MFA, FIDO2, Authenticator App, Hello for Business: Methoden zur Authentifizierung am (hybriden) Azure Active Directory


    Tags: , ,

    Azure Active Directory (Azure AD, AAD)Azure AD ist ein Cloud-basierter Dienst zur Identitäts- und Zugriffs­­verwaltung, der sich für externe Anwen­­dungen wie Microsoft 365 sowie für interne Ressourcen nutzen lässt. Er bietet mehrere moderne Ver­­fahren zur Authen­ti­fizierung, die auch in hybriden Umge­bungen mit einem lokalen Active Directory zur Ver­fügung stehen.

    Azure AD ist das Fundament für alle Cloud-Dienste von Microsoft (Office, Dynamics, Azure). Es wurde von Grund auf für die Anfragen via HTTP/S und Standards wie SAML oder OpenID Connect (OIDC) konzipiert. Microsoft spricht daher in Zusammen­hang mit Azure AD stets von "Modern Authentication".

    Azure AD als Identitätsplattform

    Die mit Abstand wichtigste Funktion einer Identitäts­­plattform ist das Verifizieren von Anmelde­­infor­mationen. Dieser Vorgang beschränkt sich in Azure AD nicht auf das Überprüfen eines Benutzer­namens und des zugehörigen Passworts. Diese Form der Anmeldung ist nämlich unsicher, weswegen Microsoft dringend zu anderen Verfahren rät.

    Die Stärke der verschiedenen Azure-AD-Authentifizierungsmethoden nach Einschätzung von Microsoft

    Die Authentifizierung an Azure AD beruht auf mehreren Komponenten, welche die Sicherheit ver­bessern und den Support-Aufwand für den Helpdesk verringern sollen. Zu diesen gehören:

    • Multi-Factor Authentication
    • Authentifizierung ohne Kennwort
    • SSO mit anderen Cloud-Diensten und lokalen Anwendungen
    • Zugriff über Conditional Access steuern
    • Self Service für das Zurücksetzen von Passwörtern

    Multi-Faktor-Authentifizierung

    Die Multi-Factor Authentication (MFA) fordert Benutzer im Verlauf des Anmelde­vorgangs zu einer weiteren Identifizierungs­­methode auf, zum Beispiel der Eingabe eines Codes auf dem Smartphone oder dem Scannen eines Fingerabdrucks.

    Ein zweites Authentifizierungs­­verfahren erhöht die Sicherheit, weil es von einem Angreifer nicht dupliziert werden kann. Für die konkrete Umsetzung von MFA siehe diesen Beitrag:

    MFA Multifaktor-Authentifizierung (MFA) für Azure und Office 365 konfigurieren

    Kennwortlose Authentifizierung

    MFA schützt Organisationen zwar gut vor dem Diebstahl von Identitäten, für Nutzer ist dieses Verfahren aber nicht komfortabel. Sie müssen sich weiterhin ein Passwort merken und darüber hinaus eine zusätzliche Sicherheits­­prozedur durchlaufen.

    Bequemer ist dagegen die kennwortlose Authentifizierung. Microsoft bietet in Azure AD dafür gleich vier Optionen an:

    Windows Hello for Business erlaubt Nutzern, biometrische Merkmale zur Authentifizierung zu verwenden, sofern Sie sich von einem Windows-Gerät anmelden, das dem Azure AD beigetreten ist. Das Verhältnis von Sicherheit zur Prakti­kabilität bzw. Komfort zeigt folgendes Diagramm von Microsoft.

    Die kennwortlose Authentifizierung erhöht Sicherheit und Komfort.

    Bei der kennwortlosen Authentifizierung mittels App müssen Benutzer bei der Anmeldung die im Logon-Dialog angezeigte Zahl in ihre Authenticator-App eintippen und anschließend ihre Identität mittels Smartphones über ein biometrisches Verfahren wie Fingerabdrucksensor oder FaceID beweisen.

    FIDO2-Keys ermöglichen eine schnelle Anmeldung an Betriebssystemen, Anwendungen und Services. Der für die Authentifizierung notwendige Austausch von Nachrichten wird mit dem privaten Schlüssel signiert, welcher auf dem FIDO2-Device gespeichert ist. Dieser kann mit einem biometrischen Merkmal oder einer PIN entsperrt werden.

    Die Anmeldung mittels Zertifikat ist ein sicheres Verfahren, um die Identität eines Benutzers zu festzustellen. Bis vor kurzem mussten man noch die Active Directory Federation Services (AD FS) einsetzen, um sich auf diese Weise an Azure AD zu authentifizieren. Dies änderte sich mit dem kürzlich eingeführten Service Azure AD Certificate-based Authentication.

    Authentifizierung mit Conditional Access steuern

    MFA lässt sich für Cloud-Konten automatisch erzwingen oder auch auf Benutzerebene aktivieren. Aber letztlich handelt es sich dabei um eine relativ statische Methode, die ein Anmelde­­verfahren unabhängig von den Gegebenheiten des Benutzers vorschreibt.

    Soll jedoch die Anmeldung oder der Zugriff auf bestimmte Anwendungen vom Kontext der Benutzer bzw. der Geräte abhängen, dann sind die Richtlinien für Conditional Access (CA) die von Microsoft vorgesehene Lösung.

    Damit können Sie den Zugriff von Risiko­be­wertungen (Benutzer- oder Anmelderisiken), Geräte­plattformen, Standorten oder spezifischen Client-Apps abhängig machen. Eine mögliche Maßnahme bestünde darin, MFA nur unter bestimmten Rahmenbedingungen zu erzwingen.

    Richtlinien für Conditional Access können unter anderem auch MFA erzwingen oder umgehen.

    Im Gegensatz zu her­kömmlichen Richtlinien bieten CA-Policies somit mehr Möglichkeiten. Letzt­endlich ist jede CA-Richtlinie eine Auseinander­­reihung von If-Anweisungen zur Auswertung der erwähnten Signale.

    Allerdings erfordert das Feature Bedingter Zugriff eine Premium P2-Lizenz von Azure AD.

    Siehe zu diesem Thema auch: Conditional Access: Richtlinien zur Sicherung von Cloud-Ressourcen in Azure AD erstellen

    Single-Sign-on für hybride Umgebungen

    Das Azure AD dient nicht nur als Identitäts­­speicher für den Zugriff auf Azure-Dienste, wie der Name vermuten lässt. Besondere Bedeutung hat vor allem die Authentifizierung der Benutzer für andere Cloud-Dienste von Microsoft (Office 365, Dynamics).

    Dabei sind zahleiche Anwendungen vom Start weg in Azure AD registriert, so dass Sie diese direkt mit SSO verwenden können. Dabei bietet Microsoft je nach Anforderung der jeweiligen Anwendung mehrere Optionen für SSO wie beispielsweise Verbund, Kennwort oder Verknüpft.

    Nahezu beliebige Unternehmensanwendungen lassen sich ans Azure AD anbinden und damit via SSO nutzen.

    SSO für hybride Konfigurationen ist praktisch unumgänglich, wenn Unternehmen Office 365 einführen. Sie müssen dann ihr lokales Active Directory an Azure AD anbinden. Das bevorzugte Tool dafür ist Azure AD Connect, eine weitere, aber aufwändigere Option besteht in Einsatz der Active Directory Federation Services (AD FS).

    Azure AD Connect unterstützt zwei Modus, nämlich Sync und Provisioning. Azure AD Connect Cloud Provisioning erfordert keine so aufwändige lokale Infrastruktur wie AAD Connect Sync und beschränkt sich on-prem auf die Installation eines Agenten. Zudem kommt man in den Genuss einer höheren Verfügbarkeit, weil sich mehrere Instanzen des Agents parallel betreiben lassen.

    Eine hybride Umgebung hat vor allem den Vorteil, dass sie ein lokales Active Directory um alle Methoden der Modern Authentication ergänzt. Die Verifizierung der Benutzer­identität erfolgt in einer solchen Konstellation nämlich immer durch das Azure AD (außer bei AD FS), unabhängig davon, wo die Kennwörter vorgehalten werden.

    Dabei gibt es folgende Optionen:

    Siehe dazu auch: Single Sign-On für Azure, Microsoft 365 und hybride Umgebungen: 3 Verfahren im Überblick

    Fazit

    Azure AD bietet eine ganze Reihe von Verfahren für die Authentifizierung von Benutzern. Diese reichen von der einfachen Anmeldung mittels Passwort über mehrere Varianten für MFA bis zu passwort­losen Methoden.

    Da die Authentifizierung über Passwörter alleine unsicher ist, empfiehlt sich die Verwendung moderner Alternativen. Diese stehen Unternehmen auch dann zur Verfügung, wenn sie ihr lokales Active Directory mit Azure AD verbinden.

    Für solche hybriden Umgebungen stehen mehrere Formen der Anbindung an das Azure AD zur Verfügung. Neben der Synchronisierung von Objekten inklusive Passwort-Hashes besteht die Möglichkeit der Pass-through-Authentifizierung, bei der Kennwort-Hashes nicht in die Cloud übertragen werden.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Thomas Drilling

    Thomas Drilling arbeitet ist seit fast 30 Jahren selb­ständig in der IT-Welt sowohl als Consultant, als auch als Redakteur, Buchautor und Journalist für viele ehe­malige und aktuelle IT-Magazine sowie Blogs.

    Aktuell bestätigt sich Thomas schwerpunktmäßig als IT-Trainer für Cloud-Computing in den Bereichen Microsoft Azure, Amazon Web Services und VMware.

    Thomas ist zertifizierter Microsoft-Trainer für nahe das gesamte Portfolio an Microsoft Azure Trainings. Thomas ist außerdem zerti­fi­zierter Microsoft Azure Solutions Architect Expert sowie VMware Certified Professional und wurde von VMware in den Jahren 2016 bis 2022 mit dem Blogger-Status vExpert ausge­zeichnet.

    Thomas führt aktuell jeden Monat zwei selbstkonziperte 4-tägigen Grund­lagenkurse in Cloud Computing mit Azure durch, die sich inhaltlich bewusst von den Microsft-Kursen abheben und vorzuweise als Bootcamp in eine besonderen Lokation stattfinden. Optional kann aber aber auch remote via Microsoft Teams teilgenommen werden.

    Das aktuelle Trainingsprogramm findet sich unter Azure-Trainings. Weitere Infor­mationen und Anmel­dung über sein Azure-Blog.

    Verwandte Beiträge

    Weitere Links