BlogAzure und Office 365 mit Multi-Faktor-Authentifizierung (MFA) absichern

Azure und Office 365 mit Multi-Faktor-Authentifizierung (MFA) absichern

Mit der Multi-Faktor-Authentifizierung (MFA) kannst du im Azure AD sehr einfach einen Prozess implementieren, der Nutzer im Verlauf des Anmeldevorgangs auffordert, ein zusätzliches Identifizierungsverfahren (neben der Passworteingabe) zu verwenden, etwa einen Fingerabdruckscan oder das Eingeben eines Codes auf seinem Smartphone. Wir zeigen, wie du MFA im Azure AD aktivierst und wie es funktioniert.

Verwenden Nutzer zur Authentifizierung bei Azure oder Office 365 lediglich ein Passwort, stellt das in der Public-Cloud einen Angriffsvektor dar, den es unbedingt abzustellen gilt. Zweifelsohne bietet Cloud-Computing viele Vorteile. Du kannst aber faktisch nicht mehr einfach kontrollieren, von welchen IPs oder Client Anmeldeversuche eingehen, bzw. welche davon legitim sind oder einen Angriffsversucht darstellen.

Laut einer Untersuchung des Marktforschungsunternehmens lassen sich 80 % der Datenschutzverletzungen auf kompromittierte privilegierte Zugangsdaten wie Passwörter, Token, Schlüssel und Zertifikate zurückführen. Alarmierend scheint, wie einfach sich Cyberkriminelle Windows-Administrator- und Unix-Root-Anmeldeinformationen verschaffen können, um sich dann seitlich (Lateral Movement) über Systeme und Geräte hinweg zu bewegen. Wurde ein Kennwort offengelegt, können es Angreifer nutzen, um Zugriff zu erlangen. Wenn du ein zweites Authentifizierungsverfahren erzwingst, erhöht das die Sicherheit enorm, weil ein zusätzliches Verfahren von einem Angreifer nicht dupliziert werden kann.

Zu den wesentlichen Funktionen einer jeden Identitätsplattform gehört das Verifizieren oder Authentifizieren von Anmeldeinformationen, sobald sich ein Nutzer an einem Gerät, einer Anwendung oder einem Dienst anmeldet. Die Azure AD-Authentifizierung besteht aber in Summe aus mehreren Komponenten, die in ihrem Zusammenspiel die Sicherheit und damit den Supportaufwand für den Helpdesk verringern. Dazu gehören neben dem bereits gezeigten Self-Service-Kennwort-Reset (Link zum Artikel) auch die Azure AD Multi-Factor Authentication, die Hybridintegration zum Zurückschreiben von Kennwortänderungen in die lokale Umgebung (Link zum Artikel), die Hybridintegration zum Erzwingen von Kennwortschutzrichtlinien für eine lokale Umgebung und schließlich auch die Kennwortlose Authentifizierung.

Bei Azure AD Multi-Factor Authentication musst du zwei der im Folgenden angegebenen Authentifizierungsverfahren zwingend verwenden:

  • Eine dir bekannte Information (meist Passwort).
  • Ein in deinem Besitz befindliches Objekt, wie beispielsweise ein vertrauenswĂĽrdiges Gerät, das nicht ohne Weiteres kopiert werden kann (Smartphone oder HardwareschlĂĽssel).
  • Ein biometrisches Merkmal von dir (Fingerabdruck- oder Gesichtsscan).

In den Voreinstellungen von Azure AD ist im Rahmen der so genannten Sicherheitsstands MFA fĂĽr jeden Cloud-Benutzer obligatorisch. Diese Variante bezeichnen wie hier als Methode 1.

Multi-Faktor-Authentifizierung (MFA) aktivieren Methode 1

Du kannst diese Sicherheitseinstellungen überprüfen, wenn du im Hauptmenü vom Azure AD auf „Eigenschaften“ klickst. Dort klicke auf den etwas unscheinbaren Link am Fuß der Seite mit dem Titel „Sicherheitsstands verwalten“. Hier kannst du sehen, dass der Schalter „Sicherheitsstandards aktiveren“ standardmäßig auf „Ja“ steht. Microsoft schreibt dazu: „Die Sicherheitsstandards sind eine Gruppe von grundlegenden Mechanismen für die Identitätssicherheit, die von Microsoft empfohlen werden. Sofern aktiviert, werden diese Empfehlungen in deiner Organisation automatisch umgesetzt“. Das umfasst auch MFA für Cloud-Benutzer, weshalb die Funktion auch in der Azure AD Free Lizenz enthalten ist. MFA unter ADDS, bzw. für hybride Szenarien ist im Zusammenhang mit Microsoft https://docs.microsoft.com/en-us/azure/active-directory/authentication/howto-mfaserver-deploy MFA-Server deutlich aufwendiger einzurichten.

Du musst also per Default gar nichts tun, um MFA zu aktivieren, d. h. jeder neue Benutzer im Azure AD muss zwingend MFA nutzen und daher zeitnah nach der Account-Erstellung die zu verwendenden Sicherheitsmethoden implementieren. Er hat lediglich 14 Tage Zeit, diese Funktion zu umgehen:

Per Default kann man MFA nur 14 Tage umgehen

Klickst du hier auf Weiter, kannst und musst du mit Hilfe der Microsoft-Authenticator-App deinen zweiten Faktor konfigurieren.

Die Sicherheitsstandards sehen den Microsoft-Authenticator als Sicherheitsverfahren vor

Du findest die Microsoft Authenticator-App in Google Play, bzw. Apple App Store. Ist sie installiert, fügst du in der App ein neues Konto hinzu und scannst dann den QR-Code der dir angezeigt wird, wenn du im Azure AD-Anmelde-Dialog auf „Weiter“ klickst.

Das Einrichten eines Kontos im Microsoft-Authenticator erfolgt ĂĽber einen QR-Code

Leider ist es so, dass die kostenlosen Sicherheitsstandards ausschlieĂźlich der Registrierung fĂĽr und Verwendung von Azure AD Multi-Factor Authentication unter alleiniger Verwendung der Microsoft Authenticator-App mit Benachrichtigungen ermöglichen. Wenn du im Azure-Portal im Azure Active Directoy zum Abschnitt „Sicherheit / MFA“ navigierst, findest du alle MFA-relevanten Einstellungen mit Links zu den wichtigsten Abschnitten in der Dokumentation bei „Erste Schritte“.

Die MFA-Konfiguration im Azure AD

Hier kannst du z. B. unter „Benachrichtigungen“ die Mail-Adresse eines Empfängers hinterlegen oder im Abschnitt „Benutzer blockieren/entsperren“ blockierte Benutzer sehen. Solche erhalten keine MFA-Anforderungen (Multi-Faktor-Authentifizierung) und Authentifizierungsversuche fĂĽr diesen Benutzer werden automatisch abgelehnt. Die Sperre verbleibt fĂĽr 90 Tage, wenn du den Benutzer nicht manuell entsperrst. Bei „Betrugswarnung“ kannst du Benutzern ermöglichen, vermutete Betrugsversuche selbst zu melden, wenn diese eine nicht von dir initialisierte Anforderung zur ĂśberprĂĽfung erhalten.

Nutzer können z. B. berechtigt werden, selbst vermutete Betrugsversuche zu melden

Unter „Kontosperrung“ kannst du Konten im MFA-Dienst temporär sperren, wenn zu viele aufeinanderfolgende Authentifizierungsversuche abgelehnt wurden. Allerdings kommt das Verfahren nur bei Nutzern zum Tragen, die zur Authentifizierung eine PIN eingeben. Die Optionen bei „MFA Server verwalten“ kannst du fĂĽr Cloud-Only-Szenarien ignorieren. Sie ist nur fĂĽr Hybrid-Szenarien relevant. Zudem bietet Microsoft seit Juli 2019 fĂĽr neue Bereitstellungen keine MFA-Server mehr an. Neue Kunden sollten cloudbasierte Azure AD Multi-Factor Authentication verwenden. Klickst du dagegen jedoch unter „Multi-Factor Authentication / Erste Schritte“ auf den Link „Zusätzliche cloudbasierte MFA-Einstellungen“, leitet dich Microsoft zu den Einstellungen fĂĽr Methode 2 zum Aktivieren von MFA, nämliche „MFA pro Benutzer“.

Multi-Faktor-Authentifizierung (MFA) aktivieren Methode 2

Hier musst du dich zunächst authentifizieren und wirst dann zu https://account.activedirectory.windowsazure.com/usermanagement/mfasettings.aspx umgeleitet. Wie du schon an „windowsazure“ in der URL erkennst, handelt es sich hierbei um ein ziemlich angestaubtes Portal aus dem Office365-Kontext. Die Einstellungen hier sind weitgehend selbsterklärend. Per Default sind die verfügbaren Methoden „Textnachricht an Telefon“, „Benachrichtigung über mobile App“ und „Prüfcode aus mobiler App oder Hardwaretoken“. Außerdem kannst du hier vertrauenswürdige IPs festlegen und Benutzern das Speichern der Multi-Faktor-Authentifizierung auf vertrauenswürdigen Geräten ermöglichen.

Die Einstellungen für „MFA pro Benutzer“

Das eigentliche Aktivieren von „MFA pro Benutzer“ erfolgt im „Benutzer“-Menü vom Azure AD (oder im O365 Admin Center). Hier musst du rechts oben auf die Schaltfläche „MFA pro Benutzer“ klicken und wirst dann umgeleitet zu https://account.activedirectory.windowsazure.com/usermanagement/multifactorverification.aspx. Markiere hier im Tab „Benutzer“ den gewünschten Benutzer und klicke dann rechts unten auf „Benutzereinstellungen verwalten“ …

Weitere Einstellungen für „MFA pro Benutzer“

…um ggf. weitere Einstellungen zu konfigurieren, wie z. B. das Bereitstellen der Kontaktmethoden bei ausgewählten Benutzern erneut anfordern.

Das Bereitstellen von Kontaktmethoden in „MFA pro Benutzer“

Wenn du Zurück im Ausgangsdialog „multi-faktor-authentifizierung auf den zweiten Tab „diensteinstellungen“ klickst, landest du übrigens im gleichen Dialog, den du wie oben beschrieben auch durch den Quicklink aus der „Erste Schritte“-Seite von MFA im Azure AD erreichst. Aktivieren kannst du die Funktion schließlich, wenn du bei markiertem Benutzer rechts unten auf den Link „Aktivieren“ klickst.

Das Aktivieren von MFA pro Benutzer

Multi-Faktor-Authentifizierung (MFA) aktivieren Methode 3

Für die dritte Option „MFA in Kombination mit dem bedingten Zugriff“ musst du zunächst im „Eigenschaften-Menü“ des Azure AD wie oben beschreiben wieder auf den Link „Sicherheitsstandards verwalten“ klicken, um diese de-aktivieren zu können.

Das Aktivieren von MFA mit bedingtem Zugriff

Ziehe hierzu den Schieber auf „Nein“ und setze das Häkcken bei „Meine Organisation verwendet den bedingten Zugriff“ und klicke dann auf „Speichern“. MFA mit bedingen Zugriff ist zwar die von Microsoft empfohlene Option um MFA zu nutzen, diese erfordert allerdings eine Premium-P2-Lizenz von Azure AD. Ist das der Fall kannst du im Azure AD unter „Sicherheit / Bedingter Zugriff“ verschiedene Richtlinien z. B. für das Erzwingen von MFA unter bestimmten Bedingungen einrichten.

Das Einrichten von Richtlinien fĂĽr bedingten Zugriff

Beispiele fĂĽr solche Richtlinien wären etwa „riskanter Benutzer“, „riskante Anmeldung“, ungewöhnliche IP oder „ungewöhnlicher Standort“ oder z. B. nur von „registrierten Geräten“ und nur fĂĽr „ausgewählte Cloud-Apps“ wie das Azure Portal.

MFA nur fĂĽr den Zugriff auf bestimmte Apps erzwingen

Eine EinfĂĽhrung in Conditional-Access-Policies fĂĽr MFA sprengt den Rahmen dieses Beitrags und ist einem Folgebeitrag vorbehalten.

Schulungen die dich interessieren könnten

Bewertungen

Kundenstimme
Dimitri B.
HSBC Trinkaus
star-participantstar-participantstar-participantstar-participantstar-participant
Sehr informativ und in der Praxis wiederverwendbar.
Kundenstimme
Markus H.
CARAT Dreieich
star-participantstar-participantstar-participantstar-participantstar-participant
Der Trainer machte einen sehr netten und kompetenten Eindruck und ging auf unsere WĂĽnsche und Anregungen sehr praxisorientiert ein .
Kundenstimme
Lucas F.
Fa. Feld Textil GmbH
star-participantstar-participantstar-participantstar-participantstar-participant
Kann man nur weiterempfehlen! In kĂĽrzestem Zeitraum lernt man alle Basisdaten konkret und ausfĂĽhrlich.
Kundenstimme
Martin S.
Bundeseisenbahnvermögen
star-participantstar-participantstar-participantstar-participantstar-participant
Das Training zeichnet sich durch einen sehr hohen Praxisbezug und Raum für individuelle Hilfe persönlicher Problemstellungen sowie durch einen engagierten und hoch kompetenten Trainer aus.