All posts by blog@langlitz-it.de

Microsoft Office 365 – Multi Faktor Authentication (MFA)

 

Grundlagen

Ein der vielen optionalen Funktionen bei Office 365 ist die „mehrstufige Authentifizierung“ (Multi Faktor Authentication MFA).

Was bedeutet das genau? Entgegen der gewohnten Eingabe von Benutzername und Passwort zur Authentifizierung, wird eine weitere Ebene hinzugefügt. Zur Erklärung kann das Konzept des Onlinebankings hinzugezogen werden. Dabei benötigen Sie nicht nur Ihre Kontonummer und PIN oder Benutzername und Passwort, sondern auch noch eine zusätzliche Transaktionsnummer um z.B. eine Überweisung zu tätigen. Wenn Sie sich also an Ihrem Konto anmelden können, können Sie eigentlich noch nichts tun, bevor Sie nicht auch Zugang zu der TAN haben. Ob es sich dabei nun um eine Liste mit TANs handelt, oder ob Ihnen eine einzelne TAN per SMS auf Ihr Handy gesandt wird, spielt dabei erstmal keine Rolle. Es sind auf jeden Fall mehrere Faktoren (Multi Factors) erforderlich, um eine Transaktion durchführen zu können.

Sie erhalten dadurch eine zusätzliche Sicherheitsstufe, die Sie davor schützt, dass Ihr Konto missbraucht wird. Genauso stellt sich das auch bei Office 365 dar. Wenn MFA aktiviert wird, wird der Benutzer gezwungen eine zweite Stufe der Authentifizierung zu nutzen.

Office 365

Microsoft bietet über Office 365 mehrere Methoden dazu an. Welche dieser Methoden im Einzelfall in Frage kommen oder vielleicht auch keinen Sinn ergeben, ist natürlich immer abhängig davon, wie sich die Umgebung darstellt.

  • Werden die Benutzer nur Online in der Cloud verwaltet?
  • Existiert eine hybride Bereitstellung?
  • Gibt es schon ein Smartcardsystem?
  • Gibt es ein Mobile Device Management, über das Mobiltelefone verwaltet werden?

Nach Aktivierung von MFA wird bei Anmeldung eines Benutzers auf https://www.office.com zusätzlich die Eingabe eines Passcodes, die Anmeldung über eine Smartcard, oder die Authentifizierung über ein Zertifikat erforderlich. Es kann auch eingerichtet werden, dass diese Funktion dem User nur angeboten, aber nicht erzwungen wird. All dies lässt sich individuell pro Benutzer realisieren. Es könnte also so aussehen:

  • Administratoren –           MFA erzwungen
  • Abteilungsleiter  –           MFA ermöglicht
  • Mitarbeiter            –           MFA deaktiviert

Beispiel:

Wie stellt sich das dar?

Sie melden sich wie gewohnt mit Benutzername und Passwort bei https://office.com an und erhalten diesen Hinweis.

Beim ersten Mal müssen Sie nun den Standardweg für den zweiten Faktor wählen.

Nach Eingabe des zugesandten Passcode erhalten Sie noch ein sogenanntes App-Kennwort. Das App Kennwort ist erforderlich für Apps, für die Sie kein Telefon verwenden können.

Sie müssen dann noch einmal Ihr Handy und eine zur Authentifizierung nutzbare Mailadresse verifizieren. Dies darf natürlich nicht die Adresse sein, die mit diesem Konto genutzt wird. Sonst nehmen Sie sich die Möglichkeit, evtl. einmal Ihr Passwort zurücksetzen zu können.

Beim nächsten Anmelden ist die alles nicht mehr nötig. Nach Eingabe von Benutzername und Passwort wird Ihnen automatisch eine SMS mit dem Passcode an Ihr registriertes Handy gesandt.

Wie schon erwähnt, gibt es noch weitere Möglichkeiten wie Smartcards, Zertifikate, etc.

Die endgültige Lösung ist aber immer individuell zu sehen und das Ergebnis eines entsprechenden Konzeptes.