Azure AD PowerShell unterstützt MFA zum Schutz der Authentifizierung

Microsoft hat die PowerShell-Unterstützung für die Multifaktorauthentifizierung und Geräteverwaltung für Azure Active Directory veröffentlicht, sodass jeder IT-Administrator, der Ressourcen in AD verwaltet, lächelt.

Vorher, Multifaktor-Authentifizierung (MFA) war nur für Office 365-Administratoren in PowerShell verfügbar. Diese beiden Funktionen des Azure AD PowerShell-Moduls – in der öffentlichen Vorschau ab dem 20. Oktober 2015 – authentifizieren Administratoren weiter sicher und ermöglichen es ihnen, Azure AD-Geräteverwaltungsaufgaben in ihre Automatisierung einzubeziehen.

Lassen Sie uns die einzelnen Funktionen erläutern, was sie für den AD-Administrator in Zukunft bedeuten und wie sie verwendet werden.

Unterstützung für die Multifaktorauthentifizierung

EIN einzelnes Passwort reicht nicht aus, um einen Menschen richtig zu authentifizieren. Mit Berichten von Datenverletzungen Heutzutage scheint es so weit verbreitet zu sein, dass manchmal kein Passwort sicher ist – unabhängig davon, wie kompliziert Sie es versuchen.
MFA verringert die Sicherheitslücke des alten bewährten Kennworts, indem verhindert wird, dass eine einzelne Zeichenfolge in einem Kennwort bestätigt, dass Sie der sind, für den Sie sich ausgeben. MFA zwingt uns, auf eine IM oder einen Text zu antworten und beispielsweise zu sagen: “Ja, ich habe dieses Passwort und ich habe auch ein vertrauenswürdiges Gerät. Sehen Sie? Ich habe es Ihnen bewiesen.” Diese Methode verhindert, dass Angreifer unsere Passwörter stehlen und sie zur Authentifizierung als uns verwenden.
Dank der MFA-Unterstützung im Azure AD PowerShell-Modul können sich Administratoren jetzt einfach ausruhen: Selbst wenn ihr Kennwort kompromittiert wird, sind sie weiterhin abgedeckt, da Sie jetzt vom Azure AD PowerShell-Modul gezwungen werden, einen per Textnachricht übermittelten Code bereitzustellen. Möglicherweise hat der Angreifer das vertrauenswürdige Gerät des Endbenutzers sowie den Passcode nicht zur Hand.
Wenn Sie ein IT-Administrator sind, der diese neue Authentifizierungsfunktion verwenden möchte, müssen Sie zunächst sicherstellen, dass Sie MFA aktiviert haben für Ihr Konto;; Für Endbenutzer ist es sicherer, MFA für ihre eigenen Konten zu aktivieren. Außerdem müssen Sie sicherstellen, dass ältere Versionen entfernt werden. Dann, herunterladen und installieren Sie das Modul. Wenn Sie immer noch ein 32-Bit-Betriebssystem verwenden, haben Sie kein Glück – Microsoft bietet nur eine 64-Bit-Version an, sucht jedoch nach Feedback, um die Nachfrage zu messen.
Starten Sie die Datei AdministrationConfig.msi und führen Sie die Installationsanweisungen durch. Sie können alle Standardeinstellungen akzeptieren. Wenn alles gut geht, sehen Sie die bekannte Schaltfläche Fertig stellen. Stellen Sie nach der Installation sicher, dass es in Ihrer PowerShell-Konsole angezeigt wird.
Sie haben ein Modul namens MSOnline mit verschiedenen Befehlen zur Verfügung. Überprüfen Sie als Test, ob Sie über das neue Modul verfügen, ob Sie über Get-MsolDevice verfügen. Wenn ja, haben Sie die neueste öffentliche Vorschau.
Führen Sie Connect-MsolService aus, um eine Verbindung herzustellen. Sie sollten ein grafisches Feld erhalten, in dem Sie nach Anmeldeinformationen gefragt werden (Abbildung 1).

MFA in Azure AD.
Abbildung 1: Geben Sie Ihre Anmeldeinformationen in dieses Feld ein, um mit MFA für Azure AD zu arbeiten.

Sobald Sie Ihre Anmeldeinformationen eingegeben haben – und dies ist das erste Mal, dass Sie verwendet MFA mit Ihrem Konto – Das Programm fordert Sie auf, Ihr Konto zu überprüfen. Wenn Sie kein Bestätigungsfeld erhalten und sofort authentifiziert werden, wurde die von Ihnen angegebene E-Mail-Adresse nicht für MFA aktiviert.

PowerShell-Geräteverwaltung

Mit dem Azure AD PowerShell-Modul können Administratoren auch Geräte verwalten. Das neue Modul kam mit vier neuen Cmdlets: Get-MsolDevice; Enable-MsolDevice; Disable-MsolDevice und Remove-MsolDevice.
Es ist immer eine gute Idee, mit den Cmdlets Get in PowerShell zu beginnen. Das Cmdlet Get liest nur Informationen und ist daher normalerweise harmlos. Zum Beispiel habe ich ein Konto namens [email protected] Wenn ich alle für diesen Benutzer registrierten Geräte finden muss, verwende ich den Parameter RegisteredOwnerUpn:
Get-MsolDevice –RegisteredOwnerUpn [email protected]
Dies würde eine Reihe verschiedener Eigenschaften ausgeben, eine davon ist DeviceID. Dies ist eine eindeutige Kennung, die dieses Gerät in AD darstellt. Die ID gibt Ihnen ein eindeutiges Ziel, das Sie nach Belieben aktivieren, deaktivieren oder entfernen können.
Möglicherweise ist ein Gerät verloren gegangen und Sie möchten es deaktivieren. Sie würden Disable-MsolDevice mit dem Parameter DeviceID verwenden. Beispielsweise lautet die vom Befehl Get-MsolDevice zurückgegebene Geräte-ID möglicherweise a7892334-730b-4d49-bd13-54c2a4928009. Übergeben Sie diese ID als Parameter an Disable-MsolDevice:
Disable-MsolDevice –DeviceId a78b2534-740b-7d59-ba23-455jjks8921s
Wenn Sie es nach dem Auffinden erneut aktivieren möchten, verwenden Sie Enable-MsolDevice:
Enable-MsolDevice –DeviceId a78b2534-740b-7d59-ba23-455jjks8921s
Wenn Sie es schließlich vollständig entfernen möchten, verwenden Sie Remove-MsolDevice mit demselben DeviceID-Parameter wie die anderen Cmdlets:
Remove-MsolDevice –DeviceId a78b2534-740b-7d59-ba23-455jjks8921s
Diese erweiterte Funktionalität im Azure AD PowerShell-Modul bringt uns nur einen Schritt näher, um die Azure-Portale in PowerShell vollständig verwalten zu können. Sobald wir alle Funktionen der Portale im PowerShell-Modul erhalten haben, haben Administratoren die volle Kontrolle, ohne jemals die Befehlszeile verlassen zu müssen.
Erfahrene IT-Administratoren, die ständig nach neuen Möglichkeiten suchen, um durch Automatisierung Zeit und Geld zu sparen, werden diesen neuen Funktionsumfang lieben.
Über den Autor:
Adam Bertram ist ein unabhängiger Denker, Berater und Unternehmer. Er ist begeistert davon, technische Probleme durch Automatisierung zu lösen und sein Wissen mit der Welt zu teilen. Diese Leidenschaft hat Adam dazu gebracht, ein zu werden Microsoft Powershell MVP, ein Powershell.org PowerShell-Held von 2015, Plural Sicht und Udemy Schulungsautor, Moderator und Technologie-Autor für Print- und Online-Tech-Publikationen.

Similar Posts

Leave a Reply