Fachartikel

Multifaktor-Authentifizierung in Azure AD (2)

Mit der zunehmenden Nutzung von Cloudanwendungen sowie der Azure-AD-Identity-Plattform wächst für Unternehmen die Dringlichkeit, Anmeldungen und die Konten von Benutzern zu schützen. Microsoft stellt dafür eine Multifaktor-Authentifizierung zur Verfügung. Dabei lassen sich auch die Smartphones der Mitarbeiter bequem via App nutzen. Wie Sie Anmeldung und Konten in der Microsoft-Cloud dank zweitem Faktor schützen, lesen Sie in diesem Beitrag. Im zweiten Teil zeigen wir, wie Sie das Benutzer-Enrollment durchführen und die MFA-Optionen ändern.
Doppelt hält besser: Auch im Azure AD bietet sich die Mehrfaktor-Authentifizierung an.
Benutzer-Enrollment durchführen
Nach der erfolgreichen Konfiguration eines Benutzers für MFA steht dessen Registrierungsprozess an. Die Benutzeranmeldung wird dabei temporär unterbrochen, um den Benutzer zu bitten, die MFA-Registrierung durchzuführen. Für Mitarbeiter, die mit ADFS authentifiziert werden, tritt die Registrierung nach der ADFS-Anmeldung ein.

Nachdem ADFS den Mitarbeiter authentifiziert hat und den Browser zurück zum Azure AD leitet, erhält der Benutzer die Meldung, dass die Unternehmens-IT die MFA-Registrierung erfordert. Darunter findet er den "Set it up now"-Knopf. Der erste Schritt umfasst dann die Auswahl der Kontaktmethode und die Anmeldung des Telefons. Zur Auswahl stehen "Authentication phone" – ein Smartphone, das sowohl Anrufe als auch Textnachrichten empfangen kann.


Bild 3: Mitarbeiter registrieren sich bei Azure MFA selbst und wählen die gewünschte Kontaktmethode aus.

Die Alternative ist das "Office phone", ein Festnetztelefon ohne Textnachrichtenfunktion, bei dem die Telefonnummer bereits aus dem Windows-AD synchronisiert wurde und nicht änderbar ist. Zuletzt gibt es die Variante "Mobile app", bei dem die App "Microsoft Authenticator" auf das Smartphone geladen werden muss und registriert wird, um dort MFA-Anfragen zu bestätigen. Je nach Benutzerauswahl verändern sich die Registrierungsoptionen. Für das "Authentication phone" (Smartphone) muss der Benutzer seine Telefonnummer selbst angeben.

Die Microsoft-Authenticator-App kann im jeweiligen App-Store heruntergeladen werden. Der Registrierungsassistent bietet bequemerweise Links zum App-Download sowie weiterführende Schritte für die Einrichtung der App. So fügen die Anwender ihren Account in der App hinzu und richten diesen mit Hilfe eines auf der Webseite angezeigten QR-Codes ein. Bei der Konfiguration der App gibt es zwei Modi: Entweder sendet das Azure AD eine Push-Notification zur App, die der Benutzer dann per Knopfdruck auf seinem registrierten Smartphone bestätigt oder die App zeigt einen sechsstelligen Code an, den der Benutzer beim MFA-Prompt eingeben muss. Deutlich bequemer ist die Push-Notification, die aber zum Zeitpunkt der Abfrage eine Internetverbindung benötigt.

Für den zweiten Schritt klicken die Nutzer auf "Contact me". Das Azure AD will sicherstellen, dass die gerade ausgewählte Methode funktioniert und löst eine Test-MFA-Anfrage aus. Je nach ausgewählter Methode wird der Benutzer kontaktiert und muss einen Telefonanruf beantworten, einen Code eingeben oder MFA in der App bestätigen. Gelingt dies, endet die Anmeldung mit Schritt 3, bei dem die Benutzer ihr App-Passwort angezeigt bekommen. Für alle Anwendungen, die kein MFA unterstützen, weil sie ältere Anmeldemethoden gegen das Azure AD nutzen, muss nämlich ein App-Passwort hinterlegt werden.
MFA-Optionen ändern
Natürlich gelten die Einstellungen, die während des Registrierungsprozesses vorgenommen werden, nicht in alle Ewigkeit. Benutzer können die MFA-Einstellungen jederzeit modifizieren, etwa wenn sich ihre Telefonnummer ändert oder sie ein neues Smartphone erhalten.

Der zentrale Anlaufpunkt für diese Einstellungen im Azure AD ist das MyApps-Portal [2]. Neben den zur Verfügung gestellten Anwendungen aus Azure AD und Office 365 sind dort einige Funktionen aus Azure AD als Self-Service hinterlegt. Im Portal angemeldet, klicken Benutzer auf "Profile", wo sie unter anderem ihre Unternehmensdaten wie Büronummer, Titel und Telefonnummer sehen und auch einige Funktionen aufrufen können. Der Knopf "Additional security verification" führt zurück zum Azure-MFA-Portal, wo sich die zuvor getätigten Einstellungen ändern oder zusätzliche Zweitfaktoren definieren lassen.

Fazit
Für Clouddienste, in denen sensible Daten lagern und auf die Benutzer von unterwegs zugreifen, muss eine Zweifaktorauthentifizierung her. Denn Kennwörter alleine bieten längst keinen ausreichenden Schutz mehr. Microsoft bietet mit der in Azure und Office 365 integrierten Multifaktor-Authentifizierung eine umfassende und komfortable Möglichkeit, einen zweiten Faktor zu integrieren. Besonders praktisch für die Anwender ist dabei, dass es sich dabei um das eigene Smartphone handeln kann.

Im ersten Teil gingen wir besonders auf die Grundlagen ein und erklärten, wie Sie MFA für Benutzer aktivieren.
19.08.2019/dr/ln/Florian Frommherz

Nachrichten

Cloud: Viel genutzt, wenig gesichert [11.09.2019]

Unternehmen haben mit der rasanten Expansion der Cloud zu kämpfen. Dies geht aus dem neuen Cloud Security Threat Report (CSTR) von Symantec hervor. Dabei geben 53 Prozent der Organisationen in Deutschland an, dass ihre Cloudsicherheit nicht ausgereift genug ist, um mit der rasanten Expansion von Cloudanwendungen Schritt zu halten. [mehr]

Erfolgreiche Betrugsmasche: Deepfakes [6.09.2019]

Bereits seit Längerem sind Foto- und Video-Deepfakes im Umlauf, die von echtem Bildmaterial kaum mehr zu unterscheiden sind. Jetzt hat erstmals in größerem Ausmaß ein Voice-Deepfake zugeschlagen. Mit einer KI-basierten Software und der Imitation der Stimme eines CEO ist es Angreifern gelungen, in den Besitz von 243.000 US-Dollar zu gelangen. [mehr]

Ungleicher Kampf [6.09.2019]

Tipps & Tools

VPC richtig konfigurieren [18.08.2019]

Wenn Sie eine Virtual Private Cloud für die Verwendung mit Amazon Aurora anlegen, ist es wichtig diese richtig zu konfigurieren. Grundsätzlich muss eine Virtual Private Cloud (VPC), die einen Amazon-Aurora-DB-Cluster enthält, mindestens zwei Availability Zones (AZ) umfassen. Jede AZ muss außerdem mindestens ein Subnetz bereithalten. Für das folgende Beispielszenario melden Sie sich in der AWS Management Console an und öffnen dort die VPC-Konsole. [mehr]

Jetzt buchen: Training "vSphere Best Practices und Troubleshooting" [12.08.2019]

Die Virtualisierungsinfrastruktur ist heutzutage in den meisten Unternehmen die Basis des IT-Betriebs. Läuft sie nicht optimal oder steht gar komplett still, fallen zahlreiche IT-Dienste aus. Daher sind gerade für VMware vSphere Best Practices gefragt, die helfen, das System mit größtmöglicher Leistung zu betreiben und proaktiv auf mögliche Störungen zu überwachen. Wie dabei vorzugehen ist, zeigt unser Training ebenso wie das Troubleshooting im Fehlerfall. [mehr]

Buchbesprechung

Anzeigen