Fachartikel

Multifaktor-Authentifizierung in Azure AD (2)

Mit der zunehmenden Nutzung von Cloudanwendungen sowie der Azure-AD-Identity-Plattform wächst für Unternehmen die Dringlichkeit, Anmeldungen und die Konten von Benutzern zu schützen. Microsoft stellt dafür eine Multifaktor-Authentifizierung zur Verfügung. Dabei lassen sich auch die Smartphones der Mitarbeiter bequem via App nutzen. Wie Sie Anmeldung und Konten in der Microsoft-Cloud dank zweitem Faktor schützen, lesen Sie in diesem Beitrag. Im zweiten Teil zeigen wir, wie Sie das Benutzer-Enrollment durchführen und die MFA-Optionen ändern.
Doppelt hält besser: Auch im Azure AD bietet sich die Mehrfaktor-Authentifizierung an.
Benutzer-Enrollment durchführen
Nach der erfolgreichen Konfiguration eines Benutzers für MFA steht dessen Registrierungsprozess an. Die Benutzeranmeldung wird dabei temporär unterbrochen, um den Benutzer zu bitten, die MFA-Registrierung durchzuführen. Für Mitarbeiter, die mit ADFS authentifiziert werden, tritt die Registrierung nach der ADFS-Anmeldung ein.

Nachdem ADFS den Mitarbeiter authentifiziert hat und den Browser zurück zum Azure AD leitet, erhält der Benutzer die Meldung, dass die Unternehmens-IT die MFA-Registrierung erfordert. Darunter findet er den "Set it up now"-Knopf. Der erste Schritt umfasst dann die Auswahl der Kontaktmethode und die Anmeldung des Telefons. Zur Auswahl stehen "Authentication phone" – ein Smartphone, das sowohl Anrufe als auch Textnachrichten empfangen kann.


Bild 3: Mitarbeiter registrieren sich bei Azure MFA selbst und wählen die gewünschte Kontaktmethode aus.

Die Alternative ist das "Office phone", ein Festnetztelefon ohne Textnachrichtenfunktion, bei dem die Telefonnummer bereits aus dem Windows-AD synchronisiert wurde und nicht änderbar ist. Zuletzt gibt es die Variante "Mobile app", bei dem die App "Microsoft Authenticator" auf das Smartphone geladen werden muss und registriert wird, um dort MFA-Anfragen zu bestätigen. Je nach Benutzerauswahl verändern sich die Registrierungsoptionen. Für das "Authentication phone" (Smartphone) muss der Benutzer seine Telefonnummer selbst angeben.

Die Microsoft-Authenticator-App kann im jeweiligen App-Store heruntergeladen werden. Der Registrierungsassistent bietet bequemerweise Links zum App-Download sowie weiterführende Schritte für die Einrichtung der App. So fügen die Anwender ihren Account in der App hinzu und richten diesen mit Hilfe eines auf der Webseite angezeigten QR-Codes ein. Bei der Konfiguration der App gibt es zwei Modi: Entweder sendet das Azure AD eine Push-Notification zur App, die der Benutzer dann per Knopfdruck auf seinem registrierten Smartphone bestätigt oder die App zeigt einen sechsstelligen Code an, den der Benutzer beim MFA-Prompt eingeben muss. Deutlich bequemer ist die Push-Notification, die aber zum Zeitpunkt der Abfrage eine Internetverbindung benötigt.

Für den zweiten Schritt klicken die Nutzer auf "Contact me". Das Azure AD will sicherstellen, dass die gerade ausgewählte Methode funktioniert und löst eine Test-MFA-Anfrage aus. Je nach ausgewählter Methode wird der Benutzer kontaktiert und muss einen Telefonanruf beantworten, einen Code eingeben oder MFA in der App bestätigen. Gelingt dies, endet die Anmeldung mit Schritt 3, bei dem die Benutzer ihr App-Passwort angezeigt bekommen. Für alle Anwendungen, die kein MFA unterstützen, weil sie ältere Anmeldemethoden gegen das Azure AD nutzen, muss nämlich ein App-Passwort hinterlegt werden.
MFA-Optionen ändern
Natürlich gelten die Einstellungen, die während des Registrierungsprozesses vorgenommen werden, nicht in alle Ewigkeit. Benutzer können die MFA-Einstellungen jederzeit modifizieren, etwa wenn sich ihre Telefonnummer ändert oder sie ein neues Smartphone erhalten.

Der zentrale Anlaufpunkt für diese Einstellungen im Azure AD ist das MyApps-Portal [2]. Neben den zur Verfügung gestellten Anwendungen aus Azure AD und Office 365 sind dort einige Funktionen aus Azure AD als Self-Service hinterlegt. Im Portal angemeldet, klicken Benutzer auf "Profile", wo sie unter anderem ihre Unternehmensdaten wie Büronummer, Titel und Telefonnummer sehen und auch einige Funktionen aufrufen können. Der Knopf "Additional security verification" führt zurück zum Azure-MFA-Portal, wo sich die zuvor getätigten Einstellungen ändern oder zusätzliche Zweitfaktoren definieren lassen.

Fazit
Für Clouddienste, in denen sensible Daten lagern und auf die Benutzer von unterwegs zugreifen, muss eine Zweifaktorauthentifizierung her. Denn Kennwörter alleine bieten längst keinen ausreichenden Schutz mehr. Microsoft bietet mit der in Azure und Office 365 integrierten Multifaktor-Authentifizierung eine umfassende und komfortable Möglichkeit, einen zweiten Faktor zu integrieren. Besonders praktisch für die Anwender ist dabei, dass es sich dabei um das eigene Smartphone handeln kann.

Im ersten Teil gingen wir besonders auf die Grundlagen ein und erklärten, wie Sie MFA für Benutzer aktivieren.
19.08.2019/dr/ln/Florian Frommherz

Nachrichten

Schutz und Kontrolle für macOS-Rechner [13.12.2019]

Mit der neusten Version des Privilege Managers von Thycotic lassen sich Least-Privilege-Zugriffskontrollen ab sofort auch auf Workstations und Laptops umsetzen, die auf macOS laufen. [mehr]

Deutliche Zunahme an Bedrohungen [12.12.2019]

Im Jahr 2019 ist die Zahl einzigartiger, schädlicher Bedrohungsobjekte, die durch die webbasierten Antivirenlösungen von Kaspersky identifiziert wurden, im Vergleich zum Vorjahr um knapp 13,7 Prozent angestiegen, so das Ergebnis der im Rahmen des Kaspersky Security Bulletin 2019/2020 veröffentlichten Jahresstatistik. [mehr]

Kampf der Schatten-IT [9.12.2019]

Tipps & Tools

Vorschau November 2019: Container & Anwendungsserver [21.10.2019]

Das Bereitstellen von Anwendungen ist eine zentrale Administrationsaufgabe und Fehler hierbei fallen Mitarbeitern wie Kunden unmittelbar auf. Eine wichtige Rolle spielt das Fundament für Applikationen, die Serverlandschaft. In der November-Ausgabe beleuchtet IT-Administrator das Thema "Container & Anwendungsserver". Darin lesen Sie etwa, welche Best Practices Sie bei Microsofts IIS nutzen sollten und wie Sie Container-Logdaten mit Fluentbit auswerten. Außerdem werfen wir einen Blick auf die Orchestrierung von Containern und die Kubernetes-Alternative Nomad. In den Tests tritt der Solarwinds Server & Application Monitor an. [mehr]

VPC richtig konfigurieren [18.08.2019]

Wenn Sie eine Virtual Private Cloud für die Verwendung mit Amazon Aurora anlegen, ist es wichtig diese richtig zu konfigurieren. Grundsätzlich muss eine Virtual Private Cloud (VPC), die einen Amazon-Aurora-DB-Cluster enthält, mindestens zwei Availability Zones (AZ) umfassen. Jede AZ muss außerdem mindestens ein Subnetz bereithalten. Für das folgende Beispielszenario melden Sie sich in der AWS Management Console an und öffnen dort die VPC-Konsole. [mehr]

Buchbesprechung

Handbuch Online-Shop

von Alexander Steireif, Rouven Rieker, Markus Bückle

Anzeigen