Tags: Azure, Active Directory, Authentifizierung
Azure AD fordert Benutzer mit der neuen MFA-Richtlinie auf, sich mit der sichersten Methode anzumelden, wenn sie mehrere Verfahren registriert haben. Admins können damit die Anmeldesicherheit für Office 365 oder Azure verbessern, indem Sie die Nutzung weniger sicherer Anmeldemethoden wie SMS unterbinden.
Azure Active Directory unterstützt mehrere Verfahren zur Authentifizierung und kann diese zusätzlich durch einen zweiten Faktor absichern. Auch dafür stehen mehrere Optionen zur Verfügung.
Im Prinzip lässt sich Multi-Faktor-Authentifizierung (MFA) auf drei Arten durchsetzen:
- Aktivieren der Sicherheitsstandards (Standardschutz)
- MFA-Aktivierung über eine Richtlinie für den bedingten Zugriff (erfordert mindestens eine Lizenz vom Typ Azure AD Premium P1)
- Legacy-MFA auf Benutzerbasis
Die Methoden 1) und 3) stehen in allen Office 365-Plänen zur Verfügung und damit auch kleinen Unternehmen, während 2) einen Plan wie Business Premium oder Enterprise E3 erfordert.
Haben Sie zusätzlich P2 (zum Beispiel in O365/ M365 Enterprise E5), dann können Sie in einer Richtlinie für den bedingten Zugriff ("Conditional Access") auch das ermittelte Benutzer- oder Anmelderisiko (Azure AD Identity Protection) mit einbeziehen.
Die alte Funktion MFA pro Benutzer (Legacy MFA) wird von Microsoft nicht mehr empfohlen.
In vielen Unternehmen bieten die Sicherheitsstandards ausreichende Anmeldesicherheit. Wenn Sie einen Azure-AD-Mandanten neu anlegen, dann sind die Sicherheitsstandards seit August 2017 bereits automatisch aktiviert.
Den bedingten Zugriff empfiehlt Microsoft für größere Unternehmen, die spezifische Anforderungen an die Anmeldesicherheit haben. Diese erhalten dann mehr Kontrolle und können Richtlinien definieren, die etwa auf Anmeldeereignisse reagieren oder weitere Aktionen anfordern, bevor ein Benutzer Zugriff auf IT-Ressourcen erhält.
Möchten Sie Richtlinien für den bedingten Zugriff verwenden, dann müssen Sie sowohl MFA auf Benutzerbasis als auch die Sicherheitsstandards deaktivieren, denn Methode 1 und 2 schließen einander aus.
Sicherheits-Features standardmäßig aktivieren
Bei einer Richtlinie für den bedingten Zugriff können Nutzer die sekundäre Authentifizierungsmethode bei der Registrierung bestimmen, während es bei den Sicherheitsstandards per Default immer die Authenticator App ist, was uns zum eigentlichen Thema führt.
Was passiert beim Standardschutz, wenn Microsoft neue Sicherheitsfunktionen veröffentlicht? Es gibt grundsätzlich zwei Möglichkeiten, diese standardmäßig zu aktivieren:
- von Microsoft verwaltet, oder
- mit Hilfe der Graph-API
Ein Beispiel für ein neues Sicherheitsfeature wäre etwa ein besserer Schutz vor MFA-Ermüdungsangriffen, die einen User dazu verleiten, versehentlich MFA-Genehmigungen zu erteilen.
Diesem Zweck dienen die noch als Vorschau eingestufte Authentifizierungsrichtlinie Nummernabgleich in MFA-Benachrichtigungen.
Ist ein Schutz von Microsoft verwaltet, dann bedeutet es, dass ihn Azure AD gemäß der jeweils aktuellen Sicherheitsbedrohungen von sich aus aktivieren oder deaktivieren kann. Sie als Kunde können aber entscheiden, ob Microsoft den Schutz verwalten darf, indem sie ihn über die Graph-API auf aktiviert oder deaktiviert setzen.
Sie können aber auch jederzeit, nachdem Microsoft ein neues Sicherheits-Feature veröffentlicht hat, dieses mit Hilfe der Graph-API nach ihrem eigenen Zeitplan testen und schrittweise einführen.
Ist aber von Microsoft verwaltet eingestellt, dann erhalten ab einem bestimmten Datum alle Mandanten standardmäßig die neue Sicherheitsfunktion zur Verteidigung gegen neue Angriffsvektoren, und zwar ohne Option zur Deaktivierung. Sie können sich als Kunde somit nicht gegen den Schutz entscheiden, wenn Microsoft dieses standardmäßig einplant.
Vom System bevorzugte MFA
Im Rahmen des Standardschutzes gibt es seit einiger Zeit eine neue Richtlinie für Authentifizierungsmethoden, die auf den Namen vom System bevorzugte Multi-Faktor-Authentifizierung hört.
Sie fordert die Nutzer automatisch auf, sich mit der jeweils sichersten registrierten Methode anzumelden, für die sie sich registriert haben. Hat ein Benutzer zum Beispiel sowohl SMS als auch Microsoft Authenticator-Push-Benachrichtigungen aktiviert, dann wird ihn MFA dazu anhalten, sich per Push-Nachricht anzumelden.
Damit gehört auch vom System bevorzugte MFA zu den standardmäßig von Microsoft verwalteten Einstellungen. Die Richtlinie kennt drei Zustände: disabled, enabled und default.
Im Rahmen der Vorschauphase ist disabled voreingestellt. Erst nach der allgemeinen Verfügbarkeit ändert sich der Standardwert für den von Microsoft verwalteten Status auf enabled, um die vom System bevorzugte MFA zu aktivieren. Mit default kann Azure AD die Funktion für die ausgewählte Gruppe aktivieren.
Um das Feature schon jetzt zu testen, müssen Sie also die Graph-API bemühen. Sind Sie kein Entwickler oder fühlen sich generell mit der Kommandozeile unwohl, dann greifen Sie am besten zum Graph Explorer. Damit können Sie die APIs im Standard-Beispielmandanten testen.
Möchten Sie wie in unserem Fall konkrete Einstellungen in Ihrem Mandanten abfragen oder setzen, müssen Sie sich natürlich mit einem ausreichend berechtigten Nutzer anmelden, etwa dem globalen Administrator, und die angeforderten Berechtigungen bestätigen.
Suchen Sie dann im Tab Resources im Knoten Policies nach authentiationMethodPolicy und klicken auf die GET-Methode und dann auf Run Query, um den aktuellen Status zu ermitteln. Sie können leicht sehen, dass der state bei registrationEnforcement in meinem Fall default ist.
Entsprechend könnten Sie die Einstellung mit der Patch-Methode ändern, zum Beispiel für eine spezifische Gruppe mit der angegebenen Group-ID. Hier der zugehörige HTTP-Request:
Weitere Beispiele für JavaScript, Java, PHP oder PowerShell finden Sie in der Dokumentation.
Erhalten Sie beim ersten Mal die Meldung
Forbidden - 403 - 300ms. Either the signed-in user does not have sufficient privileges, or you need to consent to one of the permissions on the Modify permissions tab
und Sie sind mit einem ausreichend berechtigten Nutzer angemeldet, liegt es an den Einwilligungen (Consent). Klicken Sie dann auf den Tab Modify permission und erteilen die Einwilligung für Policy.ReadWrite.AuthentionMethod.
Zusammenfassung
Die neue Richtlinie für Authentifizierungsmethoden mit der Bezeichnung vom System bevorzugte Multi-Faktor-Authentifizierung bewirkt, dass sich Benutzer mit dem sichersten jener Verfahren anmelden müssen, die sie für MFA registriert haben.
Sie steht im Rahmen des Standardschutzes und somit in allen M365-Plänen zur Verfügung. Aktuell befindet sich das Feature im Preview-Modus und ist per Voreinstellung deaktiviert. Unternehmen können diesen Status mit Hilfe des Graph-API ändern und so die Richtlinie vorab testen.
Täglich Know-how für IT-Pros mit unserem Newsletter
Thomas Drilling arbeitet seit mehr als 20 Jahren selbständig als Redakteur und Autor für viele ehemalige und aktuelle IT-Magazine sowie Blogs. Thomas ist zudem Buchautor und IT-Consultant.
Seit 5 Jahren ist Thomas neben seiner journalistischen Tätigkeit hauptberuflicher, selbständiger IT-Trainer für VMware und Microsoft.
Seine Themenschwerpunkte sind Virtualisierung und Cloud Computing, speziell VMware, Amazon Web Services, Google Cloud und Microsoft Azure. Thomas ist zertifizierter VMware Professional, Advanced Professional und wurde von VMware in den Jahren 2016, 2017, 2018, 2019 und 2020 mit dem Blogger-Status vExpert ausgezeichnet.
Thomas ist außerdem zertifizierter AWS Solutions Architect, Sysops Engineer und Devops Engineer sowie Microsoft Certified Azure Administrator.
Thomas führt aktuell jeden zweiten Montag einen 4-tägigen Grundlagenkurs in Cloud Computing mit AWS via Zoom-Meeting durch. Weitere Informationen und Anmeldung über sein AWS-Blog.
Ähnliche Beiträge
- Microsoft fasst alle Authentifizierungsmethoden des Azure AD in einer Policy zusammen
- Microsoft Authenticator: Push-Nachrichten für MFA absichern
- Microsoft ergänzt zertifikatbasierte Authentifizierung am Azure AD um Support für Smartcards
- MFA, FIDO2, Authenticator App, Hello for Business: Methoden zur Authentifizierung am (hybriden) Azure Active Directory
- Privilegierte Konten mit Azure PIM schützen
Weitere Links