Fachartikel

Multifaktor-Authentifizierung in Azure AD (2)

Mit der zunehmenden Nutzung von Cloudanwendungen sowie der Azure-AD-Identity-Plattform wächst für Unternehmen die Dringlichkeit, Anmeldungen und die Konten von Benutzern zu schützen. Microsoft stellt dafür eine Multifaktor-Authentifizierung zur Verfügung. Dabei lassen sich auch die Smartphones der Mitarbeiter bequem via App nutzen. Wie Sie Anmeldung und Konten in der Microsoft-Cloud dank zweitem Faktor schützen, lesen Sie in diesem Beitrag. Im zweiten Teil zeigen wir, wie Sie das Benutzer-Enrollment durchführen und die MFA-Optionen ändern.
Doppelt hält besser: Auch im Azure AD bietet sich die Mehrfaktor-Authentifizierung an.
Benutzer-Enrollment durchführen
Nach der erfolgreichen Konfiguration eines Benutzers für MFA steht dessen Registrierungsprozess an. Die Benutzeranmeldung wird dabei temporär unterbrochen, um den Benutzer zu bitten, die MFA-Registrierung durchzuführen. Für Mitarbeiter, die mit ADFS authentifiziert werden, tritt die Registrierung nach der ADFS-Anmeldung ein.

Nachdem ADFS den Mitarbeiter authentifiziert hat und den Browser zurück zum Azure AD leitet, erhält der Benutzer die Meldung, dass die Unternehmens-IT die MFA-Registrierung erfordert. Darunter findet er den "Set it up now"-Knopf. Der erste Schritt umfasst dann die Auswahl der Kontaktmethode und die Anmeldung des Telefons. Zur Auswahl stehen "Authentication phone" – ein Smartphone, das sowohl Anrufe als auch Textnachrichten empfangen kann.


Bild 3: Mitarbeiter registrieren sich bei Azure MFA selbst und wählen die gewünschte Kontaktmethode aus.

Die Alternative ist das "Office phone", ein Festnetztelefon ohne Textnachrichtenfunktion, bei dem die Telefonnummer bereits aus dem Windows-AD synchronisiert wurde und nicht änderbar ist. Zuletzt gibt es die Variante "Mobile app", bei dem die App "Microsoft Authenticator" auf das Smartphone geladen werden muss und registriert wird, um dort MFA-Anfragen zu bestätigen. Je nach Benutzerauswahl verändern sich die Registrierungsoptionen. Für das "Authentication phone" (Smartphone) muss der Benutzer seine Telefonnummer selbst angeben.

Die Microsoft-Authenticator-App kann im jeweiligen App-Store heruntergeladen werden. Der Registrierungsassistent bietet bequemerweise Links zum App-Download sowie weiterführende Schritte für die Einrichtung der App. So fügen die Anwender ihren Account in der App hinzu und richten diesen mit Hilfe eines auf der Webseite angezeigten QR-Codes ein. Bei der Konfiguration der App gibt es zwei Modi: Entweder sendet das Azure AD eine Push-Notification zur App, die der Benutzer dann per Knopfdruck auf seinem registrierten Smartphone bestätigt oder die App zeigt einen sechsstelligen Code an, den der Benutzer beim MFA-Prompt eingeben muss. Deutlich bequemer ist die Push-Notification, die aber zum Zeitpunkt der Abfrage eine Internetverbindung benötigt.

Für den zweiten Schritt klicken die Nutzer auf "Contact me". Das Azure AD will sicherstellen, dass die gerade ausgewählte Methode funktioniert und löst eine Test-MFA-Anfrage aus. Je nach ausgewählter Methode wird der Benutzer kontaktiert und muss einen Telefonanruf beantworten, einen Code eingeben oder MFA in der App bestätigen. Gelingt dies, endet die Anmeldung mit Schritt 3, bei dem die Benutzer ihr App-Passwort angezeigt bekommen. Für alle Anwendungen, die kein MFA unterstützen, weil sie ältere Anmeldemethoden gegen das Azure AD nutzen, muss nämlich ein App-Passwort hinterlegt werden.
MFA-Optionen ändern
Natürlich gelten die Einstellungen, die während des Registrierungsprozesses vorgenommen werden, nicht in alle Ewigkeit. Benutzer können die MFA-Einstellungen jederzeit modifizieren, etwa wenn sich ihre Telefonnummer ändert oder sie ein neues Smartphone erhalten.

Der zentrale Anlaufpunkt für diese Einstellungen im Azure AD ist das MyApps-Portal [2]. Neben den zur Verfügung gestellten Anwendungen aus Azure AD und Office 365 sind dort einige Funktionen aus Azure AD als Self-Service hinterlegt. Im Portal angemeldet, klicken Benutzer auf "Profile", wo sie unter anderem ihre Unternehmensdaten wie Büronummer, Titel und Telefonnummer sehen und auch einige Funktionen aufrufen können. Der Knopf "Additional security verification" führt zurück zum Azure-MFA-Portal, wo sich die zuvor getätigten Einstellungen ändern oder zusätzliche Zweitfaktoren definieren lassen.

Fazit
Für Clouddienste, in denen sensible Daten lagern und auf die Benutzer von unterwegs zugreifen, muss eine Zweifaktorauthentifizierung her. Denn Kennwörter alleine bieten längst keinen ausreichenden Schutz mehr. Microsoft bietet mit der in Azure und Office 365 integrierten Multifaktor-Authentifizierung eine umfassende und komfortable Möglichkeit, einen zweiten Faktor zu integrieren. Besonders praktisch für die Anwender ist dabei, dass es sich dabei um das eigene Smartphone handeln kann.

Im ersten Teil gingen wir besonders auf die Grundlagen ein und erklärten, wie Sie MFA für Benutzer aktivieren.
19.08.2019/dr/ln/Florian Frommherz

Nachrichten

Android-Security-Apps im Dauertest [10.07.2020]

Angreifer finden immer raffiniertere Wege, um Android-Geräte mit Malware zu infizieren. So hat jüngst die "Joker" getaufte Schadsoftware erneut die Sicherheitsmechanismen in Google Play ausgetrickst. Wie gut Antimalware-Apps die Nutzer vor solchen Attacken schützen, hat AV-Test in einem Dauertest untersucht – mit einem teilweise überraschenden Ergebnis. [mehr]

IoT- und nicht-verwaltete Geräte im Blick [9.07.2020]

Exabeams Security Management Platform integriert künftig die agentenlose Sicherheitsplattform von Armis. Damit bekommen IT-Sicherheitsteams die Möglichkeit, neben IoT-Geräten auch nicht-verwaltete Geräte im Netzwerk zu identifizieren und deren Verhalten auf böswillige Aktivitäten über eine zentrale Plattform zu überwachen. [mehr]

Tipps & Tools

vCenter-Zertifikat austauschen [7.06.2020]

Jede vCenter-Serverinstanz hat nach der Installation ein selbst ausgestelltes Zertifikat. Sobald die Website der vCSA aufgerufen wird, erscheint eine Warnung bezüglich der Sicherheit. Um dies zu verhindern, können Sie entweder das Root-Zertifikat herunterladen und in den vertrauenswürdigen Speicher installieren oder das Machine-Zertifikat gegen ein eigenes ersetzen. Unser Tipp zeigt, wie das funktioniert.  [mehr]

Vorschau Juni 2020: Hybrid Cloud [25.05.2020]

Längst stehen Firmen mit einem Fuß in der Cloud. Um den Übergang in die Wolke möglichst reibungslos zu gestalten, dreht sich der Schwerpunkt im Juni-Heft um das Thema "Hybrid Cloud". Darin zeigen wir unter anderem, wie sich Firmen eine passende Hybrid-Cloud-Strategie zurechtlegen und gleichzeitig die Business Continuity im Blick behalten. Außerdem erfahren Sie, wie Sie Windows Virtual Desktop mit freien Tools verwalten und Azure AD Connect in Betrieb nehmen. In den Tests tritt unter anderem Virtana CloudWisdom zur Kostenoptimierung bei Cloudressourcen an. [mehr]

Buchbesprechung

Microsoft Office 365

von Markus Widl

Anzeigen