Anleitung: Multi-Faktor-Authentifizierung in Azure Active Directory aktivieren

    Azure AD Multi Factor AuthenticationDie Multi-Faktor-Authenti­fizierung (MFA) gilt als zusätz­liche Bar­riere gegen eine unbe­fugte Anmel­dung mit Username und Passwort. Im Azure AD-Man­danten kann der Admini­strator dieses Feature pro User akti­vieren. Die Microsoft Authen­ticator-App dient dann als Software-Token.

    Eine Multi-Faktor-Authentifizierung erhöht die Sicherheit bei der Nutzung von Zugangsdaten. Durch einen zweiten Faktor, beispiels­weise das Ausstellen eines Einmal-Passwortes, wird nur berechtigten Benutzern Zugriff auf Ressourcen und Applikationen erteilt. Dieses befristet gültige Einmal-Passwort erreicht den User dann durch eine SMS oder über eine Smartphone-App, eine Verifizierung ist auch via Telefonanruf möglich.

    MFA-Optionen

    Als ein Hybrid-Service unterscheidet Azure-MFA zwischen dem lokalen MFA-Server und den Services in der Cloud. In diesem Artikel beschränke ich mich auf die Dienste der Azure-Cloud zur Absicherung von SaaS Apps und beschreibe, wie die MFA pro User aktiviert wird. Dazu benötige ich im Labor keine Azure Premium Lizenz. Dafür muss jedoch zu Beginn der Authentifizierungs-Provider eingerichtet werden, der unter anderem eine erweiterte Konfiguration der MFA zulässt. Alternativ besteht die Möglichkeit den Usern eine Azure AD Premium Lizenz zuzuteilen, so dass dieser Provider nicht erforderlich ist.

    Azure AD MFA: On-Premise-Server versus Cloud

    Multi-Faktor-Authentifizierungsprovider einrichten

    Der MFA-Provider lässt sich über die linke Menüleiste des klassischen Azure Portal nach Klick auf das Active Directory einrichten. Im oberen Drittel gelangt man dann über die Links Anbieter für mehrstufige Authentifizierung und anschließend einen Anbieter für Multi-Factor Authentication erstellen zur Schnellerfassung.

    Notwendig ist ein Name für den Provider, das Modell (pro Benutzer oder pro Authentifizierung) und die Verknüpfung mit einem Azure-Verzeichnis. Die Option pro aktiviertem Benutzer ist bei regelmäßigen Logins der User die empfohlene Variante. Letztendlich besteht jedoch die Möglichkeit, diese Kostenfrage über den Azure Preisrechner zu beantworten.

    Bevor MFA in vollem Umfang genutzt werden kann, muss der Provider erstellt werden.

    Hat man diese Angaben gemacht, dann wird der Provider zügig erstellt und dem Verzeichnis zugeordnet. Verwalten lässt sich dieser dann über den Button Verwalten im unteren Bereich des Portals.

    Das PhoneFactor Azure Multi-Faktor-Authentifizierungsportal

    Von hier kann außerdem der On-Premise MFA-Server herunter­geladen werden, derzeit liegt er in Version 7.1.2 vor. Zusammen mit dem MFA-Provider ist dieser dann in der Lage lokale Dienste mit abzusichern.

    Benutzer für Multi-Faktor-Authentifizierung aktivieren

    Um die User nun für eine MFA zu befähigen, stellen wir uns im AD-Verzeichnis auf Benutzer und klicken hier im Menü unten auf Multi-Factor Auth verwalten.

    Über die Benutzerverwaltung gelangt man zur MFA-Aktivierung.

    Unmittelbar danach öffnet sich eine separate Seite zur Verwaltung der mehrstufigen Authen­tifizierung. Diese wird jetzt durch Anhaken der Checkbox pro User aktiviert. Solch ein Status erfordert anschließend vom entsprechenden Benutzer weitere Maßnahmen, um eine Stufe weiter in den Zustand Erzwungen zu gelangen.

    Aktivierung der MFA pro Benutzer

    Benutzer konfigurieren zusätzliche Sicherheitsüberprüfung

    Die weiteren Maßnahmen beim Benutzer selbst sehen dann so aus, dass dieser sich wie gewohnt am My Apps Portal (Access Panel) mit seinen Credentials anmeldet und den Hinweis auf eine erweiterte Einrichtung erhält. Von hier aus hat er die Möglichkeit, zwischen den erlaubten zusätzlichen Sicherheitsmitteln zu wählen.

    Der erste Login erfordert weitere Maßnahmen vom User.

    Dazu gehören in meinem Beispiel eine Authentifizierung über SMS oder eben einen generierten Prüfcode aus der Microsoft Authenticator App (ehemals Azure Authenticator). Sie ist für iOS sowie Android erhältlich und erreichte aktuell in diesem Monat den GA-Status für Windows Phone.

    Auswahl einer der vorgegebenen Sicherheitsprüfungen

    Mit dem Klick auf Einrichten gelangt der User zur Seite, wo er die nachfolgenden Schritte für die mobile App konfiguriert. Alle einzelnen Punkte sind in Reihenfolge beschrieben und nach dem Einscannen des QR-Codes erscheint das aktivierte Konto in der App.

    QR-Code mit Mobile App scannen

    Über den Button Fertig wird die Seite geschlossen und der Benutzer gelangt wieder zur vorherigen Seite. Hier klickt er auf Nehmen Sie Kontakt mit mir auf und muss daraufhin zur Verifizierung erstmalig einen generierten Prüfcode eingeben.

    Danach darf er auf der folgenden Seite zusätzlich eine Nummer zur Telefon­überprüfung angeben, als redundantes Mittel im Falle einer unzugäng­lichen App. Ist der Wizard abgeschlossen, dann steht der Erst­anmeldung mit Benutze­rname, Pass­wort und zusätzlichem Prüf­code nichts mehr im Weg.

    Keine Kommentare