Regeln

Only words with 2 or more characters are accepted
Max 200 chars total
Space is used to split words, "" can be used to search for a whole string (not indexed search then)
AND, OR and NOT are prefix words, overruling the default operator
+/|/- equals AND, OR and NOT as operators.
All search words are converted to lowercase.

Multi-Faktor-Authentifizierung

Einfach und schnell im Unternehmen mit Office 365 einrichten

Lars Zuckschwerdt / 05. März 2021

Jeden Tag erreichen uns neue Hiobsbotschaften zu neuen Sicherheitslücken oder Verlust von sensiblen Daten. Immer wieder erreichen uns Anfragen, die sich auf illegales Versenden von Spam-Mails über legitime E-Mailadressen der Unternehmen beziehen. Ein typischer Vorfall sind Anmeldevorgänge aus verschiedensten Ländern der Welt mit legitimen Anmeldeinformationen von Benutzern.

Diese Anmeldevorgänge können beispielsweise im Azure Active Directory Log nachvollzogen werden:

Hier wird deutlich, dass sich ein Benutzer mit Erfolg aus Lagos und Washington authentifiziert hat, obwohl das Unternehmen nur in Europa tätig ist. Im Namen des Users wurden schlussendlich Phishingmails an alle sich im Adressbuch befindlichen Adressen versendet, was wiederum einen Verstoß gegen die Datenschutzgrundverordnung darstellen kann, da ein unbekannter Dritter Zugriff auf Kontaktdaten anderer erlangen konnte.

Das alles hätte verhindert werden können, wenn die Benutzer Multi-Faktor-Authentifizierung (kurz: MFA) durchführen hätten müssen. Das Problem ist, dass der flächendeckende Einsatz von MFA nicht immer einfach umzusetzen ist. Oft scheitert eine erfolgreiche Einführung daran, dass die Anwender kein geeignetes Endgerät besitzen oder zur Verfügung stellen können. Hierfür gibt es Lösungen mittels Hardwaretoken, welche mit einer entsprechenden Lizenz verwendet werden können. In diesem Beitrag möchten wir jedoch zeigen, wie einfach und schnell MFA in Unternehmen mit Office 365 eingerichtet werden kann.

Microsoft Security - Multi-Factor Authentication (MFA)

In diesem Artikel gehen wir darauf ein, wie Sie für Ihren Microsoft Tenant die Multi-Factor Authentication (MFA) global aktivieren und konfigurieren können. MFA bietet Ihnen einen zusätzlichen, sehr effektiven Schutz ergänzend zur klassischen Anmeldung mit Anmeldename und Kennwort. Mittels MFA fügen Sie dem Anmeldeverfahren einen weiteren Faktor hinzu, ohne die Produktivität Ihrer Mitarbeiter zu beeinträchtigen. Bei einer Multi-Faktor-Authentifizierung wird der Anmelder nach Eingabe des Benutzernamens und des Passwortes aufgefordert, über ein weiteres Medium, wie z.B. das eigene Smartphone oder ein Hardwaretoken, seine Identität zu bestätigen.

Standardmäßig unterstützen sowohl Microsoft 365 als auch Office 365 MFA für Benutzerkonten mit:

  • einer an ein Telefon gesendeten Textnachricht, für die der Benutzer einen Überprüfungscode eingeben muss
  • einem Telefonanruf
  • der Microsoft Authenticator-Smartphone-App

In allen Fällen verwendet die MFA-Anmeldung die Methode "Etwas, dass Sie bei sich haben, was nicht einfach dupliziert werden kann" für die zusätzliche Überprüfung.

Aktivierung MFA

Für die Aktivierung gehen Sie in Ihr Azure Portal https://portal.azure.com/.
Wie im folgenden Screenshot abgebildet, gehen Sie nun wie folgt vor:

1. Gehen Sie in das „Azure Active Directory“
2. Gehen Sie nun auf „Eigenschaften“
3. Als nächstes klicken Sie auf „Sicherheitsstandards verwalten“
4. Um MFA global für Ihr Tenant zu aktvieren wählen Sie die Option „Sicherheitsstandards aktivieren“ mit „Ja“ aus.
5. Um die Änderung nun zu übernehmen klicken Sie auf „Speichern“

MFA Einstellungen

Sie können einige Einstellungen bzgl. MFA vornehmen. Meist werden folgenden Einstellungen verwendet:

1) Vertrauenswürdige Standorte definieren:

Mithilfe von vertrauenswürdigen Standorten ist es möglich Ausnahmen festzulegen, in welchen Netzen keine MFA-Abfrage erfolgen soll. Hierfür wird meist das Unternehmensnetzwerk definiert, so dass nur extern MFA eingefordert wird, aber innerhalb des Unternehmens, also intern, nicht. Um diese Funktion zu konfigurieren benötigen Sie zunächst die öffentliche IP-Adresse Ihrer Internetanbindung.

2) Authentifizierungsmethode auswählen:

Hier können Sie die für den Benutzer verfügbaren Authentifizierungsmethoden auswählen.

3) Speichern der mehrstufigen Authentifizierung auf vertrauenswürdigen Geräten ermöglichen:

Hier geben Sie an, ob Sie das Speichern von MFA auf vertrauenswürdigen Geräten zulassen möchten und nach wie vielen Tagen auf dem jeweiligen Gerät eine MFA Re-Authentifizierung stattfinden soll.

Begeben Sie sich zunächst in Ihr Azure Portal https://portal.azure.com/. Von hier aus gehen Sie wie folgt vor:

1. Klicken Sie auf „Benutzer“
2. Klicken Sie auf „Multi-Factor Authenticaion“

Es öffnet sich ein neuer Tab. Klicken Sie hier nun wie abgebildet auf „diensteinstellungen“:

Nun sehen Sie die MFA „diensteinstellungen“.

Userseitige Einrichtung

Die effizienteste Methode einen zweiten Faktor während der Anmeldung zu nutzen, ist die Verwendung der Microsoft Authenticator App. Mithilfe der App kann der zweite Faktor mittels Pushbenachrichtigung auf dem Smartphone empfangen und mit einem einfachen Tippen bestätigt werden.

1. Hierzu laden Sie die Microsoft Authenticator App aus dem Google Play/App Store runter.
2. Melden Sie sich parallel an einem PC unter folgendem Link an: https://aka.ms/MFASetup

In diesem Portal kann der angemeldete User seine individuellen MFA Einstellungen hinterlegen:

​​​​​​3. Unter „Schritt 1: Auf welchem Weg sollen wir Sie kontaktieren?“ wählen Sie „Mobile App“ aus.
4. Unter „Wie möchten Sie die mobile App verwenden?“ wählen Sie „Benachrichtigungen zur Überprüfung empfangen“ aus.
5. Klicken Sie auf den blauen Button „Einrichten“, um die Authenticator App einzurichten.
6. In der Authenticator App auf Ihrem Smartphone wählen Sie „QR-Code scannen“ und scannen den im PC-Bildschirm dargestellten QR-Code.
7. Bestätigen Sie jeweils in der App und am PC die Einrichtung.

Nach erfolgreicher Einrichtung wird Ihnen in der Authenticator App der Prüfcode angezeigt, der alle 30 Sekunden geändert wird. Sobald MFA für den Anwender mittels Gruppenzuordnung aktiviert wurde (siehe Conditional Access „MFA - all users“) muss sich der Anwender auf seinen Geräten, über die er bereits auf Clouddaten zugreift, einmal erneut mit dem zweiten Faktor authentifizieren, sofern er extern und nicht im Büro ist. Während dem Anmeldeprozess wird nun nach Eingabe von Benutzername und Passwort der zweite Faktor verlangt. In diesem Moment erscheint die Pushbenachrichtigung auf dem Smartphone mit der Microsoft Authenticator App.


Sie interessieren sich für Multi-Faktor-Authentifizierung oder haben Fragen dazu? 
Dann setzen Sie sich gerne mit uns in Verbindung unter vertrieb@abtis.de oder +49 7231 4431 100

 

Zurück