Currently set to Index
Currently set to Follow

Multi-Faktor Authen­ti­fi­zie­rung — Schutz der Daten in Micro­soft Office 365 erhöhen

|

Multi-Faktor Authen­ti­fi­zie­rung — Schutz der Daten in Micro­soft Office 365 mit wenig Aufwand erhöhen

Die Multi-Faktor Authen­ti­fi­zie­rung als Teil von Micro­soft Office 365 bzw. Azure Active Direc­tory, ist ein funda­men­taler Schutz­faktor für Unter­neh­mens­daten. Als Office 365 Adminis­trator kann die Multi-Faktor Authen­ti­fi­zie­rung mit wenigen Klicks bzw. per PowerS­hell für einzelne oder alle Anwender aktiviert werden.

Nehmen wir an, dass wichtige Geschäfts­daten in Anwen­dung abgelegt sind und dass die Anwen­dung keine Sicher­heits­lü­cken hat und technisch bestmög­lich abgesi­chert ist. In diesem Fall ist Zugriff auf die Daten nur durch die Identität möglich, mit der auf die Anwen­dung zugegriffen wird. Die Authen­ti­fi­zie­rung erfolgt üblicher­weise mittels Benut­zer­name und Passwort. Wer Benut­zer­name und Passwort kennt, hat damit Zugriff auf die Unter­neh­mens­daten. Warum durch Firewalls, Netzwerk­zonen und System­schwach­stellen hacken, wenn Identi­täten (Benut­zer­namen und Passwörter) durch Social Enginee­ring / Social Hacking (z.B. Phishing), Brute Force Attacken, Keylog­gern und Co heraus­zu­be­kommen sind?

Es ist also im Inter­esse einer IT-Security-Strategie, Identi­täten bestmög­lich zu schützen. Ein sehr bewährter Ansatz um den Schutz von Identi­täten deutlich zu erhöhen sind sogenannte Zwei-Faktor bzw. Multi-Faktor Authen­ti­fi­zie­rungen (MFA), welche uns zum Beispiel aus dem Online­ban­king schon lange vertraut sind.

In diesem Beitrag zeige ich, wie der Zugriff auf Unter­neh­mens­daten in Office 365 durch die integrierte Multi-Faktor Authen­ti­fi­zie­rung sicherer gemacht werden kann.

Aktivie­rung der Multi Faktor Authen­ti­fi­zie­rung in Office 365 bzw. im Azure Active Direc­tory Mandant

Im Prinzip ist die Multi-Faktor Authen­ti­fi­zie­rung ein Self-Service, aller­dings ist dieser standard­mäßig deakti­viert und muss für die Anwender erst aktiviert werden. Start­punkt ist die Benut­zer­ver­wal­tung im Office 365 Mandant:

Die eigent­liche Konfi­gu­ra­tion der Multi-Faktor Authen­ti­fi­zie­rung erfolgt über den Office 365 Mandant im dazuge­hö­rigen Azure Active Direc­tory. Dort kann die Multi-Faktor Authen­ti­fi­zie­rung für einzelne oder mehrere Benutzer aktiviert werden:

Das war’s schon. Der Status Aktiviert bedeutet, dass die MFA aktiviert wurde, aber noch nicht durch den Anwender konfi­gu­riert wurde. Nach Abschluss der Konfi­gu­ra­tion durch den Anwender wechselt der Status in Erzwungen.

Natür­lich können diese Einstel­lungen auch mittels PowerS­hell gesetzt werden. In Azure Active Direc­tory gibt es noch erwei­terte Multi-Faktor Dienstein­stel­lungen, welche bei Bedarf konfi­gu­riert werden können:

Im Azure Active Direc­tory Portal können noch weitere Einstel­lungen vorge­nommen werden. Sehr sinnvoll ist unter anderem die Konfi­gu­ra­ti­ons­mög­lich­keit für vertrau­ens­würde IP Adressen – oft IP White­list genannt. Damit können IP Adress­be­reiche definiert werden. Erfolgt eine Anmel­dung an Office 365 von einer vertrau­ens­wür­digen IP, so ist keine Multi-Faktor Authen­ti­fi­zie­rung nötig. Hier kann — nach Abwägung der Vor- und Nachteile — zum Beispiel die Outbound IP Adresse eines Unter­neh­mens einge­tragen werden. Vorher sollte sicher­ge­stellt sein, dass Angriffs­po­ten­tiale wie Social Hacking, Brute Force Attacken oder Keylogger ander­weitig im Unter­neh­mens­netz­werk unter­bunden sind.

Wie sieht die Multi-Faktor Authen­ti­fi­zie­rung aus Sicht des Anwen­ders aus?

Erstma­lige Einrich­tung der Multi-Faktor Authen­ti­fi­zie­rung

Nachdem die Multi-Faktor Authen­ti­fi­zie­rung für einen Account aktiviert wurde, muss der Anwender diese für sich einmalig einrichten. Nach aktivierter MFA ist der erste Schritt bei der Authen­ti­fi­zie­rung die sogenannte Identi­fi­zie­rung. Der Anwender muss sich identi­fi­zieren, damit anhand der definierten Einstel­lungen die Authen­ti­fi­zie­rung mittels zweitem Faktor durch­ge­führt werden kann.

Für die Regis­trie­rung des zweiten Faktors gibt es verschie­dene Möglich­keiten. Ich persön­lich bevor­zuge die Authen­ti­fi­zie­rung mittels der Mobile App und zeige die Funkti­ons­weise hier. Alter­nativ kann ein 6‑stelliger One-Time PIN auf ein Handy geschickt werden, bzw. ein automa­ti­sierter Telefon­anruf ausge­löst werden, welcher dann entge­gen­zu­nehmen und mit der Raute (#) zu bestä­tigen ist. Natür­lich ist es möglich, jeder­zeit die bevor­zugte Möglich­keit zur Zwei-Faktor Authen­ti­fi­zie­rung zu ändern bzw. weitere Mobile Devices zu regis­trieren.
Bei Nutzung der Mobile App zur Authen­ti­fi­zie­rung gibt es zwei Varianten:

  • Bestä­tigen einer Benach­rich­ti­gung: Das ist die bequemste und schnellste Art der Multi-Faktor Authen­ti­fi­zie­rung. Nach der Identi­fi­ka­tion erfolgt eine Benach­rich­ti­gung auf der Mobile App, welche zu bestä­tigen ist.
  • Verwenden eines Prüfcodes: Bei diesem Verfahren muss – ähnlich wie bei klassi­schen hardware­ba­sierten Token-Lösungen – ein auf der Mobile App generierter, nach 30 Sekunden ablau­fender OneTime PIN (OTP) als zweiter Authen­ti­fi­zie­rungs­faktor genutzt werden.

Beide Varianten setzen voraus, dass die Mobile App auf einem Smart Phone (Windows Phone, iOS oder Android) regis­triert wird. Dies geschieht wie folgt:

  1. Auswahl: Benach­rich­ti­gung oder Prüfcode

 

  1. Regis­trie­rung der Mobile App. Die Azure Authen­ti­cator App muss aus dem App Store auf das jewei­lige Smart Phone geladen werden, danach kann die App bequem über das abfoto­gra­fieren eines QR Codes, oder der Eingabe eines Codes, falls das Scannen des QR Codes nicht möglich ist, die Verbin­dung zum entspre­chenden Benut­zer­profil herstellen.

    3.       Nach Regis­trie­rung der Mobile App erfolgt eine zusätz­liche Sicher­heits­über­prü­fung. Hier wird die Mobile App erstmalig zur Authen­ti­fi­zie­rung verwendet.

 

Die Sprache der Azure Authen­ti­cator App richtet sich automa­tisch nach der Sprache des Anmel­de­dia­logs in Office 365. In dem Beispiel oben sieht man auch, dass die Azure Authen­ti­cator App mandan­ten­fähig ist, d.h. die Mobile App kann zur Authen­ti­fi­zie­rung an verschie­denen Office 365 Mandanten bzw. Azure Active Direc­tory basierten Anwen­dungen genutzt werden.

4.       Sofern noch nicht geschehen ist eine zusätz­liche Sicher­heits­über­prü­fung zu konfi­gu­rieren. Dies ist nötig, um bei Bedarf zum Beispiel einen Self Service Password Reset durch­zu­führen.

5.       Vor Fertig­stel­lung wird noch ein App-Kennwort angezeigt. Dies ist eine Art Fallback / Kompa­ti­bi­li­täts­fea­ture, um klassi­sche Anwen­dungen, welche keine Multi-Faktor Authen­ti­ca­tion unter­stützen, weiterhin nutzen zu können. Bei Nutzung des App-Passworts erfolgt keine Multi-Faktor Authen­ti­fi­zie­rung, aller­dings erfolgt eine Authen­ti­fi­zie­rung mittels dem generierten, starken App-Kennworts.

Änderung der Multi-Faktor Authen­ti­fi­zie­rungs­ein­stel­lungen

Natür­lich kann der Anwender die Einstel­lungen der Multi-Faktor Authen­ti­fi­zie­rung auch nachträg­lich ändern. Dies ist nötig, wenn man z.B. ein anderes Smart Phone verwenden oder eine andere Telefon­nummer für die SMS-basierte Authen­ti­fi­zie­rung verwenden möchte. Die MFA Einstel­lungen sind in den Office 365 Settings im Bereich Settings zu finden:

Nutzung des App-Kennworts

Das App-Kennwort wird benötigt für die Anwen­dungen, die eine Multi-Faktor Authen­ti­fi­zie­rung (noch) nicht unter­stützen. Eine dieser Anwen­dungen ist Skype for Business in der Desktop Version. Versucht man sich dort mit seinem normalen Passwort anzumelden, erscheint diese Fehler­mel­dung:

App-Kennwörter können in den Office 365 Settings > Settings erstellt werden:

Mit dem App-Kennwort funktio­niert der Login für Skype for Business.
Nutzung der Multi-Faktor Authen­ti­fi­zie­rung für den Zugriff auf Office 365 / Azure Active Diretory mittels PowerS­hell ist nicht möglich.

Fragen und Antworten

Für welche Identi­täts­typen ist die Azure Multi-Faktor Authen­ti­fi­zie­rung möglich?

Generell ist zu sagen, dass eine Multi-Faktor Authen­ti­fi­zie­rung nur von jewei­ligen Authentifizierungs‑, bzw. Identity Provider bereit­ge­stellt werden kann.
Im Office 365 Umfeld wird zwischen drei Identi­täts­typen unter­schieden:

  • Cloud Identity: Identi­täts­pro­vider für diese Identi­ties ist Azure Active Direc­tory. Die Multi-Faktor Authen­ti­fi­zie­rung von Office 365 / Azure Active Direc­tory kann für diese Identi­täten genutzt werden
  • Feder­ated Identity: Diese Identi­täten authen­ti­fi­zieren gegen einen anderen Identity Provider, z.B. gegen den unter­neh­mens­ei­genen ADFS Service. Die Office 365 / Azure Active Directoy Multi-Faktor Authen­ti­fi­zie­rung kann nicht verwendet werden. Aller­dings kann auch ein ADFS Server eine Multi-Faktor Authen­ti­fi­zie­rung durch­führen, sofern er entspre­chend konfi­gu­riert wurde. Um die Azure Active Direc­tory Multi-Faktor Authen­ti­fi­zie­rung für einen ADFS Service zu verwenden muss aller­dings ein sogenannter Multi-Faktor Authen­ti­fi­zie­rungs­server instal­liert werden.
  • Synchro­nized Identity: Diese Identi­täten nutzen ein Same Sign-On, d.h. der Anwender authen­ti­fi­ziert mit seinem Unter­neh­menspass­wort gegen Azure Active Direc­tory. In diesem Fall kann die Office 365 / Azure Active Directoy Multi-Faktor Authen­ti­fi­zie­rung verwendet werden.

 

Ist die Mobile App mandan­ten­fähig?

Ja, die Mobile App ist mandan­ten­fähig, d.h. die Azure Authen­ti­cator App kann für die Authen­ti­fi­zie­rung an verschie­denen Office 365 Mandanten genutzt werden.

Wozu braucht man das App-Kennwort?

Das App-Kennwort (App-Password) wird benötigt, da derzeit nicht alle Anwen­dungen eine Multi-Faktor Authen­ti­fi­zie­rung unter­stützen. Das App-Kennwort wird generiert und ist in den meisten Fällen deutlich stärker als ein Kennwort, welches sich der Anwender ausdenkt.

Wie kann ich die Multi-Faktor Einstel­lungen ändern?

Die Einstel­lungen, wie z.B. die bevor­zuge Authen­ti­fi­zie­rungs­me­thode, sind in den Office 365 Settings änderbar.

Mit Multi-Faktor Authen­ti­fi­zie­rung — Ist jetzt alles sicher?

Nein! Die Multi-Faktor Authen­ti­fi­zie­rung verhin­dert ledig­lich, dass sich Jemand mit Login und Passwort an einer Anwen­dung anmelden kann.
Die MFA schützt zum Beispiel nicht davor, dass ein authen­ti­fi­zierter und autori­sierter Anwender Daten aus der Anwen­dung heraus­nimmt und an Dritte weiter­gibt. Hierfür sind Lösungen wie Infor­ma­tion Rights Manage­ment in Share­Point bzw. Azure Rights Manage­ment zu empfehlen.
Ebenso schützt die MFA nicht, wenn ein Anwender aus dem Unter­nehmen ausscheidet und die Identität nicht deakti­viert wird. Auch eine Multi-Faktor Authen­ti­fi­zie­rung benötigt ein Identity Lifecycle Manage­ment.

Fazit & Empfeh­lung

Die Multi-Faktor Authen­ti­fi­zie­rung als Teil von Office 365 bzw. Azure Active Direc­tory, ist ein funda­men­taler Schutz­faktor für Unter­neh­mens­daten. Als Office 365 Adminis­trator kann die Multi-Faktor Authen­ti­fi­zie­rung mit wenigen Klicks bzw. per PowerS­hell für einzelne oder alle Anwender aktiviert werden. Die einma­lige Regis­trie­rung des zweiten Authen­ti­fi­zie­rungs­fak­tors durch den Anwender ist in wenigen Minuten abgeschlossen und selbst­er­klä­rend. Zusätz­lich wird aber auch eine umfang­reiche Hilfe und Videos von Micro­soft in den Dialogen angeboten.
Ich selber schütze meine Office 365 Identität und damit den Zugriff auf die Unter­neh­mens­daten durch die Multi-Faktor Authen­ti­fi­zie­rung und habe mich schnell an das Bestä­tigen der Authen­ti­fi­zie­rungs­an­for­de­rung via Mobile App gewöhnt. Die Multi-Faktor Authen­ti­fi­zie­rung funktio­niert einwand­frei in den Anwen­dungen Office, OneDrive, Skype, OneNote, etc. sowohl auf Desktop und Smart Phones (intensiv getestet mit iOS und Windows Phone). Der Zeitver­lust pro Authen­ti­fi­zie­rung beträgt weniger als 10 Sekunden – das ist mir der Schutz meiner Identität wert. Aller­dings sollte man nicht sein Smart Phone zu Hause liegen lassen J
Einziger Kritik­punkt ist, dass aktuell zwar die meisten, aber nicht alle Micro­soft Anwen­dungen die Micro­soft Multi-Faktor Authen­ti­fi­zie­rung unter­stützen. Outlook 2016 und Skype for Business benötigen derzeit das App Passwort. Das sorgt bei der Einrich­tung gerne etwas für Verwir­rung.

Joachim von Seyde­witz

Solution Archi­tect



Kontakt

Ihr Anliegen. Unsere Experten. Erleben Sie netunite. Wir freuen uns auf Ihre Anfrage.
Gerne sind wir auch telefonisch unter 089/8906599-0 oder per E-Mail unter info@netunite.eu für Sie erreichbar.

netunite AG
Lindwurmstraße 97
80337 München


Pflichtfeld

Pflichtfeld


Absenden
Absenden

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen zu Cookies erhalten Sie in unserer Datenschutzerklärung. Akzeptieren