.08.2019]

Wenn Sie eine Virtual Private Cloud für die Verwendung mit Amazon Aurora anlegen, ist es wichtig diese richtig zu konfigurieren. Grundsätzlich muss eine Virtual Private Cloud (VPC), die einen Amazon-Aurora-DB-Cluster enthält, mindestens zwei Availability Zones (AZ) umfassen. Jede AZ muss außerdem mindestens ein Subnetz bereithalten. Für das folgende Beispielszenario melden Sie sich in der AWS Management Console an und öffnen dort die VPC-Konsole. [mehr]

Buchbesprechung

Handbuch Online-Shop

von Alexander Steireif, Rouven Rieker, Markus Bückle

Anzeigen