Lindenrainstraße 13/1
73312 Geislingen

Tel. 07331 977 296-0
Fax. 07331 600 64
info@webdata.de

26 Apr

Multi-Faktor Authentifizierung für Office365

Posted by
Laut einer aktuellen Studie „IT-Sicherheit und Datenschutz 2015“ der Nationalen Initiative für Informations- und Internet-Sicherheit e.V. (NIFIS) sehen 71% deutscher Unternehmen interne und externe Hackerangriffe unter den Hauptgefahren für die deutsche Wirtschaft beim Cloud Computing. 
Eine Methode, die Sicherheit zu erhöhen, ist die Multi-Faktor Authentifizierung. In diesem Blogbeitrag erläutern wir die Grundlagen, zeigen, wie Sie die Multi-Faktor Authentifizierung in Office365 einschalten und welche Einstellungen der Administrator und Benutzer vornehmen können.

 

Grundlagen der Multi-Faktor Authentifizierung

Bei der Multi-Faktor Authentifizierung bezeichnet man als Faktor jede dieser drei Komponenten:

Die Faktoren der Multi-Faktor Authentifizierung

Bei der normalen und herkömmlichen Authentifizierung gibt man Benutzernamen und Passwort an - beides Dinge, die zum Faktor "Etwas, das man weiss" gehören.
 
Multifaktor-Authentifizierung bedeutet, dass immer mindestens zwei Faktoren zusammen verwendet werden, um die Authentifizierung sicherzustellen. Gängige Beispiel sind Geldautomaten - man muss die Karte besitzen und eine PIN wissen - oder Online-TANs beim Online Banking: Man muss die PIN für das Konto wissen und ein Handy besitzen, auf dem eine TAN per SMS übermittelt wird.
 
Dieses Konzept ist in der IT-Sicherheit ebenfalls anwendbar. Im Cloud Computing Bereich ist es mittlerweile bei den großen Anbietern Standard und sollte genutzt werden. Im Vergleich zu einem einfachen VPN oder Remote Zugriff auf nur mit einem Passwort geschützte Ressourcen innerhalb des lokalen Firmennetzes ist dies sogar eine signifikante Security-Verbesserung, da ein eventueller Passwort Diebstahl alleine nicht reicht - Es muss auch noch das Mobilgerät gestohlen werden, das den zweiten Faktor repräsentiert.

 

Einschalten der Multifaktor Authentifizierung in Office 365

Über die Suche im Admin Center kann man auf die Multi-Faktor Authentifizierungseinstellungen gelangen:
Suche im Admin Center 
 
 
Nachdem diese Aufgabe das erste Mal erledigt ist, verschwindet sie aus den Aufgaben - dann ist die zugehörige Administration nicht mehr so leicht zu finden.
 
Der reguläre Weg führt über die Benutzerverwaltung:
 
Benutzerverwaltung Office365
 
In beiden Fällen wird man zur Verwaltung des Azure Active Directory weitergeleitet.
Der Basisdienst ist in Office365 Business und Enterprise bereits enthalten.
 
In diesem Bereich mithilfe einer CSV Datei eine Massenaktualisierung über eine Vielzahl von Accounts durchführen (1) oder kann man einzelne Benutzer aktivieren (2).
 
Meldet sich der Benutzer das nächste Mal an Office365 mit dem Browser an, erhält er die Aufforderung, die notwendigen Schritte zur Multi-Faktor Authentifizierung durchzuführen. Arbeitet der Benutzer wenig mit dem Browser sondern nutzt primär die Officeclients für den Zugriff auf Office365 gibt es die Möglichkeit, dem Benutzer den Link https://aka.ms/MFASetup zuzusenden, damit er diese Schritte durchführt.
 
In derselben Ansicht kann der Administrator Diensteinstellungen für die Multi-Faktor Authentifizierung treffen:
 
 
In diesen Diensteinstellungen finden sich die Optionen, App-Kennworte zu verweigern, um die Sicherheit zu erhöhen, die Überprüfungsoptionen, die ein Benutzer auswählen kann einzuschränken und die Möglichkeit einräumen, die Anmeldung für eine bestimmte Anzahl von Tagen zu speichern, so dass der Benutzer sich nicht bei jeder Anmeldung neu über den zweiten Faktor authentifizieren muss. Eine Speicherung auf vertrauenswürdigen Geräten mit relativ kurzer Laufzeit bietet sich hier an, um ein gutes Verhältnis zwischen Sicherheit und Produktivität sicherzustellen.
 
Die hier getroffenen Einstellungen gelten für alle Benutzer.
 

 

Einrichtung von  Multi-Faktor Authentifizierung durch den Benutzer

Nachdem der Administrator festgelegt hat, dass ein Benutzer die Multi-Faktor Authentifizierung nutzen soll, erhält er nach dem nächsten Anmelden am Portal den Hinweis, dass für das Konto eine zusätzliche Sicherheitsprüfung eingerichtet werden muss. 

Beim Einrichten, kann der Benutzer zwischen diesen Optionen wählen:
 
  1. Authentifizierungstelefon
    Der Benutzer gibt eine Mobiltelefonnummer an und kann wählen zwischen den Optionen dass er eine Code per SMS bekommen möchte, den er eingeben muss oder ob er angerufen werden möchte (in diesem Fall muss durch Betätigen der # Taste bestätigt werden. Keine Sorge, das lässt sich später ändern.

  2. Telefon geschäftlich
    Entspricht der Option für Authentifizierungstelefon, aber ohne die Möglichkeit eine SMS zu bekommen.

  3. Mobile App
    Der Benutzer installiert sich eine App auf dem Smartphone, über die er dann später bestätigen kann, dass er aktuell auf sein Office365 Konto zugreifen möchte. Wählt man diese Option bekommt an diese Auswahl:

Nachdem der Benutzer eine diese Optionen eingerichtet hat, wird er beim nächsten Einloggen nach Eingabe des Passworts darauf hingewiesen, dass er nun den zweiten Faktor betätigen muss:
 

Anpassung der Multi-Faktor Authentifizierung durch den Benutzer

Die Einstellungen der Multi-Faktor Authentifizierung durch den Benutzer befinden sich in den Office365 Einstellungen, die sich unter dem Zahnrad im rechten oberen Bereich befinden:

 
In diesen Einstellungen befindet sich ein Link zu "Zusätzliche Sicherheitsüberprüfung"
Klickt man diesen an, bekommt man die Möglichkeit, die Telefonnummern und anderen Einstellungen für die zusätzliche Sicherheitsüberprüfung anzupassen.
Auf dieser Seite kann man die Standardmethode, die beim Anmelden abgefragt wird, verändern und weitere Möglichkeiten einrichten:

Außerdem gibt es auf dieser Seite einen Zugriff zu App-Kennwörtern.
App-Kennwörter sind eine Möglichkeit, ein Kennwort zu generieren, für das keine Multi-Faktor Authentifizierung notwendig ist. Der Hintergedanke ist, dass ältere Office Versionen oder andere Anwendungen, die direkt auf den Cloudspeicher zugreifen und die Methode der Multi-Faktor Authentifizierung nicht kennen und nicht eingebaut haben sonst ggf. immer mit einem Fehler abbrechen würden.
 
App Kennworte kann man nicht nochmal abfragen und nicht ändern, nur löschen oder neu anlegen. Da Ihre Verwendung die Multi-Faktor Authentifizierung übergeht kann der Administrator die Verwendung von App-Kennwörtern ausschalten.
 
Sollten Sie Fragen haben oder Unterstützung bei der Einrichtung von Office365 benötigen, stehen wir Ihnen gerne mit Beratung und Service zur Verfügung.

Schreibe einen Kommentar