Multifaktor-Authentifzierung mit AAD
Mit dem bedingten Zugriff per Multifaktor-Authentifzierung unter AAD (Azure Active Directory) stellt Microsoft ein wirksames Mittel zur Erhöhung der Sicherheit zur Verfügung. Unser Deep Dive erklärt die Einrichtung.
Kennwortrichtlinien, Social Engineering, Brute-Force-Angriffe, Keylogger, offene Notizen und fehlendes Sicherheitsbewusstsein, machen die Nutzung von Kennwörtern als alleinigen Authentifizierungsfaktor zum Sicherheitsrisiko. Die zunehmende Verlagerung der lokalen IT-Infrastruktur in die Rechenzentren von Cloudanbietern verschärft dieses Risiko erheblich, da der Zugang zu den Systemen nur noch remote stattfindet. Sobald ein Angreifer die Anmeldedaten in Erfahrung gebracht hat, besteht unkontrollierter Zugriff.
Passwörter allein schützen global zugängliche Cloudressourcen nicht ausreichend. Mit dem bedingten Zugriff per Multifaktor-Authentifizierung (MFA) stellt Microsoft ein wirksames und praktikables Mittel zur Risikominimierung zur Verfügung
Voraussetzungen und Lizenzierung
Die Multifaktor-Authentifizierung (MFA) wird als Teil von Azure Active Directory (AAD) angeboten. Die Nutzung von MFA setzt ein bestehendes Azure Active Directory und voraus und steht Benutzern mit einer Lizenz von AAD Premium P1 oder P2 zur Verfügung.
Ob ein Benutzer vom lokalen AD synchronisiert oder direkt im AAD angelegt worden ist, stellt für die Nutzung von MFA keinen Unterschied dar. Den genauen Leistungsumfang der unterschiedlichen Lizenzstufen listet Microsoft in der Preisübersicht auf: https://azure.microsoft.com/de-de/pricing/details/active-directory/
Je nach Unternehmensrichtlinie bzw. auf Wunsch des Benutzers können die Authentifizierungsmethoden verwendet werden:
- Microsoft Authenticator-App
- OATH-Hardwaretoken
- SMS
- Anruf
- Kennwort
- Sicherheitsfragen
Konfiguration MFA für eine Gruppe mit Testbenutzer
Im folgenden Abschnitt wird die MFA für einen Testbenutzer angelegt und getestet.
Anlage der Sicherheitsgruppe im AAD
Zuweisung Lizenz Azure AD Premium P1
Neue Richtlinie für den bedingten Zugriff (Conditional Access Policy)
Eine pauschale Anwendung der MFA auf jeden Benutzer für jeden Login ist unpraktikabel und senkt die Produktivität. Auch Serviceaccounts wären dann von MFA betroffen und würden sich nicht einloggen können.
Mithilfe von Conditional Access policies werden die Bedingungen zur Anwendung der MFA bestimmt. Eine Conditional Access policy kann auf einzelne Microsoft Apps, Benutzer, Gruppen oder das ganze Unternehmen angewendet werden. Die Policy erlaubt es präzise Bedingungen zu formulieren, unter denen MFA angewendet wird. So können Anmelderisiko, Geräteplattform, Standort und die Client-App als auswertbare Signale verwendet werden, um den Benutzer zu einer MFA aufzufordern.
Anlage einer neuen Conditional Access Policy
Auswahl der Testgruppe
Welche Cloud-Apps sollen mit MFA geschützt werden?
Auch die unternehmensspezifische Cloudapps der eigenen Azure Subscription lassen sich einzeln mit MFA absichern.
Definition der Bedingungen zur Anwendung der MFA
Auswahl der Geräteplattform:
Anmeldungen außerhalb eines bestimmten Standortes sollen mit MFA durchgeführt werden. Der Standort wird mit einer IP-Range definiert.
Nun wird die mehrstufige Authentifizierung als Zugriffskontrolle ausgewählt.
Eingabe Kontaktinformationen
Nach Login des Benutzers, ist die Eingabe von Kontaktinformationen notwendig. Es können Telefonnummer und/oder E-Mailadresse angegeben werden.
WICHTIG: Die E-Mailadresse darf keiner eigenen Maildomain angehören.
Alternativ kann der Administrator die Kontaktinformationen zentram im AAD pro Benutzer eingeben:
Anmeldung mit MFA
Sobald sich der Benutzer nun von einem unbekannten Standort anmeldet, erscheint die Aufforderung zur Eingabe weiterer Informationen
Beispiel Sicherheitscode per SMS
Erst nach Eingabe des Überprüfungscodes per SMS ist der Zugang zu den Apps möglich.
Anmeldehäufigkeit
Nach erstmaligem Login eines Benutzers per MFA stellt man fest, dass beim nächsten Öffnen der App keine MFA angefordert wird. Der nun authentifizierte Client gilt vorerst als vertrauenswürdig und nutzt eine Kombination aus zeitlich begrenzten Security Tokens zur Authentifizierung.
Der Standardwert für die Zeit bis zum nächsten Login mittels MFA beträgt 90 Tage. In der Praxis kommt es häufiger zum erneuten Login per MFA, da Änderungen des Passworts, ein Standortwechsel oder Login an einem anderen Endgerät das erneute Ausstellen der Security Token erfordert. Webbrowsersessions sind zusätzlich von lokalen Einstellungen der Cookies abhängig.
AAD Administratoren können die Anmeldehäufigkeit ebenfalls in einer Conditional Access Policy konfigurieren.
WICHTIG: Auch wenn Browsersessions immer persistent gespeichert werden und der Benutzer die Cookies nicht löscht, wird die Einstellung zur Anmeldehäufigkeit nicht außer Kraft gesetzt.