blog.atwork.at

news and know-how about microsoft, technology, cloud and more.

Azure - Multi Factor Authentication für Office 365

Ich hab vor einiger Zeit versprochen, dass ich zum Thema MFA (Multi Factor Authentication) etwas mehr bloggen werde und beginnend mit diesem Artikel will ich dieses Versprechen auch einlösen. Im letzten Artikel wurde ja eigentlich nur erklärt was ein App Passwort genau ist und wie der Enduser die Office 365 MFA sieht und erlebt. Die Einrichtung selbst habe ich aber zum Beispiel nicht erzählt. Genau das will ich jetzt nachholen.

In diesem Artikel heute beschreibe ich wie der Ablauf für eine klassische Office 365 Installation ohne OnPremises oder Teilkomponenten OnPremises ist. Wir steigern uns dann mit Erklärungen Richtung Azure MFA und was eigentlich im Hintergrund abläuft. Final darf ich auch zeigen, wie man Azure MFA OnPremises verwenden kann um zum Beispiel seine RDS-Gateways, VPN oder auch ADFS Installation mit MFA abzusichern. Man darf also gespannt sein wie das wird. Ein wenig über Lizenzen werde ich auch plaudern, aber ich hoffe nicht zu viele Abschweife zu machen - das ist ein eher langweiliges Thema und mal ehrlich was kostet schon Security?

Office 365 MFA

Office 365 bietet die Möglichkeit Multi Factor Authentication für User zu aktivieren. Dazu klickt ein Administrator im Office 365 Portal unter Active Users | Set Multi-factor authentication requirements auf den Setup-Link.

SNAGHTML10928321

Im nachfolgenden Screen kann ich pro User entscheiden ob dieser MFA verwenden muss, darf oder MFA für diesen User deaktiviert ist.

SNAGHTML10934529

Wird ein User für MFA aktiviert bekomme ich eine tolle Meldung um dem User noch eine wichtige Information auf den Weg zu geben. http://aka.ms/MFASetup - dieser Link ist nicht schlecht zu wissen, denn dort kann der User direkt selbst auf seine MFA Einstellungen zugreifen.

SNAGHTML10949f89

Der Admin kann hier aber auch noch Service Settings anpassen und zum Beispiel die Verwendung von MFA Apps verbieten oder auch erlauben dass man MFA für kurze Zeit suspended. (also temporär abdreht). Das ist praktisch damit der User bei vielen hintereinander folgenden Logins nicht ständig mit MFA genervt wird. Mir fällt zwar spontan kein Anwendungsfall ein, aber vielleicht gibt es ja praktische Vorschläge von den geschätzten Lesern?

SNAGHTML10b3c4ec

Hat der User diesen Link "vergessen" ist das aber nicht schlimm. Wird ein User für MFA aktiviert, wird er beim nächsten Anmelden am Portal daran "erinnert".

SNAGHTML109efdd5

Je nachdem was der User gern hätte, kann er in den nachfolgenden Screens seine Einstellungen durchgehen.

SNAGHTML109fadac

Anhand eines Tests wird der User auch gleich damit vertraut gemacht ob alles funktioniert. Die Telefonnummer korrekt ist usw. Sollte das Verify nicht funktionieren, wird MFA auch nicht aktiviert.

Es macht sicherlich Sinn dem User vorab vielleicht zu informieren dass er diesen Vorgang durchführen muss. Ich denke eine kurze Schulung sollte reichen - die Steps sind recht selbsterklärend. Ein Wizard führt jeden User an der Hand bis er erfolgreich seine MFA geschafft hat.

SNAGHTML10a6ce23

Der letzte Schritt ist dann noch ein Abklopfen ob nicht Microsoft Office Apps in Verwendung sind, die noch kein MFA unterstützen und man eventuell ein App Password generieren muss.

SNAGHTML10a785da

Sehr umsichtig. Ich vergesse solche Sachen immer. Zwinkerndes Smiley

Nachdem man sich erfolgreich angemeldet hat, wird man auf die allgemeine Azure MFA Seite weitergeleitet. Leider etwas aus dem Context gerissen, man könnte hier auch auf die eigentliche Office 365 Portal Seite zurück kommen um die Einstellungen dort vorzunehmen. Vielleicht noch nicht 100% ganz fertig der Wizard...

SNAGHTML10a92745

Meldet sich der User aber normal auf seinem Office 365 Portal an, kann er über die Office 365 Settings (kleines Zahnrädchen oben rechts) unter Additional Security Verfication normal seine MFA Einstellungen verwalten. Das sind wirklich die selben Einstellungen, die auch auf der Azure Seite angezeigt werden, nur vollständig in das Office 365 Portal integriert.

SNAGHTML10ab8bb3

App Passwords sind hier versteckt und ebenso die Einstellungen, was als primäre Authentication verwendet werden soll. Eventuelle Backup Methoden wie zweite Telefonnummer oder Multi Factor App auf seinem Windows Phone (Authenticator, Multi-Factor App,... ) respektive auch für Android Phones (Multi-Factor App,) und IOS (siehe auch Whitepaper Blogpost hier). Weiß jemand hier, ob es auch eine eine Blackberry App gibt?

SNAGHTML10ad2f12

Damit kann sich der User sein MFA vollständig selbst verwalten.

Sollte sich der User jemals selbst mal aussperren (Telefonnummer gewechselt, kein Backup Phone,...), muss der Admin eingreifen und einfach MFA deaktivieren und wieder aktivieren. Danach muss der User den MFA Enrollment Prozess von vorne beginnen.

Kosten

Wird MFA für User in einer Subscription aktiviert ist es quasi kostenlos, respektive mit der eigentlichen Subscription schon abgedeckt. Alle Midsize Business, Enterprise, Academic, NonProfit und StandAlone Plans sind inkludiert. Einzige Ausnahmen derzeit - Small Business und Dedicated Plans haben kein automatisches Anrecht auf MFA (und auch Government ist derzeit ausgenommen).

Auch nachzulesen unter: http://technet.microsoft.com/en-us/office/dn788955.aspx
Hier ist eine wirklich gute sehr detaillierte Übersicht, welche Features in welchen Plänen funktionieren, verfügbar.

Fazit

MFA ist eine super Sache - für den User eigentlich fast vollständig integriert (der kleine Abstecher ins Azure Management Portal sei verziehen) und steigert die Security wesentlich. Alle Admins, die Angst haben, dass Passwörter ihrer User vielleicht zu unkomplex sind, können ihre Unternehmens-Security damit stark verbessern.

Cool wie gehts weiter?

Ganz einfach. Der nächste Schritt ist, sich rund um das Azure Portal und mit MFA OnPremises zu befassen. Ja - wirklich. Wir können Azure MFA verwenden um OnPremises zum Beispiel RDS-Gateway Zugriffe, VPN oder sogar ADFS Logons per MFA zu authentifizieren! Hmm - Was wollt ihr als nächstes lesen? Es darf abgestimmt werden.

LG Christoph

Loading