Multifaktor Authentifizierung für Office 365 Admin Konten

  • Article

 

Eine wirklich wichtige Sicherheitsfunktion in Office 365 ist die Multifaktor Authentifizierung (MFA) von Admin Konten. Mittlerweile ist die schon einige Monate verfügbar und sehr einfach zu aktivieren. Das Interessante dabei ist, dass diese sowohl für reine “Cloud Identities” (also Admin Konten bei denen das Passwort in Office 365 verwaltet wird), als auch für “Federated Identites” (also Konten die am lokalen Active Directory per ADFS authentifiziert werden) benutzt werden kann -  ohne das man etwas an seinem ADFS Server ändern muss.

Die Einrichtung ist dabei sehr einfach und die folgenden Screenshots zeigen alle Schritte:

image Zur Aktivierung zunächst im Office 365 Admin Portal auf “Benutzer und Gruppen” gehen und im oberen Teil des Dialog für “Aktive Benutzer” die Mehrstufige Authentifizierung einrichten
image Die folgende Seite ist Teil des Azure Active Directory (was man auch an der URL erkennt). Um die Funktion für einen Konto zu aktiveren bitte die Checkbox aktivieren und dann rechts in den dann angezeigten “quick steps” Aktivieren anklicken.In diesem Dialog bitte NICHT auf den Benutzername klicken. Das führt einen aktuell zurück in die Office 365 Benutzeradministration.
image Es folgt ein Popup bei dem man die Bestätigung nochmal klickt…
image … und der dann die Aktivierung quittiert.
Bei der nächsten Anmeldung des Benutzer/Admins wird nun zu Einrichtung der MFA aufgefordert. image
Die Überprüfung des Telefon kann per Anruf oder SMS erfolgen – oder man wählt die “Mobile App” aus,  die es  für Windows Phone, Android und IPhone gibt image
In der App scannt man einfach den QRCode oder gibt manuell die URL und den Code ein.Sobald man den Code gescannt hat wird man aufgefordert die mobile App zu Verifizierung. Hier fehlen zwei Screenshots – aber die Anweisung auf dem Smartphone und den Browser sind eindeutig image
image Spätere Änderungen kann der Benutzer selber durchführen, wenn er im Portal die “Office 365-Einstellungen” aufruft
image Dort finden man dann einen Link für die “zusätzliche Sicherheitsprüfung.
image Das Active Sync und Outlook leider nicht direkt mit MFA zurecht kommen, kann man dort zusätzliche “App-Kennwörter” einrichten.
image Falls man viele Geräte verwendet (was bei Admins häufiger vorkommt), dann ist es ratsam hier neben dem Anwendungsnamen ggf. auch noch den Gerätenamen einzutragen. Somit ist es später einfacher die Übersicht zu behalten.

image

 Wichtig ist: Das App-Kennwort wird nur kurz in diesem Dialog angezeigt und man kann es in die Zwischenablage kopieren – später kann man es sich nicht mehr anzeigen lassen. Falls man es vergessen hat –einfach löschen und ein neues App Kennwort einrichten.

 

Neben dieser - in der Office 365 schon eingebauten und für Administratoren kostenlosen Multifaktor Authentifizierung - kann man in der Windows Azure auch die Vorschau für die “Windows Azure Active Directory Premium” Funktionen aktivieren. Damit bekommt neben Branding der Anmeldeseite von Office 365, Password Self-Reset auch die MFA Funktionen für nicht Admin-Benutzer sowie die Möglichkeit die MFA Software für den eigenen Server runterzuladen. Diese kann benutzt um neben ADFS auch Radius Server mit MFA zu erweitern. Ein sehr gutes Übersichtsvideo dazu findet man hier: https://channel9.msdn.com/Blogs/Windows-Azure/Windows-Azure-Multi-Factor-Authentication-Server

(TB 21.1.2014): Wichtiger Nachtrag : Das Windows Azure Active Directory Module für Windows PowerShell unterstützt aktuell weder Multifaktor Authentifizierung noch die App-Passwörter.