Multifaktor-Authentifizierung (MFA) für Azure und Office 365 konfigurieren


    Tags: , ,

    MFA mit Microsoft Authenticator AppVerwenden Nutzer zur Authentifizierung bei Azure oder Office 365 lediglich ein Passwort, dann stellt das in der Public-Cloud einen gefährlichen Angriffsvektor dar. Microsoft sieht daher für Azure AD eine sichere Anmeldung über mehrere Ver­fahren vor. Die simple und kostenlose MFA beschränkt sich auf die Authenticator App.

    Cyberkriminelle schaffen es immer wieder, an die Anmelde­informationen von Windows-Admini­stratoren oder Unix-Root-Accounts zu gelangen, um sich dann seitlich (Lateral Movement) über Systeme und Geräte hinweg zu bewegen.

    Wenn Sie hingegen ein zweites Authen­tifizierungs­verfahren erzwingen, erhöht das die Sicherheit erheblich, weil ein Angreifer dieses nicht duplizieren kann.

    Bei MFA müssen Sie zwei der folgenden Authentifizierungs­verfahren zwingend verwenden:

    • Eine Ihnen bekannte Information (meist Passwort).
    • Ein in Ihrem Besitz befindliches Objekt, wie beispielsweise ein ver­trauens­­­würdiges Gerät, das nicht ohne weiteres kopiert werden kann (Smartphone oder Hardwareschlüssel).
    • Ein biometrisches Merkmal (Fingerabdruck- oder Gesichtsscan).

    MFA für jeden User vorgegeben

    In den Voreinstellungen von Azure AD ist bei den so genannten Sicherheits­standards für jeden Cloud-Benutzer MFA obligatorisch.

    Sie können diese Sicherheits­einstellungen überprüfen, wenn Sie im Hauptmenü von Azure AD auf Eigenschaften klicken. Dort folgen Sie dem etwas unschein­baren Link Sicherheitsstands verwalten. Hier können Sie sehen, dass der Schalter Sicherheits­standards aktiveren standardmäßig auf Ja steht.

    Diese umfasst auch MFA für Cloud-Benutzer, weshalb die Funktion auch in der Lizenz Azure AD Free enthalten ist. Die kostenlosen Sicherheits­standards unterstützen jedoch MFA nur unter Verwendung der Microsoft Authenticator-App mit Benachrichtigungen.

    Benutzer können MFA nur 14 Tage lang umgehen.

    Jeder neue Benutzer im Azure AD muss mithin MFA verwenden. Dazu gehört, dass er nach der Account-Erstellung seine bevorzugten Sicherheits­methoden implementieren muss. Er hat dafür lediglich 14 Tage Zeit.

    Klickt der Benutzer in diesem Dialog hingegen auf Weiter, dann muss er mit Hilfe der App Microsoft Authenticator einen zweiten Faktor konfigurieren.

    Die Sicherheitsstandards sehen nur den Microsoft-Authenticator als Sicherheitsverfahren vor.

    Diese App findet sich in Google Play bzw. im Apple App Store. Ist sie installiert, fügen Sie in der App ein neues Konto hinzu und scannen dann den QR-Code der Ihnen angezeigt wird, wenn Sie im Anmeldedialog von Azure AD nochmals auf Weiter klicken.

    Das Einrichten eines Kontos im Microsoft-Authenticator erfolgt über einen QR-Code.

    Weitergehende MFA-Einstellungen

    Wenn Sie im Azure-Portal unter Azure Active Directoy zum Abschnitt Sicherheit =>  MFA navigieren, dann finden Sie dort alle MFA-relevanten Einstellungen.

    Die MFA-Konfiguration im Azure AD

    Hier können Sie zum Beispiel unter Benachrichtigungen die Mail-Adresse eines ausgewählten Empfängers hinterlegen oder im Abschnitt Benutzer blockieren/entsperren gesperrte Benutzer sehen. Solche User erhalten keine MFA-Anforderungen und ihre Anmeldeversuche werden automatisch abgelehnt.

    Die Sperre verbleibt für 90 Tage, wenn Sie den Benutzer nicht manuell freischalten. Bei Betrugswarnung können Sie Benutzern ermöglichen, vermutete Betrugsversuche selbst zu melden, wenn diese eine nicht von ihnen veranlasste Anforderung zur Überprüfung erhalten.

    Nutzer können berechtigt werden, von ihnen vermutete Betrugsversuche zu melden.

    Unter Kontosperrung können Sie Konten im MFA-Dienst temporär sperren, wenn zu viele aufeinander­folgende Authentifizierungs­versuche abgelehnt wurden. Allerdings kommt das Verfahren nur bei Nutzern zum Tragen, die sich mit einer PIN anmelden.

    MFA pro Benutzer konfigurieren

    Klicken Sie dagegen jedoch unter Multi-Factor Authentication => Erste Schritte auf den Link Zusätzliche cloudbasierte MFA-Einstellungen, dann leitet Sie Microsoft zu den Einstellungen für das Aktivieren von MFA pro Benutzer weiter.

    Hier müssen Sie sich zunächst authentifizieren und werden dann zu den MFA-Einstellungen umgeleitet. Wie Sie schon an windowsazure in der URL erkennen, handelt es sich hierbei um ein ziemlich angestaubtes Portal aus dem Office-365-Kontext.

    Die Einstellungen hier sind weitgehend selbsterklärend. Die verfügbaren Methoden sind Textnachricht an Telefon, Benachrichtigung über mobile App und Prüfcode aus mobiler App oder Hardwaretoken. Außerdem können Sie hier vertrauenswürdige IPs festlegen und Benutzern das Speichern der MFA auf vertrauens­würdigen Geräten ermöglichen.

    Die Einstellungen für MFA pro Benutzer

    Das eigentliche Aktivieren von MFA pro Benutzer erfolgt im Benutzer-Menü vom Azure AD (oder im O365 Admin Center). Hier müssen Sie rechts oben auf die Schaltfläche MFA pro Benutzer klicken und werden dann weitergeleitet. Markieren Sie hier im Tab Benutzer das gewünschte Konto und klicken dann rechts unten auf Benutzer­einstellungen verwalten.

    Weitere Einstellungen für MFA pro Benutzer

    Hier lassen sich bei Bedarf weitere Einstellungen konfigurieren, zum Beispiel Bereitstellen der Kontaktmethoden bei ausgewählten Benutzern erneut anfordern.

    Das Bereitstellen von Kontaktmethoden in MFA pro Benutzer

    Aktivieren können Sie die Funktion schließlich, wenn Sie bei markiertem Benutzer auf rechts unten auf den Link Aktivieren klicken.

    MFA pro Benutzer aktivieren

    MFA mit Conditional Access

    MFA im Kontext von Bedingter Zugriff ist die von Microsoft empfohlene Option, um MFA zu nutzen. Diese erfordert allerdings eine Premium-P2-Lizenz von Azure AD.

    Für die Option MFA in Kombination mit dem bedingten Zugriff müssen Sie zunächst im Menü Eigenschaften des Azure AD wieder auf den Link Sicherheits­standards verwalten klicken, um diese Einstellung zu deaktivieren.

    Das Aktivieren von MFA mit bedingten Zugriff

    Ziehen Sie hierzu den Schieber auf Nein, setzen Sie das Häkcken bei Meine Organisation verwendet den bedingten Zugriff und klicken dann auf Speichern. Nun können Sie im Azure AD unter Sicherheit => Bedingter Zugriff verschiedene Richtlinien für das Erzwingen von MFA unter bestimmten Bedingungen festlegen.

    Richtlinien für bedingten Zugriff einrichten

    Beispiele für solche Richtlinien wären etwa riskanter Benutzer, riskante Anmeldung, ungewöhnliche IP oder ungewöhnlicher Standort. Alternativ kann man MFA nur für ausgewählte Cloud-Apps wie das Azure Portal erzwingen.

    MFA nur für den Zugriff auf bestimmte Apps erzwingen

    Fazit

    Beim Cloud-Computing lässt sich nicht mehr so einfach kontrollieren, ob Anmeldeversuche von bestimmter IPs oder Clients legitim sind oder einen Angriffsversuch darstellen. Umso wichtiger ist es, die Authentifizierung über einen weiteren Faktor abzusichern.

    Microsoft kommt dieser Anforderung bereits in der Basisversion von Azure AD über die so genannten Sicherheits­standards nach. Per Vorgabe müssen alle User MFA nutzen. Allerdings beschränkt sich diese Variante auf die Nutzung der Authenticator App.

    Eine differenzierte Konfiguration von MFA ist über MFA pro Benutzer sowie in Kombination mit Conditional Access vorgesehen. Letzteres erfordert jedoch eine Premium-P2-Lizenz von Azure AD.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Thomas Drilling

    Thomas Drilling arbeitet ist seit fast 30 Jahren selb­ständig in der IT-Welt sowohl als Consultant, als auch als Redakteur, Buchautor und Journalist für viele ehe­malige und aktuelle IT-Magazine sowie Blogs.

    Aktuell bestätigt sich Thomas schwerpunktmäßig als IT-Trainer für Cloud-Computing in den Bereichen Microsoft Azure, Amazon Web Services und VMware.

    Thomas ist zertifizierter Microsoft-Trainer für nahe das gesamte Portfolio an Microsoft Azure Trainings. Thomas ist außerdem zerti­fi­zierter Microsoft Azure Solutions Architect Expert sowie VMware Certified Professional und wurde von VMware in den Jahren 2016 bis 2022 mit dem Blogger-Status vExpert ausge­zeichnet.

    Thomas führt aktuell jeden Monat zwei selbstkonziperte 4-tägigen Grund­lagenkurse in Cloud Computing mit Azure durch, die sich inhaltlich bewusst von den Microsft-Kursen abheben und vorzuweise als Bootcamp in eine besonderen Lokation stattfinden. Optional kann aber aber auch remote via Microsoft Teams teilgenommen werden.

    Das aktuelle Trainingsprogramm findet sich unter Azure-Trainings. Weitere Infor­mationen und Anmel­dung über sein Azure-Blog.

    Verwandte Beiträge

    Weitere Links

    2 Kommentare

    Moin,
    ist das in Deutschland überhaupt mit der DSGVO zulässig, wenn der Mitarbeiter kein Firmenhandy hat?

    Hallo Thomas. Du schreibst das man für MFA mit Conditional Access eine Azure AD P2 Lizenz benötigt. Conditional Access ist doch grundsätzlich schon in der P1 enthalten, in der P2 kommt nur Risk-Based Conditional Access hinzu. Oder verstehe ich da grad etwas falsch?