Tags: Azure, Active Directory, Authentifizierung, Passwort
Über eine neue Policy lassen sich zukünftig die verschiedenen Authentisierungsmethoden für das Azure Active Directory zentral und übersichtlich verwalten. Außerdem hat Microsoft die Betrugserkennung bei der Multifaktor-Authentisierung (MFA) verbessert und sie ebenfalls in die neue Richtlinie aufgenommen.
Die neue Policy mit der Bezeichnung Converged Authentication Methods fasst die Verfahren für die Benutzeranmeldung und die Wiederherstellung von Passwörtern zusammen. Aber auch passwortlose Verfahren mithilfe von FIDO-Schlüsseln oder Zertifikaten tauchen in dieser Policy auf.
Hinzu kommen weitere Methoden wie SMS, Sprachanrufe, OATH-TOTP-Tokens (Open Authentication Time-based One-time Password) mit Software von Drittanbietern wie etwa dem Google Authenticator sowie E-Mail-OTP (One-time Password).
Admins müssen nun die Methoden nicht mehr allen Benutzern zuweisen, sondern auch auf einzelne Gruppen beschränken. Dadurch lassen sich beispielsweise Pilotgruppen für den Test eines Verfahrens definieren oder auch weniger sichere Methoden wie SMS und Sprachanrufe auf ausgesuchte User eingrenzen.
Microsoft stellt ein Migration-Tool zur Verfügung, um Authentisierungs-Methoden in die neue Policy zu übertragen und sie dort zu testen.
Erweiterte Betrugserkennung
Anwender erhalten über die Authenticator-App oder per Telefon von Zeit zu Zeit verdächtige Authentisierungsanfragen. Sie konnten sich dann bisher zu einer Block-Liste hinzufügen lassen, was Administratoren einige manuelle Arbeitsschritte abverlangte. Außerdem benötigten sie dafür globale Admin-Rechte.
Nun hat Microsoft die Betrugserkennung zusammen mit den Berichten über verdächtige Vorfälle in die neue Policy für die Authentisierungsmethoden verlegt und die Betrugswarnungen in den Identitätsschutz integriert.
Sobald nun ein Anwender eine verdächtige Authentifizierungsaufforderung meldet, wird sein Konto mit Benutzerrisiko hoch markiert. Der Administrator kann in einem solchen Fall per Policy durchsetzen, dass der Anwender beispielsweise sein Passwort ändert oder sich bei sämtlichen Diensten nur noch per MFA anmelden darf.
Täglich Know-how für IT-Pros mit unserem Newsletter
Verwandte Beiträge
- Kennwörter in Azure AD zurücksetzen mit Self Service Passwort Reset (SSPR)
- ManageEngine ADSelfService Plus: Passwort-Reset als Self-Service, MFA für Active Directory
- Azure AD: Bevorzugte Methode für Multi-Faktor-Authentifizierung festlegen
- Microsoft Authenticator: Push-Nachrichten für MFA absichern
- Passwortänderungen und Kennwortschutz von Azure AD in das lokale Active Directory zurückschreiben
Weitere Links