Konfigurieren Sie Azure MFA für den Zugriff auf Office 365 von überall

Verbraucher und Unternehmen sind sich der Gefahren eines unbefugten Zugriffs auf Daten, die in Cloud-Diensten und lokalen IT-Systemen gespeichert sind, mehr denn je bewusst. Bei lokalen Systemen können Sie auf einfache Weise sicherstellen, dass niemand außerhalb des Unternehmens auf Daten zugreifen kann, indem Sie diese nicht im Internet veröffentlichen. Auf Cloud-basierte Dienste wie Office 365 kann jedoch über das Internet zugegriffen werden. Zu den wichtigsten Vorteilen gehört die Ermöglichung des Zugriffs von überall. Diese Faktoren erschweren die Gewährleistung der Sicherheit.

Wenn Sie Endbenutzern von überall aus Zugriff auf Systeme gewähren möchten, Azure-Multi-Faktor-Authentifizierung (MFA) -Dienste sind einen Blick wert. Multifaktor-Authentifizierung bedeutet, dass Sie zusätzlich zu Ihrem normalen Passwort einen weiteren Berechtigungsnachweis angeben müssen, auf den nur Sie Zugriff haben. Dies war traditionell ein dediziertes Token, aber jetzt ist es oft ein Code, der per SMS oder App empfangen wird auf einem mobilen Gerät installiert.

Azure MFA ist in Office 365 kostenlos enthalten. Administratoren können andere Dienste mit Azure AD Premium schützen, einschließlich lokaler Systeme.

In diesem Tipp wird beschrieben, wie Sie aktivieren Büro 365 Multifaktor-Authentifizierung und führt Sie durch den Einrichtungs- und Zugriffsprozess. Außerdem wird der Azure MFA-Server für lokale Anwendungen untersucht und gezeigt, wie bei Verwendung mit Webanwendungsproxy externe Benutzer die Multifaktorauthentifizierung für die Anmeldung verwenden müssen.

Aktivieren Sie die Office 365-Multifaktorauthentifizierung

Melden Sie sich bei der an, um die Multifaktorauthentifizierung zu aktivieren Office 365-Portal und navigieren zu Benutzer> Aktive Benutzer. Dann wählen Sie Einrichten innerhalb Legen Sie die Anforderungen für die Multi-Faktor-Authentifizierung fest (Abbildung 1).

Office 365-Portal und MFA
Melden Sie sich beim Office 365-Portal an, um MFA zu aktivieren und Anforderungen einzurichten.

Sie werden zur Azure Active Directory-MFA-Seite der Marke Office 365 weitergeleitet. Wählen Sie die Benutzer aus, die MFA benötigen, und wählen Sie dann Aktivieren (Figur 2).

Aktivieren Sie MFA für Benutzer
Wählen Sie nach der Umleitung zur Azure AD MFA-Seite die Benutzer aus, für die MFA aktiviert werden soll.

Das ist alles, was ein Administrator tun muss, aber diese Benutzer müssen sich mit einem Webbrowser oder einem Besuch bei einem Office 365-Dienst anmelden die MFA-Setup-Seite.

Benutzereinrichtung und -konfiguration

Bei der nächsten Anmeldung für Cloud-IDs und Active Directory-Verbunddienste (ADFS) IDs, Benutzer sehen die Meldung: “Ihr Administrator hat verlangt, dass Sie dieses Konto für zusätzliche Sicherheitsüberprüfungen einrichten.” Benutzer werden aufgefordert, eine Auswahl zu treffen Richten Sie es jetzt ein und fahren Sie mit der MFA-Einrichtung fort.
Den Benutzern werden dann drei Optionen für den zweiten Weg angezeigt, um zu beweisen, wer sie bei jedem Login sind – eine Handy-Textnachricht oder ein Anruf bei einem Bürotelefon oder einer mobilen App. Wählen Sie für dieses Beispiel App von der Liste.
Laden Sie nach Auswahl der mobilen App-Methode die Azure MFA-Anwendung für Android, Windows Phone oder iPhone herunter. Die App heißt PhoneFactor im App Store jeder Plattform. Nach dem Start der App werden Benutzer dazu aufgefordert Barcode scannen und verknüpfen Sie die App mit dem QR-Code, der auf der MFA-Setup-Seite angezeigt wird (Abbildung 3).

PhoneFactor-Setup-Seite
Die App PhoneFactor fordert Benutzer auf, einen Barcode zu scannen, um eine Verknüpfung zur Setup-Seite herzustellen.

Nach dem Konfigurieren der App müssen Benutzer sogenannte App-Passwörter generieren. Weil die Desktop-Versionen von Outlook und Lync MFA wird nicht unterstützt. Wir generieren einen sicheren Code, der nur in die App eingegeben werden kann. Benutzer werden wählen App-Passwort generieren und notieren Sie sich den sicheren Code, der zur Eingabe bereit ist, wenn Sie vom Desktop-Client dazu aufgefordert werden.

Anmeldeerfahrung

Bei der Anmeldung benötigen Benutzer ab sofort ihren zweiten Faktor für die Authentifizierung. In unserem Fall ist dies das Mobiltelefon. Die Anmeldung beginnt mit der Anmeldung mit einem Benutzernamen und einem Passwort. Anschließend werden die Benutzer darüber informiert, dass sie einen weiteren Schritt ausführen müssen. Zum SMS Bei der Bestätigung eines Telefonanrufs müssen sie einen Code eingeben. Wenn sie sich für die Verwendung der App entschieden haben, werden sie darüber informiert, dass eine Push-Benachrichtigung an das Gerät gesendet wurde (Abbildung 4).

Push-Benachrichtigung für Azure MFA-Apps
Benutzer werden über eine Push-Benachrichtigung informiert, wenn sie die App als zweiten Faktor auswählen.

Auf dem Gerät wird dann eine Warnung angezeigt. Sobald Benutzer diese auswählen, wird die Azure MFA-App gestartet. Die Benutzer sehen dann drei Eingabeaufforderungen: Bestätigen Sie, dass es sich um eine gültige Anforderung handelt, brechen Sie den Vorgang ab oder melden Sie ihn als betrügerisch an Microsoft (Abbildung 5).

Azure MFA-App-Warnung
In der Azure MFA-App wird eine Warnung angezeigt, die zu drei Eingabeaufforderungen führt.

Das Einrichten von Office 365 ist einfach und funktioniert mit fast jedem Telefon, auf das Benutzer Zugriff haben. Die einzige Einschränkung sind die App-Passwörter. Microsoft kann jedoch Desktop-Office-Apps vollständig mit diesem Dienst kompatibel machen.

Erweitern Sie die Funktionalität auf lokale Apps

Wenn Sie den zusätzlichen Azure AD Premium-Dienst erwerben, können Sie die Verwendung des Cloud-basierten Azure MFA sofort auf andere Dienste ausweiten, die Azure-Anmeldeinformationen verwenden, z. B. Azure Remote App.
Als Administrator können Sie auch den Azure Multi-Factor Authentication-Server installieren, eine lokale Anwendung, die eine Verbindung zu Azure in der Cloud herstellt und die Funktionalität auf lokale Anwendungen erweitert, einschließlich solcher, die ADFS-, IIS- und Radius-Server verwenden. Obwohl der vollständige Installationsprozess für diesen Artikel zu umfangreich ist, werden wir schnell zeigen, wie einfach es ist, webbasierte Anwendungen zu schützen.
Nach der Installation des MFA-Servers können Sie eine Reihe von Anwendungen schützen. In diesem Beispiel schützen wir ADFS und verwenden das integrierte Paket des MFA-Servers, um den ADFS-Adapter zu installieren (Abbildung 6).
Öffnen Sie die ADFS-Verwaltungskonsole, um sie anzuzeigen WindowsAzureMultiFactorAuthentication in den globalen Einstellungen innerhalb aufgeführt Authentifizierungsrichtlinien.
Wenn wir es global aktivieren und Office 365 ADFS verwendet, führt dies zu Problemen. Sie können es jedoch für Exchange Outlook-Webanwendungen aktivieren, die über den Webanwendungsproxy veröffentlicht wurden, indem Sie die Exchange-Vertrauensstellung auswählen Authentifizierungsrichtlinien> Pro Vertrauen der vertrauenden Partei (Abbildung 7).

Wählen Sie Exchange als vertrauenswürdig aus
Sie können Azure MFA global über die ADFS-Verwaltungskonsole aktivieren.

Wählen Sie aus, wer MFA verwenden muss, z Extern Benutzer. Dadurch werden nur Benutzer aufgefordert, über den Webanwendungsproxy extern auf OWA zuzugreifen.
Dies erfordert keine Konfiguration in Exchange und kann auf jede Anwendung erweitert werden, die mithilfe der Vorauthentifizierungsfunktionen von Web Application Proxy extern veröffentlicht wurde. Ein weiteres Beispiel ist die Vorauthentifizierung des Zugriffs auf Radius-kompatible Dienste wie VPN oder Remotedesktop-Gateway.
Über den Autor:
Steve Goodman ist ein Exchange MVP und arbeitet als technischer Architekt für einen der führenden Microsoft Gold-Partner in Großbritannien. Goodman hat seit Version 5.5 intensiv mit Microsoft Exchange und seit seinen Anfängen in Exchange Labs und mit Office 365 zusammengearbeitet [email protected]

Similar Posts

Leave a Reply