Einrichten und Erzwingen der Azure-Multifaktorauthentifizierung

Wie die meisten Administratoren wissen, kann ein Datenverstoß eine Organisation zerstören. Die Azure-Multifaktorauthentifizierung ist eine Möglichkeit, eine zusätzliche Sicherheitsebene hinzuzufügen, um nicht genehmigten Zugriff zu verhindern.

Die Multifaktorauthentifizierung über Microsoft Azure ist eine Möglichkeit, die Anmeldesicherheit zu erhöhen. Wenn ein Unternehmen beispielsweise Webanwendungen entwickelt und Azure Active Directory zur Authentifizierung verwendet, können Administratoren eine zweistufige Überprüfung für alle Benutzer, Endbenutzer und Administratoren der Cloud-App implementieren. Diese Vorgehensweise kann eine Kontoverletzung und die daraus resultierenden Rückschläge, die ein Unternehmen zerstören können, verhindern.

Administratoren müssen wissen, welche Multifaktor-Authentifizierungsoptionen Microsoft in Azure anbietet und wie sie für ihre Organisation eingerichtet werden.

Grundlegendes zur Azure-Multifaktorauthentifizierung

Die Multifaktorauthentifizierung bezieht sich auf die Überprüfung der Benutzeranmeldeinformationen und ist in einigen Varianten erhältlich. Zu den Faktoren, die zur Bestätigung der Identität verwendet werden, gehören Passwörter, Smartcards und Netzhaut-Scans. Die Multifaktorauthentifizierung bestätigt die behauptete Identität eines Benutzers und gewährt Zugriff, wenn ihm zwei oder mehr Faktoren vom Benutzer zur Verfügung gestellt werden.
Azure unterstützt zweistufige Überprüfung, eine Teilmenge der Multifaktorauthentifizierung, bei der der Benutzer einen zweiten Faktor angeben muss, der über das hinausgeht, was der Benutzer hat. Beispielsweise muss der Administrator in Azure AD möglicherweise in zwei Schritten überprüfen, ob zusätzlich zu einem Kennwort ein einmaliger Passcode verwendet wird, der von einer mobilen Authentifizierungs-App generiert wird. Der Benutzer demonstriert seine Identität anhand dessen, was er physisch besitzt – dem Smartphone, auf dem die Authentifizierungs-App ausgeführt wird – und dem von Azure bereitgestellten Passcode.

Die Verwendung der Multifaktorauthentifizierung für Endbenutzer erfordert ein Upgrade auf eine Azure AD Premium P1- oder P2-Lizenz.

Azure AD-Administratoren, denen die globale Administratorrolle zugewiesen wurde, haben freien Zugriff auf die Azure-Multifaktorauthentifizierung. Verwenden der Multifaktorauthentifizierung für Endbenutzer erfordert ein Upgrade auf eine Azure AD Premium P1- oder P2-Lizenz. Microsoft lizenziert Azure AD auf Benutzerbasis. Der Administrator weist die Lizenzen den entsprechenden Benutzern zu.
Es gibt eine alternative Methode zum Erzwingen der Multifaktorauthentifizierung, die als Richtlinie für bedingten Zugriff bezeichnet wird und für die eine Azure AD Premium P2-Lizenz erforderlich ist. Dieses Lernprogramm konzentriert sich auf die direkte Zuweisungsmethode, die mit einer Azure AD Premium P1-Lizenz verwendet wird.

Wählen Sie Optionen für die Multifaktorauthentifizierung und den Dienst aus

Öffnen Sie den Azure AD-Mandanten im Azure-Portal und navigieren Sie zum Blade “Benutzer”. Wählen Sie in der Symbolleiste die Option Multifaktorauthentifizierung aus, um eine Browserregisterkarte zu öffnen und die Einstellungen für den Multifaktorauthentifizierungsdienst für den Mandanten und festzulegen zum Verwalten der Benutzer-Multifaktor-Authentifizierungsrichtlinie.

Azure-Benutzeroberfläche
Administratoren konfigurieren die Einstellungen des Azure-Multifaktor-Authentifizierungsdienstes auf dieser Registerkarte.

Der Administrator gibt im Bildschirm mit den Diensteinstellungen Folgendes an:

  • App-Kennwörter: Ein von Azure generierter Code, mit dem die zweistufige Überprüfung älterer Apps ohne Browser umgangen wird, die keine Multifaktorauthentifizierung unterstützen.
  • Vertrauenswürdige IPs: IPv4-Adressbereiche, die zur Umgehung des Multifaktors auf die Whitelist gesetzt wurden
  • Überprüfungsoptionen: Die verfügbaren Methoden zur Bereitstellung des zweiten Authentifizierungsfaktors.
  • Beachten Sie die Multifaktorauthentifizierung: Die Anzahl der Tage, an denen Benutzer die Zwei-Faktor-Überprüfung umgehen können, nachdem sie sie einmal während einer Browsersitzung abgeschlossen haben.

Überprüfungsoptionen erklärt

Die Azure-Multifaktorauthentifizierung bietet verschiedene Überprüfungsoptionen. Mit der Option Telefonanruf tätigt Microsoft einen aufgezeichneten Sprachanruf an den Benutzer. Um die Authentifizierungsanforderung zu genehmigen, muss der Benutzer auf seinem Mobiltelefon # drücken.
Die Option SMS an Telefon verwendet SMS zum Übertragen der einmaliger Code von Microsoft zum Telefon des Benutzers. Einige Experten für Informationssicherheit raten aufgrund davon ab, Textnachrichten für die zweistufige Authentifizierung zu verwenden bestimmte Schwachstellen.
Die Option Benachrichtigung über mobile App erspart dem Benutzer die Eingabe eines einmaligen Codes. Stattdessen genehmigt der Benutzer die Authentifizierungsanforderung, indem er auf seinem Smartphone auf eine Push-Benachrichtigung tippt.
Die Option Bestätigungscode von mobiler App oder Hardware-Token enthält einen einmaligen Code von einer Authentifizierungs-App. Die Azure-Multifaktorauthentifizierung funktioniert am besten mit Microsoft AuthenticatorAndere Authentifizierungs-Apps wie Authy sind jedoch ausreichend.

Wenden Sie eine Multifaktor-Authentifizierungsrichtlinie auf Benutzer an

Navigieren Sie nach dem Konfigurieren der Diensteinstellungen zurück zur Registerkarte Benutzer, um eine Multifaktor-Authentifizierungsrichtlinie für bestimmte Benutzer festzulegen.
Azure AD-Benutzer haben einen von drei Status: Deaktiviert, ohne dass eine Multifaktorauthentifizierung erforderlich ist, aktiviert mit optionaler Multifaktorauthentifizierung oder erzwungen mit Multifaktorauthentifizierung.
Wählen Sie den Benutzer aus, wählen Sie dann im Abschnitt “Schnelle Schritte” die Option “Aktivieren” und klicken Sie abschließend auf “Multi-Faktor-Authentifizierung aktivieren”, um die Richtlinie durchzusetzen.

Zuweisen einer MFA-Richtlinie zu einem Azure AD-Benutzer
Stellen Sie Benutzer auf optionale oder erforderliche Multifaktorauthentifizierung ein

Testen Sie die Benutzererfahrung

Sehen Sie nach Abschluss der Einrichtungsarbeiten, wie die neue Richtlinie aus Sicht der Benutzer aussieht.
Nachdem sich ein Benutzer mit seiner Benutzer-ID und seinem Kennwort bei einer von Azure AD unterstützten Webanwendung authentifiziert hat, fordert die Anwendung ihn auf, weitere Informationen anzugeben, um den Registrierungsprozess für die Multifaktorauthentifizierung abzuschließen.

Self-Service-MFA-Registrierung
Benutzer geben ihre Informationen ein, um sich für die Multifaktorauthentifizierung anzumelden.

Der Benutzer wählt eine Standardoption für die Multifaktorauthentifizierung aus, die er auf der Azure AD-Benutzerprofilseite unter myapps.microsoft.com basierend auf den vom Administrator konfigurierten Auswahlmöglichkeiten ändern kann, z. B. eine Textnachricht an sein Telefon, eine Benachrichtigung über eine mobile App oder ein Bestätigungscode von einer mobilen App.

Bestätigungscode von der Überprüfungsoption für mobile Apps
Ein Benutzer hat einen Bestätigungscode von der mobilen Azure AD-App erhalten.

Ein Benutzer mit mehr als einer Azure-Multifaktorauthentifizierungsoption kann auf der Anmeldeseite zwischen diesen wechseln.

Auswahl einer anderen Überprüfungsmethode
Azure bietet Benutzern die Möglichkeit, eine Überprüfungsoption auszuwählen.

Für Benutzer mit der Option zum Speichern der Multifaktorauthentifizierung beträgt das maximale Intervall zum Unterdrücken der Überprüfung im zweiten Schritt 60 Tage.
Bevor Administratoren die Azure-Multifaktorauthentifizierung konfigurieren, kann es hilfreich sein, die verschiedenen aufgeführten Szenarien anzuzeigen auf dieser Seite um festzustellen, welche Methode für ihre Organisation am besten geeignet ist.

Similar Posts

Leave a Reply