Multifaktor-Authentifizierung (MFA) für Azure und Office 365 konfigurieren

Wenn Sie hingegen ein zweites Authen­tifizierungs­verfahren erzwingen, erhöht das die Sicherheit erheblich, weil ein Angreifer dieses nicht duplizieren kann.

Bei MFA müssen Sie zwei der folgenden Authentifizierungs­verfahren zwingend verwenden:

• Eine Ihnen bekannte Information (meist Passwort).
• Ein in Ihrem Besitz befindliches Objekt, wie beispielsweise ein ver­trauens­­­würdiges Gerät, das nicht ohne weiteres kopiert werden kann (Smartphone oder Hardwareschlüssel).
• Ein biometrisches Merkmal (Fingerabdruck- oder Gesichtsscan).

MFA für jeden User vorgegeben

In den Voreinstellungen von Azure AD ist bei den so genannten Sicherheits­standards für jeden Cloud-Benutzer MFA obligatorisch.

Sie können diese Sicherheits­einstellungen überprüfen, wenn Sie im Hauptmenü von Azure AD auf Eigenschaften klicken. Dort folgen Sie dem etwas unschein­baren Link Sicherheitsstands verwalten. Hier können Sie sehen, dass der Schalter Sicherheits­standards aktiveren standardmäßig auf Ja steht.

Diese umfasst auch MFA für Cloud-Benutzer, weshalb die Funktion auch in der Lizenz Azure AD Free enthalten ist. Die kostenlosen Sicherheits­standards unterstützen jedoch MFA nur unter Verwendung der Microsoft Authenticator-App mit Benachrichtigungen.

Jeder neue Benutzer im Azure AD muss mithin MFA verwenden. Dazu gehört, dass er nach der Account-Erstellung seine bevorzugten Sicherheits­methoden implementieren muss. Er hat dafür lediglich 14 Tage Zeit.

Klickt der Benutzer in diesem Dialog hingegen auf Weiter, dann muss er mit Hilfe der App Microsoft Authenticator einen zweiten Faktor konfigurieren.

Diese App findet sich in Google Play bzw. im Apple App Store. Ist sie installiert, fügen Sie in der App ein neues Konto hinzu und scannen dann den QR-Code der Ihnen angezeigt wird, wenn Sie im Anmeldedialog von Azure AD nochmals auf Weiter klicken.

Weitergehende MFA-Einstellungen

Wenn Sie im Azure-Portal unter Azure Active Directoy zum Abschnitt Sicherheit =>  MFA navigieren, dann finden Sie dort alle MFA-relevanten Einstellungen.

Hier können Sie zum Beispiel unter Benachrichtigungen die Mail-Adresse eines ausgewählten Empfängers hinterlegen oder im Abschnitt Benutzer blockieren/entsperren gesperrte Benutzer sehen. Solche User erhalten keine MFA-Anforderungen und ihre Anmeldeversuche werden automatisch abgelehnt.

Die Sperre verbleibt für 90 Tage, wenn Sie den Benutzer nicht manuell freischalten. Bei Betrugswarnung können Sie Benutzern ermöglichen, vermutete Betrugsversuche selbst zu melden, wenn diese eine nicht von ihnen veranlasste Anforderung zur Überprüfung erhalten.

Unter Kontosperrung können Sie Konten im MFA-Dienst temporär sperren, wenn zu viele aufeinander­folgende Authentifizierungs­versuche abgelehnt wurden. Allerdings kommt das Verfahren nur bei Nutzern zum Tragen, die sich mit einer PIN anmelden.

MFA pro Benutzer konfigurieren

Klicken Sie dagegen jedoch unter Multi-Factor Authentication => Erste Schritte auf den Link Zusätzliche cloudbasierte MFA-Einstellungen, dann leitet Sie Microsoft zu den Einstellungen für das Aktivieren von MFA pro Benutzer weiter.

Hier müssen Sie sich zunächst authentifizieren und werden dann zu den MFA-Einstellungen umgeleitet. Wie Sie schon an windowsazure in der URL erkennen, handelt es sich hierbei um ein ziemlich angestaubtes Portal aus dem Office-365-Kontext.

Die Einstellungen hier sind weitgehend selbsterklärend. Die verfügbaren Methoden sind Textnachricht an Telefon, Benachrichtigung über mobile App und Prüfcode aus mobiler App oder Hardwaretoken. Außerdem können Sie hier vertrauenswürdige IPs festlegen und Benutzern das Speichern der MFA auf vertrauens­würdigen Geräten ermöglichen.

Das eigentliche Aktivieren von MFA pro Benutzer erfolgt im Benutzer-Menü vom Azure AD (oder im O365 Admin Center). Hier müssen Sie rechts oben auf die Schaltfläche MFA pro Benutzer klicken und werden dann weitergeleitet. Markieren Sie hier im Tab Benutzer das gewünschte Konto und klicken dann rechts unten auf Benutzer­einstellungen verwalten.

Hier lassen sich bei Bedarf weitere Einstellungen konfigurieren, zum Beispiel Bereitstellen der Kontaktmethoden bei ausgewählten Benutzern erneut anfordern.

Aktivieren können Sie die Funktion schließlich, wenn Sie bei markiertem Benutzer auf rechts unten auf den Link Aktivieren klicken.

MFA mit Conditional Access

MFA im Kontext von Bedingter Zugriff ist die von Microsoft empfohlene Option, um MFA zu nutzen. Diese erfordert allerdings eine Premium-P2-Lizenz von Azure AD.

Für die Option MFA in Kombination mit dem bedingten Zugriff müssen Sie zunächst im Menü Eigenschaften des Azure AD wieder auf den Link Sicherheits­standards verwalten klicken, um diese Einstellung zu deaktivieren.

Ziehen Sie hierzu den Schieber auf Nein, setzen Sie das Häkcken bei Meine Organisation verwendet den bedingten Zugriff und klicken dann auf Speichern. Nun können Sie im Azure AD unter Sicherheit => Bedingter Zugriff verschiedene Richtlinien für das Erzwingen von MFA unter bestimmten Bedingungen festlegen.

Beispiele für solche Richtlinien wären etwa riskanter Benutzer, riskante Anmeldung, ungewöhnliche IP oder ungewöhnlicher Standort. Alternativ kann man MFA nur für ausgewählte Cloud-Apps wie das Azure Portal erzwingen.

Fazit

Beim Cloud-Computing lässt sich nicht mehr so einfach kontrollieren, ob Anmeldeversuche von bestimmter IPs oder Clients legitim sind oder einen Angriffsversuch darstellen. Umso wichtiger ist es, die Authentifizierung über einen weiteren Faktor abzusichern.

Microsoft kommt dieser Anforderung bereits in der Basisversion von Azure AD über die so genannten Sicherheits­standards nach. Per Vorgabe müssen alle User MFA nutzen. Allerdings beschränkt sich diese Variante auf die Nutzung der Authenticator App.

Eine differenzierte Konfiguration von MFA ist über MFA pro Benutzer sowie in Kombination mit Conditional Access vorgesehen. Letzteres erfordert jedoch eine Premium-P2-Lizenz von Azure AD.