Multi-Faktor-Authentifizierung schützt Microsoft 365 Konten
Die Multi-Faktor-Authentifizierung (MFA) erhöht die Sicherheit Ihrer Microsoft 365 Konten. Durch einen mehrstufigen Identitätsnachweis bei der Anmeldung verhindern Sie schwerwiegenden Datendiebstahl, indem Cyberkriminellen der unbefugte Zugriff auf Ihre Cloud Dienste und Unternehmensdaten erschwert wird. Entdecken Sie jetzt, welche Optionen die MFA Ihrem Unternehmen bietet.
Beim vermehrten Homeoffice Einsatz und mobilen Arbeiten haben viele Unternehmen heute Angst vor Datendiebstahl und Datenverlust, verursacht durch verlorene oder gestohlene Anmeldeinformationen. Zur Absicherung Ihrer Benutzerkonten empfehlen wir daher die Multi-Faktor-Authentifizierung. Für Microsoft 365 Dienste kann die Einrichtung der sichereren mehrstufigen Authentifizierung bereits in den Lizenzen enthalten sein, in diesem Fall entstehen keine Zusatzkosten.
Wie funktioniert Multi-Faktor-Authentifizierung?
Viele Unternehmen verwenden immer noch die einstufige Authentifizierung. Nach der Eingabe von Benutzer und Passwort erhalten MitarbeiterInnen vollumfänglichen Zugriff auf Unternehmensdaten. Im Zweifel gilt dies leider auch für den unbefugten Zugriff Dritter. Die mehrstufige Authentifizierung erhöht die Sicherheit Ihrer Benutzerkonten enorm, indem MitarbeiterInnen während des Anmeldevorgangs zur Durchführung eines weiteren Identifizierungsverfahrens aufgefordert werden.
Dabei sind mindestens zwei der folgenden Authentifizierungsverfahren obligatorisch:
- Eine dem Benutzer bekannte Information (meist ein Kennwort).
- Ein im Besitz des Benutzers befindliches Objekt, z. B. ein vertrauenswürdiges Gerät, das nicht ohne Weiteres dupliziert werden kann (Telefon oder Hardwareschlüssel).
- Ein biometrisches Merkmal des Benutzers (Fingerabdruck- oder Gesichtsscan).
Microsoft Authenticator
Windows Hello for Business
FIDO2-Sicherheitsschlüssel
Hardwaretokens
Softwaretokens
SMS oder Telefonanruf
Aktivierung der MFA für Microsoft 365 via Azure oder Security Defaults
Bei der MFA Aktivierung für Microsoft 365 gibt es folgende Möglichkeiten:
Aktivierung über die mehrstufige Authentifizierung im Azure
Hier ist die Bestätigung eines zweiten Faktors prinzipiell bei jeder Anmeldung erforderlich. Über die Azure MFA Diensteinstellungen können folgende Ausnahmen konfiguriert werden:
- Vertrauenswürdige IP-Adressen: Beim Zugriff auf Microsoft 365 aus beispielsweise dem Firmen LAN ist kein zweiter Faktor erforderlich.
- Zweiten Faktor speichern: Der Benutzer kann sein Endgerät, mit dem er auf Microsoft 365 zugreift, als sicher markieren. Je nach Einstellung gilt dann das Gerät für 1-60 Tage als vertrauenswürdig und der zweite Faktor wird bei den Anmeldungen in diesem Zeitraum nicht abgefragt.
Aktivierung der Security Defaults im Tenant
Über die Tenant Security Defaults wird die MFA Registrierung für alle Benutzer und Administratoren angefordert. Darüber hinaus werden bei Aktivierung auch legacy Authentifizierungen, wie z.B. Clients, die keine moderne Authentifizierung verwenden, geblockt. Bei dieser Variante können keine vertrauenswürdigen IP-Adressen konfiguriert werden und bei der MFA Registrierung steht den Benutzern statt Authenticator App, Telefonanruf oder SMS nur die Authenticator App als zweiter Faktor zur Verfügung.
Multi-Faktor-Authentifizierung mit Conditional Access und Azure AD Identity Protection
Die zweite Variante ist als Grundlage für mehr Sicherheit im Bereich Identitäten sehr gut geeignet, gerade da keine zusätzlichen Lizenzkosten anfallen. Soll jedoch die Benutzerfreundlichkeit erhöht werden und der volle Azure Multi-Faktor-Authentifizierung Funktionsumfang zur Verfügung stehen, sollte MFA nicht ohne Conditional Access* und Azure AD Identity Protection* eingeführt werden. Mit Conditional Access können an das Unternehmen angepasste Bedingungen festgelegt werden, bei welchen die Anmeldung mit einem zweiten Faktor bestätigt werden muss. Folgende Bereiche bzw. Parameter können beispielsweise als Bedingung genutzt werden, auch eine Verknüpfung von mehreren Bedingungen ist möglich:
- IP-Adressen
MFA ist z.B. nur beim Zugriff aus bestimmten IP-Adressbereichen oder Ländern erforderlich - Betriebssysteme
MFA ist nur beim Zugriff von Windows 10 Endgeräten erforderlich - Benutzer/Gruppen
Die Nutzung von MFA ist bei dem Rollout erstmal nur für eine Benutzergruppe erforderlich - Intune compliant Devices oder Azure AD Hybrid Join Windows 10 Devices
MFA ist nur von Geräten erforderlich, die nicht durch das Active Directory oder Intune verwaltet werden
Befindet sich ein Mitarbeiter zum Beispiel im Internetcafé (abweichendes Gerät) oder ist mit der Bahn unterwegs (abweichende IP-Adresse) kann der Zugriff auf Firmendaten begrenzt werden. In diesem Fall hat der User nur eingeschränkten Zugriff über den Browser und der Daten-Download auf das Gerät entfällt.
So ist mit Conditional Access die Einführung der MFA im Unternehmen auch kontrolliert möglich. Um den Rollout für die Benutzer noch transparenter zu gestalten, wird die MFA Registrierung aus dem Dienst „Azure AD Identity Protection“ genutzt. Hier wird den Benutzern eine Registrierungsfrist von 14 Tagen gewährt, nach der MFA dann für das entsprechende Konto aktiviert wird.
*Zusatzlizenzen benötigt
Multi-Faktor-Authentifizierung und Change Management
Das MFA Onboarding ist relativ einfach, denn BenutzerInnen registrieren sich in nur einem Schritt für die Multi-Faktor-Authentifizierung. Der Faktor Mensch darf bei der Einführung jedoch nicht außer Acht gelassen werden. Change Management unterstützt bei der Sensibilisierung der User für das Thema Sicherheit. Denn nur wenn die AnwenderInnen die Wichtigkeit der MFA zum Schutz ihrer Konten verstehen, werden eventuell vorhandene Hürden bei der Nutzung abgebaut. Dabei helfen wir unter anderem mit Ankündigungen, kurzen Trainingsvideos und Klickanleitungen zur Einrichtung der MFA.
Hohes Sicherheitsrisiko ohne MFA
Zusammengefasst öffnet die in vielen Unternehmen implementierte einstufige Authentifizierung Tür und Tor für Cyberkriminalität. Angreifer finden immer kreativere Möglichkeiten, das Passwort eines Nutzers herauszufinden und sich unbefugt in den Account einzuloggen. Wir empfehlen daher die zeitnahe Einrichtung der Multi-Faktor-Authentifizierung. Ob mit Security Defaults für den kostenlosen Basisschutz Ihrer Konten oder in Kombination mit Conditional Access und Azure AD Identity Protection für mehr Benutzerfreundlichkeit und erweiterte Funktionsvielfalt. Mit Change Management unterstützen Sie darüber hinaus Ihre MitarbeiterInnen bei der Veränderung. Welche Option Sie auch wählen, starten Sie am besten noch heute!
Microsoft Identity Workshop
In unserem dreitägigen Microsoft Identity Workshop erhalten Sie einen Strategieplan für die Sicherung von Identitäten und Geräten.