Tags: Authentifizierung, Azure, Active Directory
Verwenden Nutzer zur Authentifizierung bei Azure oder Office 365 lediglich ein Passwort, dann stellt das in der Public-Cloud einen gefährlichen Angriffsvektor dar. Microsoft sieht daher für Azure AD eine sichere Anmeldung über mehrere Verfahren vor. Die simple und kostenlose MFA beschränkt sich auf die Authenticator App.
Cyberkriminelle schaffen es immer wieder, an die Anmeldeinformationen von Windows-Administratoren oder Unix-Root-Accounts zu gelangen, um sich dann seitlich (Lateral Movement) über Systeme und Geräte hinweg zu bewegen.
Wenn Sie hingegen ein zweites Authentifizierungsverfahren erzwingen, erhöht das die Sicherheit erheblich, weil ein Angreifer dieses nicht duplizieren kann.
Bei MFA müssen Sie zwei der folgenden Authentifizierungsverfahren zwingend verwenden:
- Eine Ihnen bekannte Information (meist Passwort).
- Ein in Ihrem Besitz befindliches Objekt, wie beispielsweise ein vertrauenswürdiges Gerät, das nicht ohne weiteres kopiert werden kann (Smartphone oder Hardwareschlüssel).
- Ein biometrisches Merkmal (Fingerabdruck- oder Gesichtsscan).
MFA für jeden User vorgegeben
In den Voreinstellungen von Azure AD ist bei den so genannten Sicherheitsstandards für jeden Cloud-Benutzer MFA obligatorisch.
Sie können diese Sicherheitseinstellungen überprüfen, wenn Sie im Hauptmenü von Azure AD auf Eigenschaften klicken. Dort folgen Sie dem etwas unscheinbaren Link Sicherheitsstands verwalten. Hier können Sie sehen, dass der Schalter Sicherheitsstandards aktiveren standardmäßig auf Ja steht.
Diese umfasst auch MFA für Cloud-Benutzer, weshalb die Funktion auch in der Lizenz Azure AD Free enthalten ist. Die kostenlosen Sicherheitsstandards unterstützen jedoch MFA nur unter Verwendung der Microsoft Authenticator-App mit Benachrichtigungen.
Jeder neue Benutzer im Azure AD muss mithin MFA verwenden. Dazu gehört, dass er nach der Account-Erstellung seine bevorzugten Sicherheitsmethoden implementieren muss. Er hat dafür lediglich 14 Tage Zeit.
Klickt der Benutzer in diesem Dialog hingegen auf Weiter, dann muss er mit Hilfe der App Microsoft Authenticator einen zweiten Faktor konfigurieren.
Diese App findet sich in Google Play bzw. im Apple App Store. Ist sie installiert, fügen Sie in der App ein neues Konto hinzu und scannen dann den QR-Code der Ihnen angezeigt wird, wenn Sie im Anmeldedialog von Azure AD nochmals auf Weiter klicken.
Weitergehende MFA-Einstellungen
Wenn Sie im Azure-Portal unter Azure Active Directoy zum Abschnitt Sicherheit => MFA navigieren, dann finden Sie dort alle MFA-relevanten Einstellungen.
Hier können Sie zum Beispiel unter Benachrichtigungen die Mail-Adresse eines ausgewählten Empfängers hinterlegen oder im Abschnitt Benutzer blockieren/entsperren gesperrte Benutzer sehen. Solche User erhalten keine MFA-Anforderungen und ihre Anmeldeversuche werden automatisch abgelehnt.
Die Sperre verbleibt für 90 Tage, wenn Sie den Benutzer nicht manuell freischalten. Bei Betrugswarnung können Sie Benutzern ermöglichen, vermutete Betrugsversuche selbst zu melden, wenn diese eine nicht von ihnen veranlasste Anforderung zur Überprüfung erhalten.
Unter Kontosperrung können Sie Konten im MFA-Dienst temporär sperren, wenn zu viele aufeinanderfolgende Authentifizierungsversuche abgelehnt wurden. Allerdings kommt das Verfahren nur bei Nutzern zum Tragen, die sich mit einer PIN anmelden.
MFA pro Benutzer konfigurieren
Klicken Sie dagegen jedoch unter Multi-Factor Authentication => Erste Schritte auf den Link Zusätzliche cloudbasierte MFA-Einstellungen, dann leitet Sie Microsoft zu den Einstellungen für das Aktivieren von MFA pro Benutzer weiter.
Hier müssen Sie sich zunächst authentifizieren und werden dann zu den MFA-Einstellungen umgeleitet. Wie Sie schon an windowsazure in der URL erkennen, handelt es sich hierbei um ein ziemlich angestaubtes Portal aus dem Office-365-Kontext.
Die Einstellungen hier sind weitgehend selbsterklärend. Die verfügbaren Methoden sind Textnachricht an Telefon, Benachrichtigung über mobile App und Prüfcode aus mobiler App oder Hardwaretoken. Außerdem können Sie hier vertrauenswürdige IPs festlegen und Benutzern das Speichern der MFA auf vertrauenswürdigen Geräten ermöglichen.
Das eigentliche Aktivieren von MFA pro Benutzer erfolgt im Benutzer-Menü vom Azure AD (oder im O365 Admin Center). Hier müssen Sie rechts oben auf die Schaltfläche MFA pro Benutzer klicken und werden dann weitergeleitet. Markieren Sie hier im Tab Benutzer das gewünschte Konto und klicken dann rechts unten auf Benutzereinstellungen verwalten.
Hier lassen sich bei Bedarf weitere Einstellungen konfigurieren, zum Beispiel Bereitstellen der Kontaktmethoden bei ausgewählten Benutzern erneut anfordern.
Aktivieren können Sie die Funktion schließlich, wenn Sie bei markiertem Benutzer auf rechts unten auf den Link Aktivieren klicken.
MFA mit Conditional Access
MFA im Kontext von Bedingter Zugriff ist die von Microsoft empfohlene Option, um MFA zu nutzen. Diese erfordert allerdings eine Premium-P2-Lizenz von Azure AD.
Für die Option MFA in Kombination mit dem bedingten Zugriff müssen Sie zunächst im Menü Eigenschaften des Azure AD wieder auf den Link Sicherheitsstandards verwalten klicken, um diese Einstellung zu deaktivieren.
Ziehen Sie hierzu den Schieber auf Nein, setzen Sie das Häkcken bei Meine Organisation verwendet den bedingten Zugriff und klicken dann auf Speichern. Nun können Sie im Azure AD unter Sicherheit => Bedingter Zugriff verschiedene Richtlinien für das Erzwingen von MFA unter bestimmten Bedingungen festlegen.
Beispiele für solche Richtlinien wären etwa riskanter Benutzer, riskante Anmeldung, ungewöhnliche IP oder ungewöhnlicher Standort. Alternativ kann man MFA nur für ausgewählte Cloud-Apps wie das Azure Portal erzwingen.
Fazit
Beim Cloud-Computing lässt sich nicht mehr so einfach kontrollieren, ob Anmeldeversuche von bestimmter IPs oder Clients legitim sind oder einen Angriffsversuch darstellen. Umso wichtiger ist es, die Authentifizierung über einen weiteren Faktor abzusichern.
Microsoft kommt dieser Anforderung bereits in der Basisversion von Azure AD über die so genannten Sicherheitsstandards nach. Per Vorgabe müssen alle User MFA nutzen. Allerdings beschränkt sich diese Variante auf die Nutzung der Authenticator App.
Eine differenzierte Konfiguration von MFA ist über MFA pro Benutzer sowie in Kombination mit Conditional Access vorgesehen. Letzteres erfordert jedoch eine Premium-P2-Lizenz von Azure AD.
Täglich Know-how für IT-Pros mit unserem Newsletter
Seine Themenschwerpunkte sind Virtualisierung und Cloud Computing, speziell VMware, Amazon Web Services, Google Cloud und Microsoft Azure. Thomas ist zertifizierter VMware Professional, Advanced Professional und wurde von VMware in den Jahren 2016, 2017, 2018, 2019 und 2020 mit dem Blogger-Status vExpert ausgezeichnet.
Thomas ist außerdem zertifizierter AWS Solutions Architect, Sysops Engineer und Devops Engineer sowie Microsoft Certified Azure Administrator.
Thomas führt aktuell jeden zweiten Montag einen 4-tägigen Grundlagenkurs in Cloud Computing mit AWS via Zoom-Meeting durch. Weitere Informationen und Anmeldung über sein AWS-Blog.
Ähnliche Beiträge
- Microsoft Authenticator: Push-Nachrichten für MFA absichern
- Microsoft ergänzt zertifikatbasierte Authentifizierung am Azure AD um Support für Smartcards
- MFA, FIDO2, Authenticator App, Hello for Business: Methoden zur Authentifizierung am (hybriden) Azure Active Directory
- Privilegierte Konten mit Azure PIM schützen
- Mit der Authenticator App an M365 oder Azure AD ohne Kennwort anmelden
Weitere Links
2 Kommentare
Moin,
ist das in Deutschland überhaupt mit der DSGVO zulässig, wenn der Mitarbeiter kein Firmenhandy hat?
Hallo Thomas. Du schreibst das man für MFA mit Conditional Access eine Azure AD P2 Lizenz benötigt. Conditional Access ist doch grundsätzlich schon in der P1 enthalten, in der P2 kommt nur Risk-Based Conditional Access hinzu. Oder verstehe ich da grad etwas falsch?