Multi-Faktor Authen­ti­fi­zie­rung — Schutz der Daten in Micro­soft Office 365 erhöhen

|

Multi-Faktor Authen­ti­fi­zie­rung — Schutz der Daten in Micro­soft Office 365 mit wenig Aufwand erhöhen

Die Multi-Faktor Authen­ti­fi­zie­rung als Teil von Micro­soft Office 365 bzw. Azure Active Direc­tory, ist ein funda­men­taler Schutz­faktor für Unter­neh­mens­daten. Als Office 365 Adminis­trator kann die Multi-Faktor Authen­ti­fi­zie­rung mit wenigen Klicks bzw. per Power­Shell für einzelne oder alle Anwender aktiviert werden.

Nehmen wir an, dass wichtige Geschäfts­daten in Anwen­dung abgelegt sind und dass die Anwen­dung keine Sicher­heits­lü­cken hat und technisch bestmög­lich abgesi­chert ist. In diesem Fall ist Zugriff auf die Daten nur durch die Identität möglich, mit der auf die Anwen­dung zugegriffen wird. Die Authen­ti­fi­zie­rung erfolgt üblicher­weise mittels Benut­zer­name und Passwort. Wer Benut­zer­name und Passwort kennt, hat damit Zugriff auf die Unter­neh­mens­daten. Warum durch Firewalls, Netzwerk­zonen und System­schwach­stellen hacken, wenn Identi­täten (Benut­zer­namen und Passwörter) durch Social Enginee­ring / Social Hacking (z.B. Phishing), Brute Force Attacken, Keylog­gern und Co heraus­zu­be­kommen sind?

Es ist also im Inter­esse einer IT-Security-Strategie, Identi­täten bestmög­lich zu schützen. Ein sehr bewährter Ansatz um den Schutz von Identi­täten deutlich zu erhöhen sind sogenannte Zwei-Faktor bzw. Multi-Faktor Authen­ti­fi­zie­rungen (MFA), welche uns zum Beispiel aus dem Online­ban­king schon lange vertraut sind.

In diesem Beitrag zeige ich, wie der Zugriff auf Unter­neh­mens­daten in Office 365 durch die integrierte Multi-Faktor Authen­ti­fi­zie­rung sicherer gemacht werden kann.

Aktivie­rung der Multi Faktor Authen­ti­fi­zie­rung in Office 365 bzw. im Azure Active Direc­tory Mandant

Im Prinzip ist die Multi-Faktor Authen­ti­fi­zie­rung ein Self-Service, aller­dings ist dieser standard­mäßig deakti­viert und muss für die Anwender erst aktiviert werden. Start­punkt ist die Benut­zer­ver­wal­tung im Office 365 Mandant:

Die eigent­liche Konfi­gu­ra­tion der Multi-Faktor Authen­ti­fi­zie­rung erfolgt über den Office 365 Mandant im dazuge­hö­rigen Azure Active Direc­tory. Dort kann die Multi-Faktor Authen­ti­fi­zie­rung für einzelne oder mehrere Benutzer aktiviert werden:

Das war’s schon. Der Status Aktiviert bedeutet, dass die MFA aktiviert wurde, aber noch nicht durch den Anwender konfi­gu­riert wurde. Nach Abschluss der Konfi­gu­ra­tion durch den Anwender wechselt der Status in Erzwungen.

Natür­lich können diese Einstel­lungen auch mittels Power­Shell gesetzt werden. In Azure Active Direc­tory gibt es noch erwei­terte Multi-Faktor Dienst­ein­stel­lungen, welche bei Bedarf konfi­gu­riert werden können:

Im Azure Active Direc­tory Portal können noch weitere Einstel­lungen vorge­nommen werden. Sehr sinnvoll ist unter anderem die Konfi­gu­ra­ti­ons­mög­lich­keit für vertrau­ens­würde IP Adressen – oft IP White­list genannt. Damit können IP Adress­be­reiche definiert werden. Erfolgt eine Anmel­dung an Office 365 von einer vertrau­ens­wür­digen IP, so ist keine Multi-Faktor Authen­ti­fi­zie­rung nötig. Hier kann — nach Abwägung der Vor- und Nachteile — zum Beispiel die Outbound IP Adresse eines Unter­neh­mens einge­tragen werden. Vorher sollte sicher­ge­stellt sein, dass Angriffs­po­ten­tiale wie Social Hacking, Brute Force Attacken oder Keylogger ander­weitig im Unter­neh­mens­netz­werk unter­bunden sind.

Wie sieht die Multi-Faktor Authen­ti­fi­zie­rung aus Sicht des Anwen­ders aus?

Erstma­lige Einrich­tung der Multi-Faktor Authentifizierung

Nachdem die Multi-Faktor Authen­ti­fi­zie­rung für einen Account aktiviert wurde, muss der Anwender diese für sich einmalig einrichten. Nach aktivierter MFA ist der erste Schritt bei der Authen­ti­fi­zie­rung die sogenannte Identi­fi­zie­rung. Der Anwender muss sich identi­fi­zieren, damit anhand der definierten Einstel­lungen die Authen­ti­fi­zie­rung mittels zweitem Faktor durch­ge­führt werden kann.

Für die Regis­trie­rung des zweiten Faktors gibt es verschie­dene Möglich­keiten. Ich persön­lich bevor­zuge die Authen­ti­fi­zie­rung mittels der Mobile App und zeige die Funkti­ons­weise hier. Alter­nativ kann ein 6‑stelliger One-Time PIN auf ein Handy geschickt werden, bzw. ein automa­ti­sierter Telefon­anruf ausge­löst werden, welcher dann entge­gen­zu­nehmen und mit der Raute (#) zu bestä­tigen ist. Natür­lich ist es möglich, jeder­zeit die bevor­zugte Möglich­keit zur Zwei-Faktor Authen­ti­fi­zie­rung zu ändern bzw. weitere Mobile Devices zu registrieren.
Bei Nutzung der Mobile App zur Authen­ti­fi­zie­rung gibt es zwei Varianten:

  • Bestä­tigen einer Benach­rich­ti­gung: Das ist die bequemste und schnellste Art der Multi-Faktor Authen­ti­fi­zie­rung. Nach der Identi­fi­ka­tion erfolgt eine Benach­rich­ti­gung auf der Mobile App, welche zu bestä­tigen ist.
  • Verwenden eines Prüfcodes: Bei diesem Verfahren muss – ähnlich wie bei klassi­schen hardware­ba­sierten Token-Lösungen – ein auf der Mobile App generierter, nach 30 Sekunden ablau­fender OneTime PIN (OTP) als zweiter Authen­ti­fi­zie­rungs­faktor genutzt werden.

Beide Varianten setzen voraus, dass die Mobile App auf einem Smart Phone (Windows Phone, iOS oder Android) regis­triert wird. Dies geschieht wie folgt:

  1. Auswahl: Benach­rich­ti­gung oder Prüfcode

 

  1. Regis­trie­rung der Mobile App. Die Azure Authen­ti­cator App muss aus dem App Store auf das jewei­lige Smart Phone geladen werden, danach kann die App bequem über das abfoto­gra­fieren eines QR Codes, oder der Eingabe eines Codes, falls das Scannen des QR Codes nicht möglich ist, die Verbin­dung zum entspre­chenden Benut­zer­profil herstellen.

    3.       Nach Regis­trie­rung der Mobile App erfolgt eine zusätz­liche Sicher­heits­über­prü­fung. Hier wird die Mobile App erstmalig zur Authen­ti­fi­zie­rung verwendet.

 

Die Sprache der Azure Authen­ti­cator App richtet sich automa­tisch nach der Sprache des Anmel­de­dia­logs in Office 365. In dem Beispiel oben sieht man auch, dass die Azure Authen­ti­cator App mandan­ten­fähig ist, d.h. die Mobile App kann zur Authen­ti­fi­zie­rung an verschie­denen Office 365 Mandanten bzw. Azure Active Direc­tory basierten Anwen­dungen genutzt werden.

4.       Sofern noch nicht geschehen ist eine zusätz­liche Sicher­heits­über­prü­fung zu konfi­gu­rieren. Dies ist nötig, um bei Bedarf zum Beispiel einen Self Service Password Reset durchzuführen.

5.       Vor Fertig­stel­lung wird noch ein App-Kennwort angezeigt. Dies ist eine Art Fallback / Kompa­ti­bi­li­täts­fea­ture, um klassi­sche Anwen­dungen, welche keine Multi-Faktor Authen­ti­ca­tion unter­stützen, weiterhin nutzen zu können. Bei Nutzung des App-Passworts erfolgt keine Multi-Faktor Authen­ti­fi­zie­rung, aller­dings erfolgt eine Authen­ti­fi­zie­rung mittels dem generierten, starken App-Kennworts.

Änderung der Multi-Faktor Authentifizierungseinstellungen

Natür­lich kann der Anwender die Einstel­lungen der Multi-Faktor Authen­ti­fi­zie­rung auch nachträg­lich ändern. Dies ist nötig, wenn man z.B. ein anderes Smart Phone verwenden oder eine andere Telefon­nummer für die SMS-basierte Authen­ti­fi­zie­rung verwenden möchte. Die MFA Einstel­lungen sind in den Office 365 Settings im Bereich Settings zu finden:

Nutzung des App-Kennworts

Das App-Kennwort wird benötigt für die Anwen­dungen, die eine Multi-Faktor Authen­ti­fi­zie­rung (noch) nicht unter­stützen. Eine dieser Anwen­dungen ist Skype for Business in der Desktop Version. Versucht man sich dort mit seinem normalen Passwort anzumelden, erscheint diese Fehlermeldung:

App-Kennwörter können in den Office 365 Settings > Settings erstellt werden:

Mit dem App-Kennwort funktio­niert der Login für Skype for Business.
Nutzung der Multi-Faktor Authen­ti­fi­zie­rung für den Zugriff auf Office 365 / Azure Active Diretory mittels Power­Shell ist nicht möglich.

Fragen und Antworten

Für welche Identi­täts­typen ist die Azure Multi-Faktor Authen­ti­fi­zie­rung möglich?

Generell ist zu sagen, dass eine Multi-Faktor Authen­ti­fi­zie­rung nur von jewei­ligen Authentifizierungs‑, bzw. Identity Provider bereit­ge­stellt werden kann.
Im Office 365 Umfeld wird zwischen drei Identi­täts­typen unterschieden:

  • Cloud Identity: Identi­täts­pro­vider für diese Identi­ties ist Azure Active Direc­tory. Die Multi-Faktor Authen­ti­fi­zie­rung von Office 365 / Azure Active Direc­tory kann für diese Identi­täten genutzt werden
  • Federated Identity: Diese Identi­täten authen­ti­fi­zieren gegen einen anderen Identity Provider, z.B. gegen den unter­neh­mens­ei­genen ADFS Service. Die Office 365 / Azure Active Directoy Multi-Faktor Authen­ti­fi­zie­rung kann nicht verwendet werden. Aller­dings kann auch ein ADFS Server eine Multi-Faktor Authen­ti­fi­zie­rung durch­führen, sofern er entspre­chend konfi­gu­riert wurde. Um die Azure Active Direc­tory Multi-Faktor Authen­ti­fi­zie­rung für einen ADFS Service zu verwenden muss aller­dings ein sogenannter Multi-Faktor Authen­ti­fi­zie­rungs­server instal­liert werden.
  • Synchro­nized Identity: Diese Identi­täten nutzen ein Same Sign-On, d.h. der Anwender authen­ti­fi­ziert mit seinem Unter­neh­menspass­wort gegen Azure Active Direc­tory. In diesem Fall kann die Office 365 / Azure Active Directoy Multi-Faktor Authen­ti­fi­zie­rung verwendet werden.

 

Ist die Mobile App mandantenfähig?

Ja, die Mobile App ist mandan­ten­fähig, d.h. die Azure Authen­ti­cator App kann für die Authen­ti­fi­zie­rung an verschie­denen Office 365 Mandanten genutzt werden.

Wozu braucht man das App-Kennwort?

Das App-Kennwort (App-Password) wird benötigt, da derzeit nicht alle Anwen­dungen eine Multi-Faktor Authen­ti­fi­zie­rung unter­stützen. Das App-Kennwort wird generiert und ist in den meisten Fällen deutlich stärker als ein Kennwort, welches sich der Anwender ausdenkt.

Wie kann ich die Multi-Faktor Einstel­lungen ändern?

Die Einstel­lungen, wie z.B. die bevor­zuge Authen­ti­fi­zie­rungs­me­thode, sind in den Office 365 Settings änderbar.

Mit Multi-Faktor Authen­ti­fi­zie­rung — Ist jetzt alles sicher?

Nein! Die Multi-Faktor Authen­ti­fi­zie­rung verhin­dert ledig­lich, dass sich Jemand mit Login und Passwort an einer Anwen­dung anmelden kann.
Die MFA schützt zum Beispiel nicht davor, dass ein authen­ti­fi­zierter und autori­sierter Anwender Daten aus der Anwen­dung heraus­nimmt und an Dritte weiter­gibt. Hierfür sind Lösungen wie Infor­ma­tion Rights Manage­ment in Share­Point bzw. Azure Rights Manage­ment zu empfehlen.
Ebenso schützt die MFA nicht, wenn ein Anwender aus dem Unter­nehmen ausscheidet und die Identität nicht deakti­viert wird. Auch eine Multi-Faktor Authen­ti­fi­zie­rung benötigt ein Identity Lifecycle Management.

Fazit & Empfehlung

Die Multi-Faktor Authen­ti­fi­zie­rung als Teil von Office 365 bzw. Azure Active Direc­tory, ist ein funda­men­taler Schutz­faktor für Unter­neh­mens­daten. Als Office 365 Adminis­trator kann die Multi-Faktor Authen­ti­fi­zie­rung mit wenigen Klicks bzw. per Power­Shell für einzelne oder alle Anwender aktiviert werden. Die einma­lige Regis­trie­rung des zweiten Authen­ti­fi­zie­rungs­fak­tors durch den Anwender ist in wenigen Minuten abgeschlossen und selbst­er­klä­rend. Zusätz­lich wird aber auch eine umfang­reiche Hilfe und Videos von Micro­soft in den Dialogen angeboten.
Ich selber schütze meine Office 365 Identität und damit den Zugriff auf die Unter­neh­mens­daten durch die Multi-Faktor Authen­ti­fi­zie­rung und habe mich schnell an das Bestä­tigen der Authen­ti­fi­zie­rungs­an­for­de­rung via Mobile App gewöhnt. Die Multi-Faktor Authen­ti­fi­zie­rung funktio­niert einwand­frei in den Anwen­dungen Office, OneDrive, Skype, OneNote, etc. sowohl auf Desktop und Smart Phones (intensiv getestet mit iOS und Windows Phone). Der Zeitver­lust pro Authen­ti­fi­zie­rung beträgt weniger als 10 Sekunden – das ist mir der Schutz meiner Identität wert. Aller­dings sollte man nicht sein Smart Phone zu Hause liegen lassen J
Einziger Kritik­punkt ist, dass aktuell zwar die meisten, aber nicht alle Micro­soft Anwen­dungen die Micro­soft Multi-Faktor Authen­ti­fi­zie­rung unter­stützen. Outlook 2016 und Skype for Business benötigen derzeit das App Passwort. Das sorgt bei der Einrich­tung gerne etwas für Verwirrung.

Joachim von Seydewitz

Joachim von Seydewitz

Solution Archi­tect



Kontakt zur netunite AG

Ihr Anliegen. Unsere Experten. Erleben Sie netunite. Wir freuen uns auf Ihre Anfrage.
Gerne sind wir auch telefonisch unter 089/8906599-0 oder per E-Mail unter info@netunite.eu für Sie erreichbar.

netunite AG

Standorte

Lindwurmstraße 97
80337 München

Tiroler Ring 55
86609 Donauwörth

    Pflichtfeld
    Pflichtfeld
     
    Pflichtfeld
     
    Pflichtfeld