Multifaktor-Authentifzierung mit AAD

apptech - dd - multifaktor authentifizierung

Mit dem bedingten Zugriff per Multifaktor-Authentifzierung unter AAD (Azure Active Directory) stellt Microsoft ein wirksames Mittel zur Erhöhung der Sicherheit zur Verfügung. Unser Deep Dive erklärt die Einrichtung.

Kennwortrichtlinien, Social Engineering, Brute-Force-Angriffe, Keylogger, offene Notizen und fehlendes Sicherheitsbewusstsein, machen die Nutzung von Kennwörtern als alleinigen Authentifizierungsfaktor zum Sicherheitsrisiko. Die zunehmende Verlagerung der lokalen IT-Infrastruktur in die Rechenzentren von Cloudanbietern verschärft dieses Risiko erheblich, da der Zugang zu den Systemen nur noch remote stattfindet. Sobald ein Angreifer die Anmeldedaten in Erfahrung gebracht hat, besteht unkontrollierter Zugriff.

Passwörter allein schützen global zugängliche Cloudressourcen nicht ausreichend. Mit dem bedingten Zugriff per Multifaktor-Authentifizierung (MFA) stellt Microsoft ein wirksames und praktikables Mittel zur Risikominimierung zur Verfügung

Voraussetzungen und Lizenzierung

Die Multifaktor-Authentifizierung (MFA) wird als Teil von Azure Active Directory (AAD) angeboten. Die Nutzung von MFA setzt ein bestehendes Azure Active Directory und voraus und steht Benutzern mit einer Lizenz von AAD Premium P1 oder P2 zur Verfügung.

Ob ein Benutzer vom lokalen AD synchronisiert oder direkt im AAD angelegt worden ist, stellt für die Nutzung von MFA keinen Unterschied dar. Den genauen Leistungsumfang der unterschiedlichen Lizenzstufen listet Microsoft in der Preisübersicht auf: https://azure.microsoft.com/de-de/pricing/details/active-directory/

Je nach Unternehmensrichtlinie bzw. auf Wunsch des Benutzers können die Authentifizierungsmethoden verwendet werden:

  • Microsoft Authenticator-App
  • OATH-Hardwaretoken
  • SMS
  • Anruf
  • Kennwort
  • Sicherheitsfragen

Konfiguration MFA für eine Gruppe mit Testbenutzer

Im folgenden Abschnitt wird die MFA für einen Testbenutzer angelegt und getestet.

Anlage der Sicherheitsgruppe im AAD

mfa01

Zuweisung Lizenz Azure AD Premium P1

mfa02
mfa03

Neue Richtlinie für den bedingten Zugriff (Conditional Access Policy)

Eine pauschale Anwendung der MFA auf jeden Benutzer für jeden Login ist unpraktikabel und senkt die Produktivität. Auch Serviceaccounts wären dann von MFA betroffen und würden sich nicht einloggen können.

Mithilfe von Conditional Access policies werden die Bedingungen zur Anwendung der MFA bestimmt. Eine Conditional Access policy kann auf einzelne Microsoft Apps, Benutzer, Gruppen oder das ganze Unternehmen angewendet werden. Die Policy erlaubt es präzise Bedingungen zu formulieren, unter denen MFA angewendet wird. So können Anmelderisiko, Geräteplattform, Standort und die Client-App als auswertbare Signale verwendet werden, um den Benutzer zu einer MFA aufzufordern.

Anlage einer neuen Conditional Access Policy

mfa05

Auswahl der Testgruppe

mfa06

Welche Cloud-Apps sollen mit MFA geschützt werden?

mfa07

Auch die unternehmensspezifische Cloudapps der eigenen Azure Subscription lassen sich einzeln mit MFA absichern.

Definition der Bedingungen zur Anwendung der MFA

Auswahl der Geräteplattform:

mfa08

Anmeldungen außerhalb eines bestimmten Standortes sollen mit MFA durchgeführt werden. Der Standort wird mit einer IP-Range definiert.

mfa09

Nun wird die mehrstufige Authentifizierung als Zugriffskontrolle ausgewählt.

mfa10

Eingabe Kontaktinformationen

Nach Login des Benutzers, ist die Eingabe von Kontaktinformationen notwendig. Es können Telefonnummer und/oder E-Mailadresse angegeben werden.

WICHTIG: Die E-Mailadresse darf keiner eigenen Maildomain angehören.

mfa11
mfa12
mfa13

Alternativ kann der Administrator die Kontaktinformationen zentram im AAD pro Benutzer eingeben:

mfa14

Anmeldung mit MFA

Sobald sich der Benutzer nun von einem unbekannten Standort anmeldet, erscheint die Aufforderung zur Eingabe weiterer Informationen

mfa15

Beispiel Sicherheitscode per SMS

mfa16

Erst nach Eingabe des Überprüfungscodes per SMS ist der Zugang zu den Apps möglich.

mfa17
mfa18

Anmeldehäufigkeit

Nach erstmaligem Login eines Benutzers per MFA stellt man fest, dass beim nächsten Öffnen der App keine MFA angefordert wird. Der nun authentifizierte Client gilt vorerst als vertrauenswürdig und nutzt eine Kombination aus zeitlich begrenzten Security Tokens zur Authentifizierung.

Der Standardwert für die Zeit bis zum nächsten Login mittels MFA beträgt 90 Tage. In der Praxis kommt es häufiger zum erneuten Login per MFA, da Änderungen des Passworts, ein Standortwechsel oder Login an einem anderen Endgerät das erneute Ausstellen der Security Token erfordert. Webbrowsersessions sind zusätzlich von lokalen Einstellungen der Cookies abhängig.

AAD Administratoren können die Anmeldehäufigkeit ebenfalls in einer Conditional Access Policy konfigurieren.

mfa19

WICHTIG: Auch wenn Browsersessions immer persistent gespeichert werden und der Benutzer die Cookies nicht löscht, wird die Einstellung zur Anmeldehäufigkeit nicht außer Kraft gesetzt.