Aktivierung von Microsoft MFA zur besseren Absicherung

Veränderte Anforderungen durch hybride Arbeitsformen

Beschleunigt durch die Pandemie hat sich in den vergangenen Jahren die hybride Arbeitsform in vielen Unternehmen etabliert. Sie ist heute vielerorts nicht mehr wegzudenken und bietet den Mitarbeitenden ein hohes Mass an Flexibilität und Optimierung der Zeitaufwände durch eine Reduktion der täglichen Pendelzeiten zum Arbeitsort.

Dieser neue Arbeitsstil hat zur Folge, dass die Daten des Unternehmens zusätzlichen Schutz bedürfen. Zu einer der ersten und grundlegenden Möglichkeiten, die dazu ausgerollt werden sollten, gehört die Multi Factor Authentication (MFA).

MFA kurz erklärt

Bei der MFA handelt es sich um einen zusätzlichen Sicherheitslayer während der Anmeldungen. MFA sorgt für eine starke Authentifizierung zum sicheren Nachweis von Identitäten.

Mit MFA alleine sind wir zwar noch nicht am Ziel einer modernen, mehrschichtigen Security-Architektur in Form einer Zero-Trust Architektur, MFA ist jedoch ein erster und vor Allem einfacher Schritt und sollte in jedem Unternehmen zum Schutz von Datenabfluss und Minimierung von Cyber-Risiken eingeführt werden.

Lizenzierung

Die Lizenzen für MFA sind in folgenden Produkten bereits inkludiert:

  • Microsoft 365 Premium
  • EMS
  • Microsoft 365 E3 oder E5
  • Azure AD Premium P1
  • Azure AD Premium P2
  • Alle Microsoft 365 plans
  • Office 265 free/Azure AD free

Somit ist eine Basis Version von MFA in praktisch allen gängigen Lizenzmodellen und in den wichtigsten Online-Produkten von Microsoft enthalten. In den verschiedenen Versionen sind, abhängig vom Preisplan, auch weitere Features enthalten, wie zum Beispiel Fraud Alert oder Conditional Access.

Methoden der Authentifizierung

Es gibt viele Methoden, die für eine mehrstufige Authentifizierung verwendet werden können. Diese umfassen:

  • Microsoft Authenticator-App
  • Windows Hello for Business
  • FIDO2-Sicherheitsschlüssel
  • OATH-Hardwaretoken (Vorschau)
  • OATH-Softwaretoken
  • SMS
  • Anruf
Methoden der Authentifizierung
Abbildung 1: Auswahl und Stärke der Authentifizierungsmethoden, Quelle Microsoft

Aktivierung von MFA

MFA kann über Sicherheitsstandards in ihrem Azure AD-Tenant aktiviert werden. Weiters kann die Multi Factor Authentication Azure AD für bestimmte Benutzer und Gruppen unter Prüfung von Konditionen eingerichtet werden. Hierzu folgt ein separater Blog mit Tipps und Tricks aus der Praxis.

Aktivierung von MFA
Abbildung 2: Aktivieren und Verwenden von Azure AD MFA, Quelle Microsoft

Einstellungsmöglichkeiten

Azure AD bietet die Möglichkeit zu bestimmen, wie oft sich ein User erneut anmelden muss. Die Standardkonfiguration von Azure AD ist für ein Zeitfenster von 90 Tagen eingestellt. Dies kann aber über Conditional Access übersteuert werden. Je geringer das Zeitfenster gewählt wird, umso geringer ist prinzipiell ein Missbrauchs-Risiko.

Empfehlungen zur Einführung

Nachfolgend aus unserer Sicht wichtige Tipps für eine erfolgreiche MFA-Einführung im Unternehmen:

  1. Richten Sie ein einmaliges Single Sign-on (SSO) über mehrere Anwendungen hinweg ein. Somit muss auf jeweils einem Client MFA nur einmal ausgeführt werden, um alle Office Produkte nutzen zu können.
  2. Konfigurieren Sie eine Richtline zur Anmeldehäufigkeit. Der Standard ist, wie bereits erwähnt, 90 Tage und kann je nach Sicherheitsanforderungen angepasst werden, wobei ein kürzerer Zyklus die Risiken minimiert.
  3. Zusätzlich können im Zusammenhang mit Conditional Access unter anderem auch die Clients überprüft und festgestellt werden, ob es sich um eine Company-Device oder ein privates Device handelt. Wiederum basierend auf Sicherheitsvorgaben kann der Zugriff auch für private Geräte gewährt oder aber verweigert oder eingeschränkt werden.
  4. Die Mitarbeitenden sollten von Beginn weg über die MFA-Einführung und über die Vorteile (Risiko-Minimierung, verbesserte Sicherheit) informiert werden. Vor der Einführung von MFA sollten die Mitarbeiter geschult werden. Microsoft bietet hierzu einige Templates, wie die User zu informieren sind. Diese Templates können auf ihr Unternehmen adaptiert werden.
  5. Stellen Sie den Anwendern zwei Methoden zur Verfügung. Somit ist sichergestellt, dass bei einem Ausfall einer Möglichkeit, eine weitere Methode zur Verfügung steht.

Zusammenfassung

MFA bietet eine einfache und schnelle Lösung, um Applikationen und Services zu sichern, welche mit Azure AD interagieren. Wenn MFA mit Conditional Access kombiniert wird, ist die Security bereits auf einem guten Level.

Warum MFA für Unternehmen Sinn macht, erfahren Sie hier: MFA für Unternehmen.

Laden Sie hier das kostenfreie MFA Adoption KIT herunter

Passendes Angebot zum Thema

M365 Tenant Security Assessment

  • Kick Off

    Vorbereitung
    Ziele
    Rahmenbedingungen

  • Assessment

    Durchführung
    Überwachung

  • Reporting

    Identifizierung
    Klassifizierung
    Erstellung Report

  • Abschluss

    Handlungsempfehlungen
    Umsetzung Prio I
    Budget, Planung
    Prio II und III, Ziele

  • Aufwand

    4-5 Arbeitstage

  • Kosten

    CHF 3'500

;