MFA, FIDO2, Authenticator App, Hello for Business: Methoden zur Authentifizierung am (hybriden) Azure Active Directory

Die mit Abstand wichtigste Funktion einer Identitäts­­plattform ist das Verifizieren von Anmelde­­infor­mationen. Dieser Vorgang beschränkt sich in Azure AD nicht auf das Überprüfen eines Benutzer­namens und des zugehörigen Passworts. Diese Form der Anmeldung ist nämlich unsicher, weswegen Microsoft dringend zu anderen Verfahren rät.

Die Authentifizierung an Azure AD beruht auf mehreren Komponenten, welche die Sicherheit ver­bessern und den Support-Aufwand für den Helpdesk verringern sollen. Zu diesen gehören:

• Multi-Factor Authentication
• Authentifizierung ohne Kennwort
• SSO mit anderen Cloud-Diensten und lokalen Anwendungen
• Zugriff über Conditional Access steuern
• Self Service für das Zurücksetzen von Passwörtern

Multi-Faktor-Authentifizierung

Die Multi-Factor Authentication (MFA) fordert Benutzer im Verlauf des Anmelde­vorgangs zu einer weiteren Identifizierungs­­methode auf, zum Beispiel der Eingabe eines Codes auf dem Smartphone oder dem Scannen eines Fingerabdrucks.

Ein zweites Authentifizierungs­­verfahren erhöht die Sicherheit, weil es von einem Angreifer nicht dupliziert werden kann. Für die konkrete Umsetzung von MFA siehe diesen Beitrag:

MFA Multifaktor-Authentifizierung (MFA) für Azure und Office 365 konfigurieren

Kennwortlose Authentifizierung

MFA schützt Organisationen zwar gut vor dem Diebstahl von Identitäten, für Nutzer ist dieses Verfahren aber nicht komfortabel. Sie müssen sich weiterhin ein Passwort merken und darüber hinaus eine zusätzliche Sicherheits­­prozedur durchlaufen.

Bequemer ist dagegen die kennwortlose Authentifizierung. Microsoft bietet in Azure AD dafür gleich vier Optionen an:

• Windows Hello for Business
• Microsoft Authenticator App
• FIDO2-Sicherheitsschlüssel
• Zertifikatsbasierte Authentifizierung

Windows Hello for Business erlaubt Nutzern, biometrische Merkmale zur Authentifizierung zu verwenden, sofern Sie sich von einem Windows-Gerät anmelden, das dem Azure AD beigetreten ist. Das Verhältnis von Sicherheit zur Prakti­kabilität bzw. Komfort zeigt folgendes Diagramm von Microsoft.

Bei der kennwortlosen Authentifizierung mittels App müssen Benutzer bei der Anmeldung die im Logon-Dialog angezeigte Zahl in ihre Authenticator-App eintippen und anschließend ihre Identität mittels Smartphones über ein biometrisches Verfahren wie Fingerabdrucksensor oder FaceID beweisen.

FIDO2-Keys ermöglichen eine schnelle Anmeldung an Betriebssystemen, Anwendungen und Services. Der für die Authentifizierung notwendige Austausch von Nachrichten wird mit dem privaten Schlüssel signiert, welcher auf dem FIDO2-Device gespeichert ist. Dieser kann mit einem biometrischen Merkmal oder einer PIN entsperrt werden.

Die Anmeldung mittels Zertifikat ist ein sicheres Verfahren, um die Identität eines Benutzers zu festzustellen. Bis vor kurzem mussten man noch die Active Directory Federation Services (AD FS) einsetzen, um sich auf diese Weise an Azure AD zu authentifizieren. Dies änderte sich mit dem kürzlich eingeführten Service Azure AD Certificate-based Authentication.

Authentifizierung mit Conditional Access steuern

MFA lässt sich für Cloud-Konten automatisch erzwingen oder auch auf Benutzerebene aktivieren. Aber letztlich handelt es sich dabei um eine relativ statische Methode, die ein Anmelde­­verfahren unabhängig von den Gegebenheiten des Benutzers vorschreibt.

Soll jedoch die Anmeldung oder der Zugriff auf bestimmte Anwendungen vom Kontext der Benutzer bzw. der Geräte abhängen, dann sind die Richtlinien für Conditional Access (CA) die von Microsoft vorgesehene Lösung.

Damit können Sie den Zugriff von Risiko­be­wertungen (Benutzer- oder Anmelderisiken), Geräte­plattformen, Standorten oder spezifischen Client-Apps abhängig machen. Eine mögliche Maßnahme bestünde darin, MFA nur unter bestimmten Rahmenbedingungen zu erzwingen.

Im Gegensatz zu her­kömmlichen Richtlinien bieten CA-Policies somit mehr Möglichkeiten. Letzt­endlich ist jede CA-Richtlinie eine Auseinander­­reihung von If-Anweisungen zur Auswertung der erwähnten Signale.

Allerdings erfordert das Feature Bedingter Zugriff eine Premium P2-Lizenz von Azure AD.

Siehe zu diesem Thema auch: Conditional Access: Richtlinien zur Sicherung von Cloud-Ressourcen in Azure AD erstellen

Single-Sign-on für hybride Umgebungen

Das Azure AD dient nicht nur als Identitäts­­speicher für den Zugriff auf Azure-Dienste, wie der Name vermuten lässt. Besondere Bedeutung hat vor allem die Authentifizierung der Benutzer für andere Cloud-Dienste von Microsoft (Office 365, Dynamics).

Dabei sind zahleiche Anwendungen vom Start weg in Azure AD registriert, so dass Sie diese direkt mit SSO verwenden können. Dabei bietet Microsoft je nach Anforderung der jeweiligen Anwendung mehrere Optionen für SSO wie beispielsweise Verbund, Kennwort oder Verknüpft.

SSO für hybride Konfigurationen ist praktisch unumgänglich, wenn Unternehmen Office 365 einführen. Sie müssen dann ihr lokales Active Directory an Azure AD anbinden. Das bevorzugte Tool dafür ist Azure AD Connect, eine weitere, aber aufwändigere Option besteht in Einsatz der Active Directory Federation Services (AD FS).

Azure AD Connect unterstützt zwei Modus, nämlich Sync und Provisioning. Azure AD Connect Cloud Provisioning erfordert keine so aufwändige lokale Infrastruktur wie AAD Connect Sync und beschränkt sich on-prem auf die Installation eines Agenten. Zudem kommt man in den Genuss einer höheren Verfügbarkeit, weil sich mehrere Instanzen des Agents parallel betreiben lassen.

Eine hybride Umgebung hat vor allem den Vorteil, dass sie ein lokales Active Directory um alle Methoden der Modern Authentication ergänzt. Die Verifizierung der Benutzer­identität erfolgt in einer solchen Konstellation nämlich immer durch das Azure AD (außer bei AD FS), unabhängig davon, wo die Kennwörter vorgehalten werden.

Dabei gibt es folgende Optionen:

• (Selektive) Synchronisierung der Passwort-Hashes zwischen AD und AAD, so das Azure AD die Kennwörter direkt verifizieren kann.
• Pass-through Authentication, bei der Passwort-Hashes im On-prem-AD verbleiben und Azure AD dieses über einen lokalen Agent prüft.

Siehe dazu auch: Single Sign-On für Azure, Microsoft 365 und hybride Umgebungen: 3 Verfahren im Überblick

Fazit

Azure AD bietet eine ganze Reihe von Verfahren für die Authentifizierung von Benutzern. Diese reichen von der einfachen Anmeldung mittels Passwort über mehrere Varianten für MFA bis zu passwort­losen Methoden.

Da die Authentifizierung über Passwörter alleine unsicher ist, empfiehlt sich die Verwendung moderner Alternativen. Diese stehen Unternehmen auch dann zur Verfügung, wenn sie ihr lokales Active Directory mit Azure AD verbinden.

Für solche hybriden Umgebungen stehen mehrere Formen der Anbindung an das Azure AD zur Verfügung. Neben der Synchronisierung von Objekten inklusive Passwort-Hashes besteht die Möglichkeit der Pass-through-Authentifizierung, bei der Kennwort-Hashes nicht in die Cloud übertragen werden.