Anleitung: Mehr Sicherheit erreichen mit der Multifaktor-Authentifizierung in Microsoft 365

Die Multifaktor-Authentifizierung (MFA) gewinnt an Verbreitung. Statt nur mit Benutzername und Kennwort kommen hier ein oder mehrere zusätzliche Merkmale zum Einsatz, um Benutzerkonten besser gegen unerlaubte Zugriffe zu schützen. Um MFA in Microsoft 365 zu aktivieren, sind einige Schritte zu befolgen. Dabei spielen auch Lizenzaspekte eine Rolle.

Zunächst einmal muss man festhalten, das MFA zwar die Sicherheit erhöht, aber auch gewisse Komforteinbußen mit sich bringen kann. Liegt man etwa abends gemütlich auf dem Sofa und gibt eine Internet-Bestellung mit dem Tablet auf, landet die Freischalt-SMS nicht selten am Handy, das gerade in der Küche liegt.

Mehr Faktoren als nur ein Passwort kann auch lästig sein

Auch im Büro kann der Einsatz zusätzlicher Faktoren lästig sein, wenn man beispielsweise bei der Anmeldung auf einer SharePoint-Site die Authenticator-App für die Authentifizierung verwenden muss.

Allerdings hat das alles einen guten Grund. Fakt ist nämlich, dass im Arbeitsalltag oft leichtfertig mit Login-Daten umgegangen wird. Manchmal werden Passwörter zigfach verwendet oder an die Pinwand geheftet, und nicht selten werden Anwender per Phishing-Mails ausgetrickst. Insbesondere wenn Unternehmen Single-Sign-On einsetzen, um den Zugang zu mehreren Geschäftsanwendungen mit nur einer Benutzerkennung zu ermöglichen, ist dringend der MFA-Einsatz empfohlen.

Was ist Multifaktor Authentifizierung?

Wie ist MFA genau definiert? Wie der Name sagt, werden hierbei mehrere Faktoren überprüft. Meist ist es das Kennwort plus eine weitere Sicherheitsstufe wie eine PIN, die man per SMS bekommt, ein Einmalkennwort (One-Time Password – OTP), ein Fingerabdruck,  Gesichtserkennung, Token-Generator, SmardCards oder eine andere Option.

Einrichtung: So schalten Sie MFA in Microsoft 365 frei

Bei Microsoft 365 kommt als Benutzerverwaltung das Azure Active Directory (AAD) zum Einsatz. Falls in der Organisation zusätzlich noch On-Premises-IT-Ressourcen existieren, gibt es in der Regel auch noch ein klassisches Active Directory. Dieses lässt sich mit dem AAD synchronisieren, so dass die Verwaltung an einer zentralen Stelle erfolgt.

Die mehrstufige Authentifizierung steht im AAD ohne Zusatzkosten zur Verfügung, und ist in der Benutzerverwaltung einfach zu finden.

Die MFA lässt sich für jeden einzelnen Anwender einrichten, indem man den Nutzer markiert und die MFA „erzwingt“.

Überprüfungsoptionen

In der Benutzerverwaltung können eine oder mehrere Überprüfungsoptionen ausgewählt werden, die zusätzlich zur Kennworteingabe zum Einsatz kommen sollen. Das sind die verfügbaren Methoden:

Sofern die Authenticator-App auf dem Handy zum Einsatz kommt, lässt sich damit die Anfrage bestätigen. Übrigens steht diese Funktion auch für externe Dienste zur Verfügung, so zum Beispiel auch für Amazon (Bild links).

In unserem Beispiel gibt die Nutzerin Anja in SharePoint Online ihr Kennwort ein, danach erscheint die zweite Faktor-Abfrage (Bild rechts).

Mit AAD-Premium-Plan zusätzliche MFA-Funktion nutzen

MFA ist zwar im AAD grundsätzlich kostenlos, doch werden in dieser Stufe nicht alle verfügbaren Funktionen und Szenarien unterstützt. Mehr Möglichkeiten eröffnen sich mit AAD Premium im Plan 1 sowie im höherwertigen Plan 2.

Eine genaue Übersicht über die Unterschiede der kostenpflichtigen AAD-Pläne ist auf folgender Microsoft-Webseite zu finden. Hier ein schneller Überblick in der kompakten Tabelle:

Änderungen bei der kostenlosen MFA

Bevor wir zur Besonderheit von AAD Premium P1 kommen, hier noch eine Anmerkung zu einer Änderung bei der Gratis-MFA:

Seit März 2019 stehen Telefonanrufe nur noch für Azure AD Premium P1 oder P2 zur Verfügung, nicht mehr jedoch den Benutzern von AAD Free oder Testmandanten.

SMS-Nachrichten sind von dieser Änderung nicht betroffen. Aber man geht inzwischen weg von SMS, weil hier etwas übertragen wird, was man abhören könnte. Im Trend steht die Authenticator-App, die es für alle Smartphones gratis gibt.

Mehr MFA-Komfort über Conditional Acces im Plan 1

Welchen Vorteile bringt nun der AAD Plan 1 bei der Multifaktor-Authentifizierung? Wie in der Übersichtstabelle oben zu sehen ist (zweite Zeile von unten), gibt es hier die zusätzliche Möglichkeit des bedingten Zugriffs oder auch Conditional Access (CA).

Die Idee von CA ist, dass MFA nicht automatisch immer verlangt wird, sondern in Abhängigkeit vorgegebener Bedingungen. Es kann dabei entweder vom Gerät, vom Ort, von Richtlinien oder von einer bestimmten Anwendung abhängen, ob der Benutzer MFA verwenden muss, oder nicht, oder ob er sogar komplett geblockt wird.

Falls unsere Nutzerin Anja also im Büro sitzt, wo sie den immer selben PC, die selbe IP-Adresse, das selbe Netzwerk und die selbe Server-Anwendung hat, dann lässt sich hier auf MFA verzichten. Befindet sie sich hingegen im Home-Office, wo mehr Sicherheit verlangt ist, kann man unter dieser Bedingung MFA verlangen.

Des weiteren wäre es einstellbar, dass sie im Home-Office noch einen weiteren, also dritten, Faktor nutzen muss, falls sie auf bestimmte Anwendungen zugreifen möchte.

Eine weitere Möglichkeit wäre, dass sie den Safari-Browser und nicht den Edge-Browser verwenden muss, wenn sie mit ihrem Smartphone ins Firmennetz möchte.

Windows Hello und FIDO2-Optionen über Microsoft Intune

Falls Sie Microsoft Intune einsetzen, lassen sich über das Gerätemanagement weitere Faktoren nutzen. Basierend auf dem FIDO2-Standard können das Smardcards, Fingerabdrücke oder weitere Hardware-basierende Lösungen sein, die Sie im AAD zur MFA hinzufügen können.

Windows verfügt mit Hello bereits über biometrischen Authentifizierungs-Optionen wie Gesichtserkennung, alternativ geht auch die Eingabe einer PIN, die gegen den lokalen TPM-Chip validiert wird. Und nicht, wie bei einem Kennwort, über das Netz übertragen und abgefangen werden könnte.

Zusammenfassung: MFA selektiv einsetzen

Multifaktor-Authentifizierung macht am meisten Sinn, wenn sie in bestimmten Situation verpflichtend ist, aber nicht immer verlangt wird.

Prinzipiell sollte MFA heutzutage konsequent eingesetzt werden. Richtig sinnvoll ist der Einsatz in Verbindung mit dem bedingten Zugriff, weil das mehr Sicherheit bietet als noch so kryptische Kennwörter. Auch Windows Hello in Kombination mit der Authenticator-App ist sinnvoll, aber nur da, wo es nötig ist. Das können zum Beispiel Szenarien sein, wo man von einem nicht gemanagtem Device kommt oder über ein unbekanntes Netzwerk oder von einer Anwendung, die nicht zugelassen ist.

Zu den Kosten: Das sind die Lizenzoptionen

Als Lizenz benötigt man für diese Lösung zum einen Microsoft Intune, das aktuell 5,10 Euro pro User pro Monat kostet, plus Conditional Access, das im AAD Plan 1 (5,10 Euro pro User pro Monat) enthalten ist. Preislich lohnt sich da der Vergleich mit dem Bundle Enterprise Mobility + Security, welches 7,40 Euro pro User pro Monat kostet. Da ist dann sogar noch einiges zusätzlich enthalten, um den Anwendern mehr Sicherheit und Produktivität zu bieten.

guest
0 Comments
Inline Feedbacks
View all comments