Einführung Office 365 cloud-only, Migration der Postfächer & Gerätemanagement
Multi-Faktor Authentifizierung – Schutz der Daten in Microsoft Office 365 mit wenig Aufwand erhöhen
Die Multi-Faktor Authentifizierung als Teil von Microsoft Office 365 bzw. Azure Active Directory, ist ein fundamentaler Schutzfaktor für Unternehmensdaten. Als Office 365 Administrator kann die Multi-Faktor Authentifizierung mit wenigen Klicks bzw. per PowerShell für einzelne oder alle Anwender aktiviert werden.
Nehmen wir an, dass wichtige Geschäftsdaten in Anwendung abgelegt sind und dass die Anwendung keine Sicherheitslücken hat und technisch bestmöglich abgesichert ist. In diesem Fall ist Zugriff auf die Daten nur durch die Identität möglich, mit der auf die Anwendung zugegriffen wird. Die Authentifizierung erfolgt üblicherweise mittels Benutzername und Passwort. Wer Benutzername und Passwort kennt, hat damit Zugriff auf die Unternehmensdaten. Warum durch Firewalls, Netzwerkzonen und Systemschwachstellen hacken, wenn Identitäten (Benutzernamen und Passwörter) durch Social Engineering / Social Hacking (z.B. Phishing), Brute Force Attacken, Keyloggern und Co herauszubekommen sind?
Es ist also im Interesse einer IT-Security-Strategie, Identitäten bestmöglich zu schützen. Ein sehr bewährter Ansatz um den Schutz von Identitäten deutlich zu erhöhen sind sogenannte Zwei-Faktor bzw. Multi-Faktor Authentifizierungen (MFA), welche uns zum Beispiel aus dem Onlinebanking schon lange vertraut sind.
In diesem Beitrag zeige ich, wie der Zugriff auf Unternehmensdaten in Office 365 durch die integrierte Multi-Faktor Authentifizierung sicherer gemacht werden kann.
Aktivierung der Multi Faktor Authentifizierung in Office 365 bzw. im Azure Active Directory Mandant
Im Prinzip ist die Multi-Faktor Authentifizierung ein Self-Service, allerdings ist dieser standardmäßig deaktiviert und muss für die Anwender erst aktiviert werden. Startpunkt ist die Benutzerverwaltung im Office 365 Mandant:
Die eigentliche Konfiguration der Multi-Faktor Authentifizierung erfolgt über den Office 365 Mandant im dazugehörigen Azure Active Directory. Dort kann die Multi-Faktor Authentifizierung für einzelne oder mehrere Benutzer aktiviert werden:
Das war’s schon. Der Status Aktiviert bedeutet, dass die MFA aktiviert wurde, aber noch nicht durch den Anwender konfiguriert wurde. Nach Abschluss der Konfiguration durch den Anwender wechselt der Status in Erzwungen.
Natürlich können diese Einstellungen auch mittels PowerShell gesetzt werden. In Azure Active Directory gibt es noch erweiterte Multi-Faktor Diensteinstellungen, welche bei Bedarf konfiguriert werden können:
Im Azure Active Directory Portal können noch weitere Einstellungen vorgenommen werden. Sehr sinnvoll ist unter anderem die Konfigurationsmöglichkeit für vertrauenswürde IP Adressen – oft IP Whitelist genannt. Damit können IP Adressbereiche definiert werden. Erfolgt eine Anmeldung an Office 365 von einer vertrauenswürdigen IP, so ist keine Multi-Faktor Authentifizierung nötig. Hier kann – nach Abwägung der Vor- und Nachteile – zum Beispiel die Outbound IP Adresse eines Unternehmens eingetragen werden. Vorher sollte sichergestellt sein, dass Angriffspotentiale wie Social Hacking, Brute Force Attacken oder Keylogger anderweitig im Unternehmensnetzwerk unterbunden sind.
Wie sieht die Multi-Faktor Authentifizierung aus Sicht des Anwenders aus?
Erstmalige Einrichtung der Multi-Faktor Authentifizierung
Nachdem die Multi-Faktor Authentifizierung für einen Account aktiviert wurde, muss der Anwender diese für sich einmalig einrichten. Nach aktivierter MFA ist der erste Schritt bei der Authentifizierung die sogenannte Identifizierung. Der Anwender muss sich identifizieren, damit anhand der definierten Einstellungen die Authentifizierung mittels zweitem Faktor durchgeführt werden kann.
Für die Registrierung des zweiten Faktors gibt es verschiedene Möglichkeiten. Ich persönlich bevorzuge die Authentifizierung mittels der Mobile App und zeige die Funktionsweise hier. Alternativ kann ein 6-stelliger One-Time PIN auf ein Handy geschickt werden, bzw. ein automatisierter Telefonanruf ausgelöst werden, welcher dann entgegenzunehmen und mit der Raute (#) zu bestätigen ist. Natürlich ist es möglich, jederzeit die bevorzugte Möglichkeit zur Zwei-Faktor Authentifizierung zu ändern bzw. weitere Mobile Devices zu registrieren.
Bei Nutzung der Mobile App zur Authentifizierung gibt es zwei Varianten:
- Bestätigen einer Benachrichtigung: Das ist die bequemste und schnellste Art der Multi-Faktor Authentifizierung. Nach der Identifikation erfolgt eine Benachrichtigung auf der Mobile App, welche zu bestätigen ist.
- Verwenden eines Prüfcodes: Bei diesem Verfahren muss – ähnlich wie bei klassischen hardwarebasierten Token-Lösungen – ein auf der Mobile App generierter, nach 30 Sekunden ablaufender OneTime PIN (OTP) als zweiter Authentifizierungsfaktor genutzt werden.
Beide Varianten setzen voraus, dass die Mobile App auf einem Smart Phone (Windows Phone, iOS oder Android) registriert wird. Dies geschieht wie folgt:
- Auswahl: Benachrichtigung oder Prüfcode
- Registrierung der Mobile App. Die Azure Authenticator App muss aus dem App Store auf das jeweilige Smart Phone geladen werden, danach kann die App bequem über das abfotografieren eines QR Codes, oder der Eingabe eines Codes, falls das Scannen des QR Codes nicht möglich ist, die Verbindung zum entsprechenden Benutzerprofil herstellen.
3. Nach Registrierung der Mobile App erfolgt eine zusätzliche Sicherheitsüberprüfung. Hier wird die Mobile App erstmalig zur Authentifizierung verwendet.
Die Sprache der Azure Authenticator App richtet sich automatisch nach der Sprache des Anmeldedialogs in Office 365. In dem Beispiel oben sieht man auch, dass die Azure Authenticator App mandantenfähig ist, d.h. die Mobile App kann zur Authentifizierung an verschiedenen Office 365 Mandanten bzw. Azure Active Directory basierten Anwendungen genutzt werden.
4. Sofern noch nicht geschehen ist eine zusätzliche Sicherheitsüberprüfung zu konfigurieren. Dies ist nötig, um bei Bedarf zum Beispiel einen Self Service Password Reset durchzuführen.
5. Vor Fertigstellung wird noch ein App-Kennwort angezeigt. Dies ist eine Art Fallback / Kompatibilitätsfeature, um klassische Anwendungen, welche keine Multi-Faktor Authentication unterstützen, weiterhin nutzen zu können. Bei Nutzung des App-Passworts erfolgt keine Multi-Faktor Authentifizierung, allerdings erfolgt eine Authentifizierung mittels dem generierten, starken App-Kennworts.
Änderung der Multi-Faktor Authentifizierungseinstellungen
Natürlich kann der Anwender die Einstellungen der Multi-Faktor Authentifizierung auch nachträglich ändern. Dies ist nötig, wenn man z.B. ein anderes Smart Phone verwenden oder eine andere Telefonnummer für die SMS-basierte Authentifizierung verwenden möchte. Die MFA Einstellungen sind in den Office 365 Settings im Bereich Settings zu finden:
Nutzung des App-Kennworts
Das App-Kennwort wird benötigt für die Anwendungen, die eine Multi-Faktor Authentifizierung (noch) nicht unterstützen. Eine dieser Anwendungen ist Skype for Business in der Desktop Version. Versucht man sich dort mit seinem normalen Passwort anzumelden, erscheint diese Fehlermeldung:
App-Kennwörter können in den Office 365 Settings > Settings erstellt werden:
Mit dem App-Kennwort funktioniert der Login für Skype for Business.
Nutzung der Multi-Faktor Authentifizierung für den Zugriff auf Office 365 / Azure Active Diretory mittels PowerShell ist nicht möglich.
Fragen und Antworten
Für welche Identitätstypen ist die Azure Multi-Faktor Authentifizierung möglich?
Generell ist zu sagen, dass eine Multi-Faktor Authentifizierung nur von jeweiligen Authentifizierungs-, bzw. Identity Provider bereitgestellt werden kann.
Im Office 365 Umfeld wird zwischen drei Identitätstypen unterschieden:
- Cloud Identity: Identitätsprovider für diese Identities ist Azure Active Directory. Die Multi-Faktor Authentifizierung von Office 365 / Azure Active Directory kann für diese Identitäten genutzt werden
- Federated Identity: Diese Identitäten authentifizieren gegen einen anderen Identity Provider, z.B. gegen den unternehmenseigenen ADFS Service. Die Office 365 / Azure Active Directoy Multi-Faktor Authentifizierung kann nicht verwendet werden. Allerdings kann auch ein ADFS Server eine Multi-Faktor Authentifizierung durchführen, sofern er entsprechend konfiguriert wurde. Um die Azure Active Directory Multi-Faktor Authentifizierung für einen ADFS Service zu verwenden muss allerdings ein sogenannter Multi-Faktor Authentifizierungsserver installiert werden.
- Synchronized Identity: Diese Identitäten nutzen ein Same Sign-On, d.h. der Anwender authentifiziert mit seinem Unternehmenspasswort gegen Azure Active Directory. In diesem Fall kann die Office 365 / Azure Active Directoy Multi-Faktor Authentifizierung verwendet werden.
Ist die Mobile App mandantenfähig?
Ja, die Mobile App ist mandantenfähig, d.h. die Azure Authenticator App kann für die Authentifizierung an verschiedenen Office 365 Mandanten genutzt werden.
Wozu braucht man das App-Kennwort?
Das App-Kennwort (App-Password) wird benötigt, da derzeit nicht alle Anwendungen eine Multi-Faktor Authentifizierung unterstützen. Das App-Kennwort wird generiert und ist in den meisten Fällen deutlich stärker als ein Kennwort, welches sich der Anwender ausdenkt.
Wie kann ich die Multi-Faktor Einstellungen ändern?
Die Einstellungen, wie z.B. die bevorzuge Authentifizierungsmethode, sind in den Office 365 Settings änderbar.
Mit Multi-Faktor Authentifizierung – Ist jetzt alles sicher?
Nein! Die Multi-Faktor Authentifizierung verhindert lediglich, dass sich Jemand mit Login und Passwort an einer Anwendung anmelden kann.
Die MFA schützt zum Beispiel nicht davor, dass ein authentifizierter und autorisierter Anwender Daten aus der Anwendung herausnimmt und an Dritte weitergibt. Hierfür sind Lösungen wie Information Rights Management in SharePoint bzw. Azure Rights Management zu empfehlen.
Ebenso schützt die MFA nicht, wenn ein Anwender aus dem Unternehmen ausscheidet und die Identität nicht deaktiviert wird. Auch eine Multi-Faktor Authentifizierung benötigt ein Identity Lifecycle Management.
Fazit & Empfehlung
Die Multi-Faktor Authentifizierung als Teil von Office 365 bzw. Azure Active Directory, ist ein fundamentaler Schutzfaktor für Unternehmensdaten. Als Office 365 Administrator kann die Multi-Faktor Authentifizierung mit wenigen Klicks bzw. per PowerShell für einzelne oder alle Anwender aktiviert werden. Die einmalige Registrierung des zweiten Authentifizierungsfaktors durch den Anwender ist in wenigen Minuten abgeschlossen und selbsterklärend. Zusätzlich wird aber auch eine umfangreiche Hilfe und Videos von Microsoft in den Dialogen angeboten.
Ich selber schütze meine Office 365 Identität und damit den Zugriff auf die Unternehmensdaten durch die Multi-Faktor Authentifizierung und habe mich schnell an das Bestätigen der Authentifizierungsanforderung via Mobile App gewöhnt. Die Multi-Faktor Authentifizierung funktioniert einwandfrei in den Anwendungen Office, OneDrive, Skype, OneNote, etc. sowohl auf Desktop und Smart Phones (intensiv getestet mit iOS und Windows Phone). Der Zeitverlust pro Authentifizierung beträgt weniger als 10 Sekunden – das ist mir der Schutz meiner Identität wert. Allerdings sollte man nicht sein Smart Phone zu Hause liegen lassen J
Einziger Kritikpunkt ist, dass aktuell zwar die meisten, aber nicht alle Microsoft Anwendungen die Microsoft Multi-Faktor Authentifizierung unterstützen. Outlook 2016 und Skype for Business benötigen derzeit das App Passwort. Das sorgt bei der Einrichtung gerne etwas für Verwirrung.
