Tags: Authentifizierung, Azure, Active Directory
Die Authenticator App spielt eine zentrale Rolle bei der Multifaktor-Authentifizierung (MFA) sowie bei der passwortlosen Anmeldung am Azure AD. Microsoft ergänzte das Programm nun um Funktionen, die Nutzer gegen MFA-Angriffe schützen sollen. Diese Features lassen sich gezielt an bestimmte Gruppen zuweisen.
Die Authenticator App lässt sich für MFA als einfaches Softtoken nutzen, aus dem man das One Time Password (OTP) entnimmt und in den Anmeldedialog eintippt. Als benutzerfreundlicher gilt jedoch das Push-Verfahren, bei dem die User den Vorgang nur mehr bestätigen müssen.
Bestätigung durch Zahleneingabe
Damit Benutzer jedoch nicht voreilig die Push-Nachricht bestätigen und so zum Opfer eines MFA-Angriffs werden, können Admins nun zusätzlich die Eingabe einer Zahl erzwingen, die in der App eingeblendet wird.
Dabei handelt es sich in der Regel um einen zweistelligen Wert, so dass der Komfort des Push-Verfahrens erhalten bleibt. Das OTP dagegen ist üblicherweise sechs Stellen lang.
Alternativ oder ergänzend dazu kann man den Anwendern weitere kontextbezogene Informationen anzeigen, damit sie die Authentizität der Anforderung erkennen. So können Admins den Namen der Applikation einblenden, an der sich ein User gerade anmelden möchte.
Als weitere Option lässt sich der geografische Standort auf einer Karte darstellen, von dem der Anmeldeversuch kommt. Die Lokalisierung erfolgt auf Basis von IP-Adressen.
Die Ermittlung des Standorts über GPS unterstützt die App schon länger. Diese Funktion fordert die Benutzer während des Logon auf, ihren Standort zu teilen. Um hier Manipulationen zu unterbinden, verweigert die Authenticator App die Anmeldung, wenn es einen Jailbrake entdeckt oder das Smartphone gerootet wurde.
Admins können Conditional Access dann so konfigurieren, dass etwa Standorte außerhalb bestimmter Länder blockiert werden.
Zuweisung an bestimmte Gruppen
Microsoft hat das Admin-Interface für die App in Azure Active Directory um eine Registerkarte erweitert, auf der man alle drei neuen Funktionen selektiv an bestimmte Gruppen zuweisen kann.
Die Möglichkeit, Gruppen von der Bestätigung durch Eingabe einer Zahl auszuschließen, soll aber im Februar 2023 wieder entfernt werden. Sie dient primär dazu, die Einführung dieser Features durch einen gestaffelten Roll-out zu vereinfachen.
Täglich Know-how für IT-Pros mit unserem Newsletter
Verwandte Beiträge
- Neue Policy für Authentifizierung ohne Passwort und erweiterte Web-Anmeldung für Windows 11
- Microsoft fasst alle Authentifizierungsmethoden des Azure AD in einer Policy zusammen
- Azure AD: Bevorzugte Methode für Multi-Faktor-Authentifizierung festlegen
- Microsoft ergänzt zertifikatbasierte Authentifizierung am Azure AD um Support für Smartcards
- MFA, FIDO2, Authenticator App, Hello for Business: Methoden zur Authentifizierung am (hybriden) Azure Active Directory
Weitere Links