Microsoft erweitert die Unterstützung für Office 365 MFA, es bleiben jedoch Mängel

Ein Cloud-Dienst ist zwar ein Segen für Benutzer, die unabhängig von ihrem Standort Zugriff auf verschiedene Ressourcen benötigen, bietet Angreifern jedoch eine weitere Möglichkeit, in das Unternehmen einzudringen und es zu zerstören.

Die Multifaktorauthentifizierung (MFA) bietet eine weitere Sicherheitsebene, um Unternehmen vor Datenverletzungen zu schützen – selbst wenn Kennwörter in die falschen Hände geraten. Aufgrund der zusätzlichen Gefährdung durch die Verwendung eines Cloud-Dienstes haben mehr Administratoren einen eingerichtet Office 365 MFA-Setup um zu verhindern, dass Außenstehende Zugang erhalten.

Microsoft hat Azure Active Directory (AD) PowerShell, Version 1.0, 2015 die Unterstützung für die Multifaktorauthentifizierung hinzugefügt. Der Funktion fehlte jedoch die Möglichkeit, mit MFA-fähigen Konten eine Verbindung zu anderen Office 365-Diensten herzustellen. Das Unternehmen hat das Modul 2017 auf Version 2.0 aktualisiert, um diese Funktionalität bereitzustellen. Für jeden Office 365-Dienst ist ein eigenes Modul erforderlich (siehe unten):

Komplikationen mit PowerShell-Modulen

Das Office 365 MFA-Update hilft beim sicheren Zugriff auf Cloud-Dienste, hat jedoch einen Nachteil. Da jeder Dienst über ein eigenes Modul verfügt, werden diese nicht gemeinsam genutzt Token. Wenn eine Autorisierung für Exchange Online mit einem MFA-fähigen Konto erfolgt, können die anderen Module das Autorisierungstoken nicht wiederverwenden. Um eine Verbindung zu anderen Diensten herzustellen, muss der Autorisierungsprozess wiederholt werden. Unternehmen mit eher serviceorientierten Verwaltungsrollen werden dieses Problem wahrscheinlich nicht haben. Beispielsweise stellen einige Exchange-Administratoren mit größerer Wahrscheinlichkeit nur eine Verbindung zu Exchange Online und gelegentlich zu Azure Active Directory her.
Darüber hinaus unterscheiden sich die Cmdlets des neueren Moduls, die zum Herstellen einer Verbindung mit dem Office 365-Dienst mit einem MFA-fähigen Konto verwendet werden, von den regulären Cmdlet-Gegenstücken – und die Optionen sind inkonsistent. Dies steht im Gegensatz zu Version 1.0 des Azure Active Directory-Moduls, das die Verwendung desselben Cmdlets (Connect-MsolService) für MFA- und Nicht-MFA-Konten ermöglicht. In Version 1.0 kann in beiden Szenarien auch der Parameter Anmeldeinformationen angegeben werden. Anschließend prüft das Modul, ob eine zusätzliche MFA-Authentifizierung erforderlich ist.
Hier ist eine kurze Übersicht über die Cmdlets, die mit nicht MFA-fähigen und MFA-fähigen Konten eine Verbindung zu verschiedenen Office 365-Diensten herstellen:

Bedienung

Nicht-MFA-Konto

MFA-fähiges Konto

Online austauschen

New-PSSession
-Konfigurationsname
Microsoft Exchange
-ConnectionUri https://outlook.office365.com/
PowerShell-LiveID
-Credential $ Credentials
-Authentication Basic
-AllowRedirection
-SessionOption $ SessionOptions

New-ExoPSSession
-ConnectionUri https://outlook.office365.com/
PowerShell-LiveID
-UserPrincipalName $ UserID

Skype for Business Online

New-CsOnlineSession
-Credential $ Credentials

New-CsOnlineSession -Username $ UserID

SharePoint Online

Connect-SPOService
-url $ TenantURL
-Credential $ Credentials

Connect-SPOService
-url $ TenantURL

Azure Active Directory, Modulversion 1.x.

Connect-MsolService -Credential $ Credential

Connect-MsolService
-Credential $ Credential

Azure Active Directory, Modulversion 2.x.

Connect-AzureAD -Credential $ Credential

Connect-AzureAD

Wie die Tabelle zeigt, ist es nicht immer eine Option, Anmeldeinformationen direkt für das Modul bereitzustellen. Wenn ein Administrator die Anmeldeinformationen weglässt Parameter Wenn Sie beispielsweise eine Verbindung zu Skype for Business Online herstellen, wird der Office 365 MFA-Authentifizierungsprozess ausgelöst. Bei Verwendung desselben Moduls kann es verwirrend sein, wenn eine Anmeldung fehlschlägt, nachdem der Parameter Credential für ein MFA-fähiges Konto angegeben wurde. Über das Exchange Online MFA PowerShell-Modul können keine zusätzlichen Sitzungsoptionen bereitgestellt werden, z. B. Zeitlimiteinstellungen oder Proxy-Konfiguration. Für den Proxy verwendet das Modul die System-Internet Explorer-Konfiguration.
Ein weiterer Punkt, den Sie beachten sollten: Wenn die PowerShell-Sitzung abgelaufen ist, müssen Sie die Verbindung vollständig wiederherstellen und den MFA-Genehmigungsprozess erneut durchlaufen. Mit Version 1.0 des Azure Active Directory-Moduls stellt PowerShell bei der Eingabe eines Cmdlets lediglich eine erneute Verbindung mit den zwischengespeicherten Anmeldeinformationen her.

Das Skript vereinfacht den Office 365 MFA-Verbindungsprozess

Es kann schwierig sein, sich daran zu erinnern, wie eine Verbindung zu verschiedenen Office 365-Diensten hergestellt werden soll, insbesondere bei neueren Varianten der MFA-Authentifizierung. Fügen Sie zur Vereinfachung Folgendes hinzu Skript zum PowerShell-Profil.
Das Skript erkennt die installierten Module und teilt einen Link zum Herunterladen fehlender Module. Es erkennt auch MFA-unterstützte Module und fordert zur Eingabe von Anmeldeinformationen auf und fragt, ob das Modul bei der Authentifizierung MFA verwenden soll.

PowerShell-Skript
Verwenden Sie ein PowerShell-Skript, um eine Verbindung zu verschiedenen Office 365-Diensten mit denselben Anmeldeinformationen herzustellen.

Microsoft erweitert andere Authentifizierungsangebote

Microsoft hat auch andere gemacht authentifizierungsorientierte Updates. Das Unternehmen verbessert die Authenticator-App weiter, mit der MFA-Anfragen für Nicht-Microsoft-Konten wie Facebook und WordPress autorisiert werden können. In jüngerer Zeit hat Microsoft eine Funktion namens hinzugefügt Telefonische AnmeldungHiermit kann ein vertrauenswürdiges Gerät den Zugriff auf Microsoft-Konten genehmigen. Dies rationalisiert den Authentifizierungsprozess und ermöglicht es Benutzern, Autorisierungsanforderungen mit ihren Telefonen zu genehmigen oder abzulehnen.

Similar Posts

Leave a Reply