Microsoft fasst alle Authentifizierungsmethoden des Azure AD in einer Policy zusammen


    Tags: , , ,

    Microsoft AuthenticatorÜber eine neue Policy lassen sich zukünftig die verschiedenen Authenti­sierungs­methoden für das Azure Active Directory zentral und übersichtlich verwalten. Außerdem hat Microsoft die Betrugs­erkennung bei der Multifaktor-Authentisierung (MFA) verbessert und sie ebenfalls in die neue Richtlinie aufgenommen.

    Die neue Policy mit der Bezeichnung Converged Authentication Methods fasst die Verfahren für die Benutzeranmeldung und die Wiederherstellung von Pass­wörtern zusammen. Aber auch passwortlose Verfahren mithilfe von FIDO-Schlüsseln oder Zertifikaten tauchen in dieser Policy auf.

    Hinzu kommen weitere Methoden wie SMS, Sprachanrufe, OATH-TOTP-Tokens (Open Authentication Time-based One-time Password) mit Software von Drittanbietern wie etwa dem Google Authenticator sowie E-Mail-OTP (One-time Password).

    Die neue Policy fasst alle von Azure AD unterstützten Authentisierungs-Methoden zusammen.

    Admins müssen nun die Methoden nicht mehr allen Benutzern zuweisen, sondern auch auf einzelne Gruppen beschränken. Dadurch lassen sich beispielsweise Pilotgruppen für den Test eines Verfahrens definieren oder auch weniger sichere Methoden wie SMS und Sprachanrufe auf ausgesuchte User eingrenzen.

    Microsoft stellt ein Migration-Tool zur Verfügung, um Authentisierungs-Methoden in die neue Policy zu übertragen und sie dort zu testen.

    Erweiterte Betrugserkennung

    Anwender erhalten über die Authenticator-App oder per Telefon von Zeit zu Zeit verdächtige Authentisierungs­anfragen. Sie konnten sich dann bisher zu einer Block-Liste hinzufügen lassen, was Administratoren einige manuelle Arbeitsschritte abverlangte. Außerdem benötigten sie dafür globale Admin-Rechte.

    Nun hat Microsoft die Betrugserkennung zusammen mit den Berichten über verdächtige Vorfälle in die neue Policy für die Authentisierungs­methoden verlegt und die Betrugswarnungen in den Identitäts­schutz integriert.

    Meldungen über verdächtige Aktivitäten im Authenticator oder bei Sprachanrufen lassen sich nun zentral über die Policy verwalten

    Sobald nun ein Anwender eine verdächtige Authentifizierungs­aufforderung meldet, wird sein Konto mit Benutzerrisiko hoch markiert. Der Administrator kann in einem solchen Fall per Policy durchsetzen, dass der Anwender beispielsweise sein Passwort ändert oder sich bei sämtlichen Diensten nur noch per MFA anmelden darf.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Roland Freist

    Roland Freist arbeitete mehrere Jahre als Redakteur bei IT-Fachverlagen. Seit 1999 ist er selbstständig und schreibt Artikel zu Windows, Anwendungen, Netzwerken, Security, Internet, Storage und Cloud.

    // Kontakt: E-Mail, Xing //

    Verwandte Beiträge

    Weitere Links