Azure AD: Bevorzugte Methode für Multi-Faktor-Authentifizierung festlegen

Im Prinzip lässt sich Multi-Faktor-Authentifizierung (MFA) auf drei Arten durchsetzen:

1. Aktivieren der Sicherheitsstandards (Standardschutz)
2. MFA-Aktivierung über eine Richtlinie für den bedingten Zugriff (erfordert mindestens eine Lizenz vom Typ Azure AD Premium P1)
3. Legacy-MFA auf Benutzerbasis

Die Methoden 1) und 3) stehen in allen Office 365-Plänen zur Verfügung und damit auch kleinen Unternehmen, während 2) einen Plan wie Business Premium oder Enterprise E3 erfordert.

Haben Sie zusätzlich P2 (zum Beispiel in O365/ M365 Enterprise E5), dann können Sie in einer Richtlinie für den bedingten Zugriff ("Conditional Access") auch das ermittelte Benutzer- oder Anmelderisiko (Azure AD Identity Protection) mit einbeziehen.

Die alte Funktion MFA pro Benutzer (Legacy MFA) wird von Microsoft nicht mehr empfohlen.

In vielen Unternehmen bieten die Sicherheits­standards ausreichende Anmelde­sicherheit. Wenn Sie einen Azure-AD-Mandanten neu anlegen, dann sind die Sicherheits­standards seit August 2017 bereits automatisch aktiviert.

Den bedingten Zugriff empfiehlt Microsoft für größere Unternehmen, die spezifische Anforderungen an die Anmelde­sicherheit haben. Diese erhalten dann mehr Kontrolle und können Richtlinien definieren, die etwa auf Anmeldeereignisse reagieren oder weitere Aktionen anfordern, bevor ein Benutzer Zugriff auf IT-Ressourcen erhält.

Möchten Sie Richtlinien für den bedingten Zugriff verwenden, dann müssen Sie sowohl MFA auf Benutzerbasis als auch die Sicherheitsstandards deaktivieren, denn Methode 1 und 2 schließen einander aus.

Sicherheits-Features standardmäßig aktivieren

Bei einer Richtlinie für den bedingten Zugriff können Nutzer die sekundäre Authentifizierungs­methode bei der Registrierung bestimmen, während es bei den Sicherheitsstandards per Default immer die Authenticator App ist, was uns zum eigentlichen Thema führt.

Was passiert beim Standardschutz, wenn Microsoft neue Sicherheits­funktionen veröffentlicht? Es gibt grundsätzlich zwei Möglichkeiten, diese standardmäßig zu aktivieren:

• von Microsoft verwaltet, oder
• mit Hilfe der Graph-API

Ein Beispiel für ein neues Sicherheitsfeature wäre etwa ein besserer Schutz vor MFA-Ermüdungs­angriffen, die einen User dazu verleiten, versehentlich MFA-Genehmigungen zu erteilen.

Diesem Zweck dienen die noch als Vorschau eingestufte Authenti­fizierungs­richtlinie Nummern­abgleich in MFA-Benachrichtigungen.

Ist ein Schutz von Microsoft verwaltet, dann bedeutet es, dass ihn Azure AD gemäß der jeweils aktuellen Sicherheits­bedrohungen von sich aus aktivieren oder deaktivieren kann. Sie als Kunde können aber entscheiden, ob Microsoft den Schutz verwalten darf, indem sie ihn über die Graph-API auf aktiviert oder deaktiviert setzen.

Sie können aber auch jederzeit, nachdem Microsoft ein neues Sicherheits-Feature veröffentlicht hat, dieses mit Hilfe der Graph-API nach ihrem eigenen Zeitplan testen und schrittweise einführen.

Ist aber von Microsoft verwaltet eingestellt, dann erhalten ab einem bestimmten Datum alle Mandanten standardmäßig die neue Sicherheits­funktion zur Verteidigung gegen neue Angriffsvektoren, und zwar ohne Option zur Deaktivierung. Sie können sich als Kunde somit nicht gegen den Schutz entscheiden, wenn Microsoft dieses standardmäßig einplant.

Vom System bevorzugte MFA

Im Rahmen des Standardschutzes gibt es seit einiger Zeit eine neue Richtlinie für Authentifizierungs­methoden, die auf den Namen vom System bevorzugte Multi-Faktor-Authentifizierung hört.

Sie fordert die Nutzer automatisch auf, sich mit der jeweils sichersten registrierten Methode anzumelden, für die sie sich registriert haben. Hat ein Benutzer zum Beispiel sowohl SMS als auch Microsoft Authenticator-Push-Benachrichtigungen aktiviert, dann wird ihn MFA dazu anhalten, sich per Push-Nachricht anzumelden.

Damit gehört auch vom System bevorzugte MFA zu den standardmäßig von Microsoft verwalteten Einstellungen. Die Richtlinie kennt drei Zustände: disabled, enabled und default.

Im Rahmen der Vorschauphase ist disabled voreingestellt. Erst nach der allgemeinen Verfügbarkeit ändert sich der Standardwert für den von Microsoft verwalteten Status auf enabled, um die vom System bevorzugte MFA zu aktivieren. Mit default kann Azure AD die Funktion für die ausgewählte Gruppe aktivieren.

Um das Feature schon jetzt zu testen, müssen Sie also die Graph-API bemühen. Sind Sie kein Entwickler oder fühlen sich generell mit der Kommandozeile unwohl, dann greifen Sie am besten zum Graph Explorer. Damit können Sie die APIs im Standard-Beispielmandanten testen.

Möchten Sie wie in unserem Fall konkrete Einstellungen in Ihrem Mandanten abfragen oder setzen, müssen Sie sich natürlich mit einem ausreichend berechtigten Nutzer anmelden, etwa dem globalen Administrator, und die angeforderten Berechtigungen bestätigen.

Suchen Sie dann im Tab Resources im Knoten Policies nach authentiationMethodPolicy und klicken auf die GET-Methode und dann auf Run Query, um den aktuellen Status zu ermitteln. Sie können leicht sehen, dass der state bei registrationEnforcement in meinem Fall default ist.

Entsprechend könnten Sie die Einstellung mit der Patch-Methode ändern, zum Beispiel für eine spezifische Gruppe mit der angegebenen Group-ID. Hier der zugehörige HTTP-Request:

PATCH https://graph.microsoft.com/v1.0/policies/authenticationMethodsPolicy Content-Type: application/json { "registrationEnforcement": { "authenticationMethodsRegistrationCampaign": { "snoozeDurationInDays": 1, "state": "enabled", "excludeTargets": [], "includeTargets": [ { "id": "3ee3a9de-0a86-4e12-a287-9769accf1ba2", "targetType": "group", "targetedAuthenticationMethod": "microsoftAuthenticator" } ] } } }

Weitere Beispiele für JavaScript, Java, PHP oder PowerShell finden Sie in der Dokumentation.

Erhalten Sie beim ersten Mal die Meldung

Forbidden - 403 - 300ms. Either the signed-in user does not have sufficient privileges, or you need to consent to one of the permissions on the Modify permissions tab

und Sie sind mit einem ausreichend berechtigten Nutzer angemeldet, liegt es an den Einwilligungen (Consent). Klicken Sie dann auf den Tab Modify permission und erteilen die Einwilligung für Policy.ReadWrite.AuthentionMethod.

Zusammenfassung

Die neue Richtlinie für Authentifizierungs­methoden mit der Bezeichnung vom System bevorzugte Multi-Faktor-Authentifizierung bewirkt, dass sich Benutzer mit dem sichersten jener Verfahren anmelden müssen, die sie für MFA registriert haben.

Sie steht im Rahmen des Standardschutzes und somit in allen M365-Plänen zur Verfügung. Aktuell befindet sich das Feature im Preview-Modus und ist per Voreinstellung deaktiviert. Unternehmen können diesen Status mit Hilfe des Graph-API ändern und so die Richtlinie vorab testen.