Multi-Faktor-Authentifizierung: Ein Überblick über den Schutzmechanismus mit Conditional Access
Die Multi-Faktor-Authentifizierung (MFA), auch bekannt als Zwei-Faktor-Authentifizierung (2FA), ist ein Sicherheitsmechanismus, der zusätzlichen Schutz für Benutzerkonten bietet. Durch die Einführung einer zusätzlichen Identifizierungsebene können Konten besser vor den wachsenden Cyber-Bedrohungen geschützt werden. Viele Benutzer verwenden immer noch schwache oder leicht zu erratende Passwörter, die von Angreifern mit wenig Aufwand geknackt werden können (siehe Beitrag Passwortsicherheit – Entschlüsslungstechniken und Empfehlungen). Bei MFA muss der Angreifer nicht nur das Passwort für den Benutzerzugang kennen, sondern auch einen zweiten Faktor überwinden. Darüber hinaus erfüllt MFA oft auch Compliance-Anforderungen in verschiedenen Branchen, die eine zusätzliche Sicherheitsebene für den Zugriff auf sensible Daten und Systeme verlangen.
Die Funktionsweise der Multi-Faktor-Authentifizierung
1. Etwas, dass der Benutzer weiß (Wissen):
2. Etwas, dass der Benutzer besitzt (Besitz):
3. Etwas, dass der Benutzer ist (Eigenschaft):
Multi-Faktor-Authentifizierung in Microsoft 365
Im Microsoft Entra (Azure AD), dem Identitäts- und Zugriffsverwaltungsdienst von Microsoft, ist die Multi-Faktor-Authentifizierung (MFA) ebenfalls integriert. Azure AD ist das Backend-System, dass für die Verwaltung von Benutzeridentitäten und Zugriffssteuerung in Microsoft 365 und anderen Microsoft-Cloud-Diensten verwendet wird. Administratoren können MFA für alle Benutzer in der Azure AD-Umgebung aktivieren oder selektiv für bestimmte Benutzer oder Gruppen konfigurieren. Die Konfiguration der MFA-Einstellungen erfolgt über das Azure-Portal oder über PowerShell-Befehle (siehe Einrichten der mehrstufigen Authentifizierung für Microsoft 365). Administratoren können die gewünschten MFA-Methoden auswählen und konfigurieren, die den Benutzern zur Verfügung stehen (siehe Verfügbare Überprüfungsmethoden). Dies umfasst Optionen wie:
SMS
Eine SMS mit einem Prüfcode wird an die registrierte Mobiltelefonnummer gesendet. Der bereitgestellte Prüfcode muss im Anmeldebildschirm eingegeben werden.
Telefonanruf
OTP -Softwaretokens
Ein Softwaretoken ist eine Authentifizierungs-App, wie z.B. Microsoft Authenticator-App. Microsoft Entra generiert einen geheimen Schlüssel, der in der App eingegeben und zum Generieren des jeweiligen Einmalkennworts (OTP) verwendet wird. Das Einmalkennwort muss im Anmeldebildschirm anschließend eingeben werden.
OTP -Hardwaretokens
Zusätzliche Sicherheit mit Conditional Access in Microsoft 365
Um die Sicherheit der Benutzerkonten und Unternehmensdaten erheblich zu stärken, sollte Multi-Faktor-Authentifizierung in Kombination mit Conditional Access eingesetzt werden. Conditional Access ermöglicht es Administratoren, spezifische Sicherheitsrichtlinien basierend auf verschiedenen Signalen festzulegen. Diese Richtlinien werden erzwungen, wenn die First-Factor-Authentifzierung abgeschlossen ist. Die folgenden Signale können einzeln oder in Kombination verwendet werden:
Es können bestimmte Benutzer oder Benutzergruppen identifiziert werden, auf die die Richtlinie angewendet werden soll.
Der Leiter der Lohnbuchhaltung möchte auf die Gehaltsabrechnungsanwendung zugreifen und muss für den Zugriff die Multi-Faktor-Authentifizierung durchführen.
Es kann zwischen vertrauenswürdigen (beispielsweise Unternehmens-) Geräten und nicht vertrauenswürdigen oder kompromittierten Geräten unterschieden werden.
Ein Mitarbeiter möchte von seinem privaten Mobiltelefon auf Unternehmensressourcen zugreifen, jedoch ist der Zugriff auf nicht verwaltete Geräte blockiert.
Wenn der Benutzer sich außerhalb eines bestimmten geografischen Bereichs befindet, können zusätzliche Sicherheitsanforderungen gelten.
Ein Mitarbeiter möchte während seiner Urlaubsreise auf sensible Unternehmensdaten zugreifen und muss zusätzliche Sicherheitsmaßnahmen durchführen.
Die Art des verwendeten Netzwerks (z. B. Unternehmensnetzwerk oder öffentliches WLAN) kann berücksichtigt werden, um den Zugriff anzupassen.
Der Zugriff auf kritische Unternehmensanwendungen ist nur von internen Unternehmensnetzwerken oder über eine VPN-Verbindung möglich, nicht aber von öffentlichen WLANs.
Es können bestimmte Anwendungen oder Ressourcen ausgewählt werden, auf die die Richtlinie angewendet werden soll.
Zugriff auf bestimmte hochsensible Anwendungen (z. B. Gehaltsabrechnungssystem) ist nur von internen Netzwerken oder bestimmten Standorten erlaubt.
Es kann zwischen verschiedenen Client-Anwendungen (z. B. Webbrowser, mobile App) unterschieden werden.
Der Zugriff auf Microsoft 365-Dienste über mobile Apps ist nur dann erlaubt, wenn die Apps von der IT-Abteilung genehmigt wurden und den Sicherheitsrichtlinien entsprechen.
Die Sicherheitslage des Benutzers oder Geräts kann in die Entscheidung einbezogen werden, basierend auf Faktoren wie früheren Anmeldeversuchen, potenziell verdächtigen Aktivitäten oder bekannten Sicherheitsbedrohungen.
Ein Benutzer, bei dem ein verdächtiges Anmeldeverhalten festgestellt wurde (z. B. ungewöhnlich viele Anmeldeversuche), wird zur zusätzlichen Überprüfung aufgefordert, bevor der Zugriff gewährt wird.
Der Aktionsverlauf des Benutzers, einschließlich der Art der durchgeführten Transaktionen, kann ein Signal für die Zugriffsrichtlinie sein.
Wenn ein Benutzer eine Transaktion mit hohem Risiko durchführt, z. B. den Versuch, auf eine nicht autorisierte Ressource zuzugreifen, wird der Zugriff blockiert oder zusätzliche Sicherheitsschritte sind erforderlich.
Durch die Kombination verschiedener Signale erhalten Administratoren die Möglichkeit, detaillierte und differenzierte Sicherheitsrichtlinien in Microsoft 365 zu erstellen. Diese Richtlinien ermöglichen es, den Zugriff auf Dienste und Ressourcen basierend auf den individuellen Anforderungen und dem Sicherheitsbedarf der Organisation zu steuern und zu schützen. Lesen Sie mir unter den folgenden Link: Planen einer Bereitstellung für bedingten Zugriff.
Die essenzielle Rolle der Multi-Faktor-Authentifizierung
Die Multi-Faktor-Authentifizierung (MFA) ist ein essenzielles Sicherheitsinstrument zur Stärkung von Benutzerkonten und dem Schutz sensibler Daten in Microsoft 365 und anderen Diensten. Die Kombination verschiedener Identifikationsfaktoren erhöht den Schutz vor Cyber-Bedrohungen und erfüllt häufig Compliance-Anforderungen. Die Integration von MFA in Entra AD und die Anwendung von Conditional Access ermöglichen eine gezielte Sicherheitssteuerung und gewährleisten eine flexible und robuste Sicherheitslösung für Unternehmen. MFA ist ein bedeutendes Element einer umfassenden Sicherheitsstrategie, die den Schutz von Benutzerkonten und Unternehmensdaten vor unerlaubtem Zugriff gewährleistet.
Trotz der Implementierung von Multi-Faktor-Authentifizierung (MFA) sollten Benutzer das Setzen von starken Passwörtern nicht vernachlässigen. Erfahren Sie im Beitrag Passwortsicherheit – Entschlüsselungstechniken und Empfehlungen, wie Sie sich durch die Verwendung von längeren Passphrasen schützen können und lernen Sie verschiedene Entschlüsselungstechniken kennen.